Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu elektronicznej dokumentacji medycznej

Transkrypt

1 Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu elektronicznej dokumentacji medycznej Krzysztof Nyczaj ekspert Izby Gospodarczej Medycyna Polska, ekspert Data Technology Park dziennikarz tygodnika Służba Zdrowia

2 Zarówno przepisy krajowe jak i unijne dopuszczają możliwość zlecenia przetwarzania danych osobowych przez administratora danych osobowych podmiot zewnętrznemu, zajmującemu się profesjonalnym przetwarzaniem danych. Zgodnie z art. 17 ust 3 Dyrektywy 95/46.WE powierzenie przetwarzania danych osobowych powinno nastąpić w formie umowy lub aktu prawnego, z którego w sposób nie budzący wątpliwości powinno wynikać, że przetwarzający działa wyłącznie na polecenie administratora danych. Przetwarzający ma również obowiązek wprowadzić odpowiednie środki techniczne i organizacyjne w celu ochrony danych. Rolą administratora jest natomiast decydowanie nie tylko o celach i środkach przetwarzania powierzonych danych ale i określenie czynności które powierza. Cechą charakterystyczną powierzenia jest, to że administrator ujawniając dane innemu podmiotowi, nie Tracji nad nimi kontroli.

3 Art Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt akt prawny, na na mocy których przetwarzający podlega administratorowi danych i i które w szczególności postanawiają, że: że: przetwarzający działa wyłącznie na na polecenie administratora danych, obowiązki wymienione w ust. 1, 1, określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego. Dyrektywa 95/46/We Parlamentu Europejskiego i i Rady z dnia października 1995 r. r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i i swobodnego przepływu tych danych do do spraw wewnętrznych

4 Zgodnie z art. 27 ust. 2 ustawy o ochronie danych osobowych przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach: w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub w celu zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. W tej sprawie zapis polskiej ustawy o ochronie danych osobowych jest bardzo podobny do zapisów art. 8 ust. 3 Dyrektywy 95/46 WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych z tą różnicą, że przepisy unijne umożliwiają przetwarzanie danych nie tyle osobom trudniącym się zawodowo leczeniem, ale pracownikom służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.

5 Art Zabrania się się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak jak równiej danych o stanie zdrowia, kodzie genetycznym, nałogach lub lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Przetwarzanie danych, o których mowa w ust. 1, 1, jest jednak dopuszczalne, jeżeli: ( ) 7) 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i i są są stworzone pełne gwarancje ochrony danych osobowych, Art.8. 1 Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do do związków zawodowych, jak jak również przetwarzanie danych dotyczących zdrowia i i życia seksualnego. ( ) Ustęp 1 nie nie ma ma zastosowania w przypadku gdy przetwarzanie danych wymagane jest do do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też też zarządzania opieką zdrowotną, jak jak również w przypadkach, gdy dane są są przetwarzane przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do do zachowania tajemnicy. Ustawa z dnia sierpnia 1997 r. r. o ochronie danych osobowych Dyrektywa 95/46/We Parlamentu Europejskiego i i Rady z dnia października 1995 r. r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i i swobodnego przepływu tych danych do do spraw wewnętrznych

6 Problemy ochrony danych osobowych przy świadczeniach zdrowotnych nie kończą się na przetwarzaniu danych przez osoby wykonujące zawody medyczne. Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych. G. Sibiga (Instytut Nauk Prawnych PAN): Komentarz do artykułu D. Frey Kto może przechowywać dane z badań leczniczych Rzeczpospolita 23 maja 2011

7 W kontekście rozstrzygnięcia dotyczącego możliwości udostępnienia danych medycznych osobom nie biorącym bezpośredniego udziału w procesie leczenia, w tym powierzenia przetwarzania osobowych danych medycznych podmiotowi zewnętrznemu specjalizującemu się w przetwarzaniu danych, kluczowe jest wyjaśnienie, czy administrowanie bazą danych zawierającą osobowe dane medyczne można zaklasyfikować jako zarządzenie usługami medycznymi. M.Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.

8 Definicja zarządzania: Zestaw działań (planowanie, organizowanie, motywowanie, kontrola) skierowanych na zasoby organizacji (ludzkie, finansowe, rzeczowe, informacyjne) wykorzystywanych z zamiarem osiągnięcia celów organizacji. R.W. Griffin Zarządzanie to działalność kierownicza polegająca na ustalaniu celów i powodowaniu ich realizacji w organizacjach podległych zarządzającemu, na podstawie własności środków produkcji lub dyspozycji nimi. B. Giliński Zarządzanie to działanie polegające na dysponowaniu zasobami T. Pszczołowski

9 Również w wyjaśnieniach słownikowych zarządzenie jest kojarzone przede wszystkim z kierowaniem i podejmowaniem decyzji. Na uwagę zasługuje również stanowisko Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej, która do funkcji zarządzania usługami opieki zdrowotnej zalicza: wystawianie faktur, prowadzenie rachunków oraz prowadzenie statystyk. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r., 00323/07/PL WP 131, str. 10

10 Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych W związku z tym, że w ustawie o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy o ochronie danych osobowych. Zgodnie z art. 8 ust. 3 Dyrektywy 46 osobowe dane medyczne powinny być przetwarzane wyłącznie przez osoby zobowiązane do zachowania tajemnicy. Na gruncie przepisów powszechnie obowiązujących w naszym kraju trudno jest znaleźć grupę zawodową (poza przedstawicielami zawodów medycznych), która byłaby zobowiązana do dochowania tej tajemnicy. W przypadku personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można tą kwestię próbować rozwiązać poprzez odpowiednie zapisy w umowie o pracę. W takim przypadku przesłanka stworzenia pełnych gwarancji ochrony wydaje się być spełniona, gdyż placówka opieki zdrowotnej poprzez sam fakt zatrudnienia takiej osoby na umowę o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych.

11 Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych (Cd) W przypadku powierzenia przetwarzania medycznych danych osobowych firmie zewnętrznej pojawiają się bardzo duże wątpliwości, gdyż bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie jest możliwa w ramach tradycyjnego stosunku służbowego. Trudno jest więc w takiej sytuacji mówić o stworzeniu pełnych gwarancji. Byłaby ona możliwa, gdyby placówki ochrony zdrowia podlegały rygorom rejestracji zbiorów danych osobowych w GIODO, a co za tym idzie wchodziłyby w reżim procedur kontrolnych ze strony tego urzędu. Wtedy firmy przetwarzające medyczne dane osobowe na podstawie umowy powierzenia podlegałyby również procedurom kontrolnym ze strony GIODO. Ustawa o ochronie danych osobowych zwolniła jednak placówki ochrony zdrowia z obowiązku rejestracji zbiorów danych osobowych.

12 Wnioski W świetle powyższych wyjaśnień należy stwierdzić, że osoby pełniące kierownicze funkcje w zakładzie opieki zdrowotnej mogą przetwarzać dane medyczne ze względu na cel, którym jest zarządzanie usługami medycznymi. Można, posiłkując się definicjami wypracowanymi przez Grupę Roboczą ds. Ochrony Danych Osobowych KE, próbować znaleźć uzasadnienie dla przetwarzania osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia tj.: statystyków, pracowników rejestracji, księgowych. Natomiast bardzo trudno w ten sposób uzasadnić możliwość przetwarzania osobowych danych medycznych przez osoby, które administrują bazą danych w ramach usługi outsourcingu.

13 Dostęp do dokumentacji medycznej wg Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej: Dostęp do dokumentacji medycznej poza samym pacjentem może przysługiwać tylko pracownikom opieki zdrowotnej (czyli uprawnionemu personelowi placówek opieki zdrowotnej) uczestniczącym w bieżącym leczeniu pacjenta. Musi istnieć relacja między pacjentem a pracownikiem medycznym poszukującym dostępu do dokumentacji, polegająca na rzeczywistym i bieżącym leczeniu. Jeżeli zajdzie konieczność przetwarzania osobowych danych medycznych przez personel niemedyczny, personel ten musi także podlegać wiążącym regulacjom zapewniającym co najmniej równoważny stopień poufności i ochrony. Regulacje te muszą przewidywać obowiązek używania danych wyłącznie do celów wymienionych w art. 8 ust. 3 Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych do spraw wewnętrznych. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r., 00323/07/PL WP 131, str. 10

14 Przetwarzanie danych medycznych poza placówką opieki zdrowotnej w świetle wymagań Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

15 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta nie odnosi się do kwestii dopuszczalności outsourcingu prowadzenia dokumentacji medycznej w działalności podmiotów leczniczych. Nie zawiera ona żadnych zapisów poświęconych outsourcingowi, takich jak np. w ustawie o działalności ubezpieczeniowej czy też prawie bankowym, które regulują tą formę działalności. Jednocześnie ustawa o ochronie danych osobowych wyznacza bardzo wąskie przesłanki do przetwarzania tzw. "danych wrażliwych", ograniczając krąg podmiotów uprawnionych do przetwarzania takich danych do "osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych". Sytuacja ta rodzi pytanie: czy ustawodawca umyślnie zdecydował, że outsourcing jest zakazany i nie poświęcił mu choćby jednego zdania w przepisach czy też brak regulacji w tym względzie jest po prostu przeoczeniem, luką ustawową, wobec czego należy szukać rozwiązań problemu na gruncie zasad ogólnych wyznaczanych przez ustawę o ochronie danych osobowych.

16 Generalny zakaz przetwarzania danych medycznych w ramach dokumentacji medycznej zawierało nieobowiązujące już Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania. Sformułowanie zawarte w 44 tego rozporządzenia: Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona oznaczało wprost, iż dokumentacja medyczna nie mogła być archiwizowana poza terenem zakładu rozumianym w sensie strukturalnym (tj. jako zbiór jego jednostek i komórek organizacyjnych). W rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania poprzez zamianę zaimków w na przez oraz zakład na podmiot zrezygnowano z utożsamiania miejsca położenia podmiotu oraz lokalizacji składowania dokumentacji medycznej, co otworzyło pewne możliwości zastosowania outsourcingu przetwarzania danych medycznych w ramach dokumentacji medycznej.

17 Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona Dokumentacja zewnętrzna w postaci zleceń lub skierowań, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania Dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją ją sporządził Dokumentacja zewnętrzna w postaci zleceń lub skierowań jest przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

18 Bezpośrednią zgodę na przechowywanie dokumentacji medycznej poza podmiotami udzielającymi świadczeń zdrowotnych ustawodawca zawarł natomiast w nowym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych. W tym przypadku, dotychczasowy zapis dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona pozostawiono niezmieniony, dodając jednak drugi ustęp odnoszący się wprost do możliwości powierzenia archiwizacji dokumentów medycznych osobom trzecim. Rozwiązanie przyjęte przez Ministra Spraw Wewnętrznych i Administracji oddaje w pełni istotę problemu outsourcingu przetwarzania elektronicznej dokumentacji medycznej. Liberalizacja zasad co do miejsca przetwarzania danych medycznych nie może oznaczać udostępnienia danych medycznych osobom nieuprawnionym

19 Z uwagi na brak legalnej definicji udostępnienia danych medycznych w literaturze podmiotu podejmuje się próby podjęcia tej kwestii w oparciu o powszechnie przyjęte zasady wykładni prawa. Biorąc pod uwagę potoczne rozumienie słowa udostępnienie, termin udostępnienie dokumentacji należy rozumieć jako umożliwienie jej poznania podmiotowi innemu niż dysponujący nią. W przypadku udostępnienia dokumentacji medycznej dochodzi więc do ujawnienia medycznych danych osobowych M Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego)

20 Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona Dokumentacja indywidualna zewnętrzna, o której mowa w 8 ust. 4 pkt 1 i i 2, 2, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. ( ) Dopuszcza się archiwizację dokumentacji przez inny podmiot, pod warunkiem zabezpieczenia jej przed zniszczeniem, uszkodzeniem lub utratą i i dostępem osób nieupoważnionych Rozporządzenie Ministra Spraw Wewnętrznych i i Administracji z dnia 18 maja 2011 r. r. w sprawie rodzaju i i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych

21 Problematyka wyboru technologii przetwarzania danych medycznych w outsourcingu a uwarunkowania prawno-organizacyjne dotyczące lokalizacji przechowywania dokumentacji elektronicznej

22 Zlecając przetwarzanie i archiwizację elektronicznej dokumentacji medycznej wyspecjalizowanej firmie, należy zwrócić uwagę na konieczność jednoznacznej identyfikacji miejsca przetwarzania danych medycznych. Świadczeniodawca powinien posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. W zasadzie powinien to być tzw. serwer dedykowany, czyli odrębny komputer (maszyna fizyczna) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych. Alternatywnym rozwiązaniem mogłaby być ewentualnie dzierżawa albo konkretnego serwera (tzw. serwer dedykowany), albo części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany).

23 74.Miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot, a w zakładzie opieki zdrowotnej - kierownicy poszczególnych komórek organizacyjnych tego zakładu w porozumieniu z kierownikiem zakładu. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

24 Art Użyte w ustawie określenia oznaczają: ( ) 12) przedsiębiorstwo pomocniczych usług bankowych - podmiot, którego podstawowa działalność ma charakter pomocniczy w stosunku do podstawowej działalności jednego lub więcej banków, a w szczególności polega na zarządzaniu własnym lub powierzonym majątkiem lub świadczeniu usług w zakresie przetwarzania danych, Art Dokumenty związane z czynnościami bankowymi mogą być sporządzane na informatycznych nośnikach danych, jeżeli dokumenty te te będą w sposób należyty utworzone, utrwalone, przekazane, przechowywane i i zabezpieczone. Usługi związane z zabezpieczeniem tych dokumentów mogą być wykonywane przez banki, spółki tworzone przez banki z innymi podmiotami, a także przedsiębiorstwa pomocniczych usług bankowych. Ustawa z dnia 29 sierpnia 1997 r. r. Prawo bankowe

25 Podsumowanie W świetle tych rozważań należy stwierdzić, że chociaż powierzenie przetwarzania osobowych danych medycznych firmom specjalizującym się w profesjonalnym przetwarzaniu danych nie jest już zakazane, to nadal istnieją poważne bariery w jego stosowaniu. Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Przyjęcie takiego rozwiązania jest jednak od strony praktycznej bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać wymaganą zgodę za każdym razem. Natomiast brak zgody choćby w jednym przypadku przekreśla sens wdrażania takiego rozwiązania. Poprawa tego stanu wymagałaby zmian w ustawie o ochronie danych osobowych, a zwłaszcza w art. 27 ust. 2 ustawy, gdzie należałoby więc doprecyzować przesłankę zarządzania udzielaniem usług medycznych dopuszczającą przetwarzanie osobowych danych medycznych. Zmodyfikowane musiałyby być też zapisy w ustawie o prawach pacjenta oraz Rzeczniku Praw Pacjenta, w której należałoby rozszerzyć zakres podmiotów uprawnionych do dostępu do dokumentacji medycznej o profesjonalnie podmioty zajmujące się przetwarzaniem danych na podobnej zasadzie jak w przepisach ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe w zakresie dotyczącym możliwości outsourcingu czynności bankowych na rzecz podmiotów trzecich.

26 Dziękuję za uwagę Zapraszam do dyskusji