Szpitale i ośrodki zdrowia każdego dnia przetwarzają dane osobowe tysięcy pacjentów. Dokumentacja medyczna wciąż jeszcze funkcjonuje w formie papierowej, aczkolwiek coraz większa część danych przeniesiona zostaje do systemów elektronicznych. Na razie pomyślnie wprowadzone zostały m. in. systemy eWUŚ (Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców) i ZIP (Zintegrowany Informator Pacjenta). Trwają też prace nad wdrożeniem Systemu Informacji w Ochronie Zdrowia (SIOZ). Jak każde nowe i niepewne rozwiązanie, system SIOZ budzi wiele wątpliwości, szczególnie w zakresie ochrony danych wrażliwych pacjentów. Na przestrzeni ostatnich kilku lat unowocześniono niektóre rozwiązania związane z obsługą administracyjną w szpitalach. W parze z informatyzacją systemu opieki zdrowotnej, ruszyły też – choć jeszcze dość wolno – procesy wzmacniające ochronę danych osobowych w placówkach medycznych.
Szpitalne półki dostępne dla KAŻDEGO
Kontrole Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nie ominęły szpitali. Czytając decyzje wydane na podstawie raportów z takich wizyt, można odnieść wrażenie, iż skala zaniedbań w tych ośrodkach jest ogromna. Każdy, kto musiał zmierzyć się z polskim systemem opieki zdrowotnej, doskonale wie, jaka jest rzeczywistość. Informacje o naszym stanie zdrowia, które stanowią dane wrażliwe, a więc według Ustawy o ochronie danych osobowych wymagające szczególnego przetwarzania, najczęściej nie są wystarczająco zabezpieczone. Zarówno przed zniszczeniem, jak i dostaniem się w niepowołane ręce…
Część problemów, jakie występują w sektorze ochrony zdrowia, jest podobna do tych z jakimi mamy do czynienia w innych obszarach. Jednym z powszechniejszych jest zwykłe bałaganiarstwo, które powoduje, że dane medyczne są dostępne dla osób przypadkowych. – mówi dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.
To bałaganiarstwo przybiera nieraz zatrważający wymiar. Historie z życia wzięte: Dokumentacja przebiegu chorób pacjentów leży na otwartej półce w pomieszczeniu zajmowanym przez sekretarki medyczne. Dostęp do niej mają właściwie wszystkie osoby, które przez całą dobę przewijają się przez „dyżurkę”.
„Odkryte” tajemnice lekarskie
W archiwum szpitala nie prowadzi się rejestracji wypożyczania historii chorób. Nie wiadomo kiedy, kto, komu, i jakie dokumenty udostępnił. Nie wiadomo ponadto, czy w ogóle zostały one zwrócone. Klucze do pomieszczeń, w których przechowywana jest dokumentacja medyczna personel pozostawia po pracy w drzwiach, po to, aby swobodnie mogły wejść do nich osoby sprzątające. O procedurze postępowania z kluczami do pokojów, w których znajdują się zbiory danych osobowych niestety „zapomniano”.
W wielu szpitalach i ośrodkach zdrowia „zapomniano” także o innych podstawowych procedurach, takich jak czujniki przeciwpożarowe, polityka bezpieczeństwa, czy nadawanie upoważnień do przetwarzania danych osobowych. W niektórych szpitalach, dla odmiany, „na wszelki wypadek” zadbano o upoważnienia dla osób sprzątających, które de facto nie przetwarzają danych osobowych! Należy zdać sobie sprawę również z tego, iż oprócz ogólnych przepisów Ustawy o ochronie danych osobowych, w przypadku dokumentacji medycznej dochodzą jeszcze przepisy o tajemnicy lekarskiej, za którymi idzie znaczne ograniczenie kręgu osób mających prawo do dostępu do takich zbiorów. GIODO wzywa do usuwania uchybień, apeluje do resortu zdrowia.
Gdzie zniknęły karty z łóżek pacjentów?
Po kontrolach w placówkach medycznych i licznych wystąpieniach GIODO adresowanych do Ministerstwa Zdrowia, jak również dzięki działaniom własnym Ministerstwa, na przestrzeni ostatnich kilku lat, możemy zauważyć, że coś się jednak zmieniło w polskiej służbie zdrowia.
Hospitalizowanych i odwiedzających może zdziwić fakt zniknięcia kart pacjenta, które niegdyś zawieszone były na szpitalnych łóżkach. Generalny Inspektor Ochrony Danych Osobowych zakwestionował zasadność stosowania kart zawierających dane osobowe (imię i nazwisko, numer PESEL), umieszczonych w sposób umożliwiający zapoznanie się z ich treścią osobom do tego nieuprawnionym. Powołał się przy tym na przepisy Ustawy o ochronie danych osobowych oraz innych ustaw, spośród których należy wymienić przede wszystkim Ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta (przepisy art. 13 i 14 niniejszej Ustawy). W 2012 r. Minister Zdrowia zaapelował do dyrektorów szpitali, by strzegli w tym zakresie prywatności pacjentów. Zaproponował rozwiązanie kompromisowe, jakim mogłyby być dwustronne karty gorączkowe.
Zaprzestano też na przykład wywoływania zapisanych w kolejce do lekarza pacjentów po nazwisku. Rozwiązanie to zostało zastąpione w większości wypadków numerkami. A zanim jeszcze zarejestrujemy się na wizytę, zobaczymy w przychodni tabliczkę informującą nas, iż ze względu na ochronę danych osobowych przy okienku może być obsługiwany tylko jeden pacjent.
Wielkie wyzwanie dla Ministerstwa Zdrowia
Wprowadzane zmiany są zdecydowanie za mało radykalne i dynamiczne. Wdrażanie ich wiąże się z dużymi trudnościami. W rzeczywistości szpitale, które nie zostały skontrolowane i wezwane do usunięcia uchybień przez GIODO, często pozostają bez prawidłowej polityki bezpieczeństwa. Patrząc na ilość kwestii nadal nie rozwiązanych w skali krajowej, śmiało można powiedzieć, że dla Ministerstwa Zdrowia ochrona danych osobowych pacjentów wciąż stanowi wielkie wyzwanie.
Artykuł autorstwa Katarzyny Sawczuk pod redakcją Justyny Bardadyn.
Źródła:
http://www.infodent24.pl/lexdentpost/swiadczeniodawca-moze-spodziewac-sie-kontroli-giodo,4934.html
http://prawowmedycynie.blogspot.com/2012/06/czy-mozna-wywoywac-pacjenta-po-nazwisku.html
http://poznan.gazeta.pl/poznan/1,36001,11227587,Wielki_Brat_w_szpitalu__Kogo_podglada_dyrektor_.html
http://www.giodo.gov.pl/1520179/id_art/7668/j/pl/
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Choć temat był poruszony kilka lat temu, niestety dziś też można zauważyć pewne tendencje. Czasami odnoszę wrażenie, że niewiele się tam zmienia 🙁
Cała nadzieja w RODO, przewidziane w nim kary są motywujące do zmian w dobrym kierunku 🙂