Przetwarzanie danych medycznych w formie papierowej oraz elektronicznej

Już dawno przestaje dziwić, że do placówek medycznych weszły systemy informatyczne.

Dlatego zadaniem tworzenia systemu zabezpieczeń przed nieuprawnym dostępem do danych powinno uwzględniać nie tylko papierowy obrót ale także elektroniczny.

Pani Marysia z okienka

Przyjmijmy, że przemiła Pani Marysia pracuje w rejestracji w przychodni. Część pacjentów, zwłaszcza przychodzących regularnie, zna po imieniu.

Ryzykiem w takiej sytuacji będą sytuacje, gdy się pomyli i wyda kartotekę nie temu pacjentowi, co trzeba. Błędnie wypisze druk zwolnienia lekarskiego. Będzie głośno omawiała przypadek jednego bądź drugiego pacjenta, albo przypadłości lekarzy.

Czy RODO sprawi, że ludzie staną się anonimowi? Nie chodzi o przedmiotowe traktowanie pacjenta, ale o zachowanie szczególnej ochrony przy przetwarzaniu jego danych.

Zaczyna się to już przy rejestracji, kiedy przy okienku powinna się znajdować jedna zainteresowana osoba. Na pewno to nie wyeliminuje całkowicie możliwości naruszenia ochrony danych, ale powinno zmniejszyć sytuacji ryzykowne.

Przekazanie pacjentowi kartoteki do ręki i odesłanie do kolejki w oczekiwaniu na wizytę jest w niektórych przychodniach normą. Stwarza to także ryzyko, gdy przez pomyłkę zostanie wydane kartoteka innego pacjenta.

Wywoływanie pacjenta po nazwisko zdarza się coraz rzadziej. RODO sprawiło, że lekarze starają się przyjmować inne rozwiązania, takie jak numerki, czy wzywanie pacjenta po imieniu.

W internecie można przeczytać mniej lub bardziej śmieszne sytuacje, jakie zdarzają się w przychodniach po wprowadzeniu RODO. Część z nich jest rzeczywiście niezrozumieniem przepisów, czy lękiem przed karami. Inne natomiast próbą zastosowania nowych przepisów.

Dane elektroniczne

Projektowanie systemów i poszczególnych aplikacji powinno opierać się na zasadach privacy by design  oraz privacy by default,  gdyż w systemie będą przetwarzane nie tylko dane zwykłe, ale i wrażliwe, dotyczące stanu zdrowia konkretnych, identyfikowalnych osób fizycznych.

Ogólne rozporządzenie nie wskazuje, jakie środki techniczne czy organizacyjne gwarantujące bezpieczeństwo danych osobowych. To administrator danych musi zdecydować, jakie środki są odpowiednie. Bez oszacowania ryzyka administrator nie jest w stanie wybrać właściwych środków. Natomiast inspektor ochrony danych, jako podmiot doradczy, może mu w tym pomóc, ale nie zastąpi go.

Zachęcam także klientów z branży medycznej czy dietetycznej, aby w tym zakresie mieli wsparcie IT. Sam prawnik nie wystarczy. Dlatego, że to informatyk jest w stanie pomóc, przy wdrożeniu prawidłowej autoryzacji maili, przesyłania danych (podpis elektroniczny / profil zaufany), czy zachowania poufność transmisji (szyfrowanie danych). Prawnik powie, że coś trzeba wdrożyć. Natomiast informatyk będzie w stanie praktycznie to zastosować w stosowanym przez placówkę systemie informatycznym.

Zgubiony bloczek

Na koniec przypomnę sytuację, która co prawda miała miejsce pod rządami wcześniejszych przepisów, ale warto pamiętać, że ochrona danych osobowych nie zaczęła się wraz z przyjściem RODO.

Otóż jedna z kontroli prowadzonych przez GIODO ustaliła, że lekarz wystawiający zwolnienia lekarskie dysponował bloczkiem z zapisanymi zwolnieniami, które zgubił. Ktoś jednak je odnalazł i wniósł skargę. Okazało się, że lekarz pracował w szpitalu i prywatnej placówce. Szpital stwierdził, że administratorem w tym wypadku jest lekarz i uznał, że nie stanowi to problemu pomimo, że pracował ten sam lekarz pracował także w szpitalu.

Inne zdania było GIODO, które nakazało szpitalowi wprowadzenie procedur uznając, że szpital jest administratorem danych osobowych.

Wpisy z serii RODO w medycynie:

1. Udzielanie informacji o stanie zdrowia
2. Jak przetwarzać dane o stanie zdrowia
3. RODO w sektorze medycznym