PARTNER PORTALU
partner portalu

RODO w medycynie: jest dobrze?

ms
05-08-2019, 10:41
RODO w medycynie: jest dobrze? Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych RODO, obecnie dziekan Wyższej Szkoły Bankowej w Warszawie (foto: archiwum)
Niesłuszne obawy i słuszne żale, uzasadniona asekuracja i bezzasadna nadgorliwość - jak zareagowała branża medyczna na wdrożenie przepisów o ochronie danych osobowych i jak realizuje ten obowiązek w rok od wprowadzenia RODO infoDENT24.pl pyta Macieja Kaweckiego, koordynatora krajowej reformy ochrony danych osobowych RODO (obecnie pełni funkcję dziekana Wyższej Szkoły Bankowej w Warszawie).

infoDENT24.pl: O przepisach RODO, gdy rok temu praktycznie jeszcze nikt ich nie widział na własne oczy, rozprawiano z przerażeniem, głównie w oparciu o podawane z ust do ust przekazy o drakońskich karach. Szczęśliwie dla branż, na które padł blady strach, w tym szczególnie dla branży medycznej, pogłoski o czyhającym na każdego monstrum stworzonym z bezwzględnych przepisów i rygorystycznych zasad, okazały się być mocno przesadzone. Co do zasad - sprawdziła się jedna: że strach ma wielkie oczy.
Maciej Kawecki, koordynator krajowej reformy ochrony danych  osobowych RODO, obecnie dziekan Wyższej Szkoły Bankowej w Warszawie: Stylistyka fantasmagorii przy ocenie prawa regulującego ochronę danych osobowych, nie jest być może najszczęśliwszym pomysłem, aczkolwiek reakcje niektórych podmiotów funkcjonujących w branży medycznej faktycznie świadczyć mogły o tym, że nadejście RODO potraktowano jak baśń o żelaznym wilku.

Przypomnę chociażby przypadki odmowy udzielenia telefonującym rodzicom informacji o stanie zdrowia dzieci poszkodowanych w wypadkach komunikacyjnych, a to dlatego, że w danej chwili weryfikacja tożsamości osoby dzwoniącej była niemożliwa. Przypomnę wreszcie o rozpoczynaniu świadczenia zdrowotnego od zbierania od pacjentów deklaracji potwierdzających zaznajomienie się z uprawnieniami wynikającymi z przepisów RODO - nawet wówczas, gdy jak najszybsza interwencja medyczna była wskazana w celu ratowania czyjegoś zdrowia.

Dzisiaj jest już dużo lepiej. Baśń o żelaznym wilku niestety pobrzmiewa do teraz – na szczęście w sporadycznych przypadkach. Jako przykład niech posłuży działanie jednego ze znaczących ubezpieczycieli, który wprowadził usługę wsparcia medycznego przysługującego uczestnikom wypadków komunikacyjnych. Posiadacz stosownego ubezpieczenia ma prawo do skorzystania na miejscu zdarzenia z pomocy medycznej. Problem w tym, że aby móc telefonicznie taką potrzebę zgłosić, należy wysłuchać nagranej informacji o prawach wynikających z przepisów RODO. Stosowny komunikat w wersji skróconej trwa ponad minutę (nagranie tutaj – przyp. red.), a w pełnej wersji… ponad 8 minut. To aberracja, której nie da się wytłumaczyć racjonalnymi przesłankami. Tak więc czasami można odnieść wrażenie, że zdrowy rozsądek zaginął gdzieś w gąszczu absurdalnych zabezpieczeń przed ewentualną odpowiedzialnością z tytułu naruszenia RODO.

infoDENT24.pl: Zgoda, taki pomysł niewiele ma wspólnego ze zdrowym rozsądkiem, aczkolwiek trudno oprzeć się wrażeniu, że tego typu algorytm powstał na skutek wprowadzenia tak zwanego otwartego prawa, opartego na dość enigmatycznej zasadzie: róbcie jak uważacie, ale uważajcie jak robicie. Nic dziwnego, że pojawiają się puryści, którzy na wszelkie sposoby chcą się zabezpieczyć przed ewentualnym oskarżeniem o pozaprawne działanie, a w konsekwencji przed kontrolą i karą.
Maciej Kawecki: Wróćmy zatem do baśni o żelaznym wilku. Po ponad roku obowiązywania przepisów RODO Urząd Ochrony Danych Osobowych nałożył raptem dwie kary finansowe i żadna z nich nie dotyczyła branży medycznej. Tak więc absolutnie nie jest tak, że szwadrony inspektorów pod sztandarami UODO rozdają na lewo i prawo kary za niedopełnienie obowiązku ochrony danych osobowych.

infoDENT24.pl: Pytanie czy mamy do czynienia z taką sytuacją, bo jest tak dobrze z przestrzeganiem prawa, czy może źle się ma instytucja nieuchronności kary, co niestety także nieuchronnie prowadzić będzie do zaniku czujności względem obowiązków wynikających z wymogów RODO.
Maciej Kawecki: Zdecydowanie ta pierwsza diagnoza jest bliższa prawdzie. Rzec można, że po roku funkcjonowania ustawy o ochronie danych osobowych ostatecznie zanikła fala niezrozumienia zawartych w niej przepisów. W szpitalach, w przychodniach zdrowia, wszędzie tam gdzie jest to uzasadnione - mamy strefy prywatności pacjentów oczekujących w kolejce na przykład do rejestracji.

W zasadzie nie ma już, forsowanego rok temu, priorytetu ochrony danych osobowych nad ochroną zdrowia i życia pacjenta. Powróciliśmy do normalności, ale rzekłbym na wyższym poziomie. Większość Polaków wie, że przysługują im prawa w zakresie ochrony danych osobowych i w sposób rozumny z tego prawa korzystają. Podam przykład z autopsji. Byłem świadkiem takiej oto sytuacji. Wobec wysokich temperatur, panujących w pomieszczaniach przychodni, ktoś z personelu otworzył drzwi do punktu pobierania krwi. Po zdawkowej uwadze jednego z pacjentów, że takie postępowanie nie jest zgodne z prawem do zachowania w należytym poszanowaniu poczucia intymności - drzwi bez żadnych utyskiwań zostały zamknięte. To drobiazg, ale obrazuje inny sposób myślenia nas wszystkich.

Po roku od wdrożenia RODO mamy do czynienia z wyższą świadomością praw po stronie pacjentów, jednocześnie jesteśmy świadkami racjonalnych zachowań po stronie świadczeniodawców. To cieszy zważywszy, że sektor ochrony zdrowia niemal zawsze operuje na tak zwanych danych wrażliwych, a więc związanych ze sferą zdrowia człowieka.

Ta wyższa świadomość wyraża się liczbą zgłoszeń do UODO naruszeń prawa. Po wdrożeniu nowych przepisów było ich dwukrotnie więcej niż w takim samym okresie, ale przed datą obowiązywania nowych przepisów. Wśród tych spraw na pewno są też te dotyczące sektora zdrowia, ale nie mam informacji jakoby skala naruszeń była w tym obszarze jakaś nadzwyczajnie duża względem innych sektorów.

infoDENT24.pl: Nikt nie lekceważy nowych przepisów, o czym może świadczyć chociażby uporczywa walka o wdrażanie kodeksów dobrych praktyk, mających być swoistą biblią dla świadczeniodawców starających się sumiennie wypełniać treścią idee RODO. Okazuje się jednak, że po roku zmagań z materią bodajże tylko Porozumienie Zielonogórskie doprowadziło proces tworzenia kodeksu do końca, czyli do uznania go przez UODO. Warto zauważyć, że w tym przypadku mamy do czynienia z ponad stustronicowym dokumentem, a dokładniej z ostatnią spośród kilkunastu jego wersji. Póki co, inne grupy świadczeniodawców wciąż są „w drodze”.
Maciej Kawecki: Z pewnością sam proces kodyfikacji wymogów i pisania algorytmów postępowania nie należy do zagadnień trywialnych. Sądzę jednak, że głównym powodem zwłoki jest konieczność ustalenia podmiotu, który egzekwowałby kodeksowe przepisy. Nie może tak być, że byłby to podmiot nadzorowany i finansowany przez kontrolowanych. Wprowadzenie niezależnego arbitra jest skomplikowaną materią, bo chodzi nie tylko o jego finansowanie, ale o niebudzący wątpliwości merytoryczny poziom rozstrzygnięć. To może być jedna z zasadniczych przyczyn zwłoki.

infoDENT24.pl: Nawet jeśli większość świadczeniodawców w sektorze ochrony zdrowia odetchnęła z ulgą, myśląc nie taki straszny diabeł jak go malują, jeśli legislatorzy z satysfakcją zawołali „mamy to” - kolejne problemy stoją u wrót, jak chociażby konieczność związania się z dostawcą elektronicznej dokumentacji medycznej.  Słyszy się zewsząd, że skoro rząd wprowadził wymogi, to niech rząd poda, kto je spełnia. Nie może tak być, iż cała odpowiedzialność zrzucana jest  na ducha winnego świadczeniodawcę, który we własnym interesie powinien związać się z dostawcą EDM, oferującym produkt niezawodnie spełniający wymogi ochrony danych osobowych. Tymczasem nikt nie chce takiej listy referencyjnej dostawców stworzyć i szczerze mówiąc trudno się dziwić. Skoro bowiem obowiązuje swoboda działalności gospodarczej, nie sposób oczekiwać rankingu firm niejako koncesjonowanych przez rząd. To jednak nie przekonuje rozżalonych.
Maciej Kawecki: Analiza sytuacji i wybór dostawcy oprogramowania, to raczej zadanie dla inspektorów danych osobowych, z którymi w zasadzie każdy podmiot, funkcjonujący w sferze ochrony zdrowia, musi ściśle współpracować. To właśnie on powinien mieć, z jednej strony rozeznanie w stosowanych technologiach, z drugiej zaś - wiedzę na temat warunków zapewniających niezbędne wymogi bezpieczeństwa, to właśnie inspektor powinien posiadać umiejętność oceny ryzyka wystąpienia „wpadki”. Nikt z poziomu instytucji rządowej nie będzie zajmował się ręcznym sterowaniem pracy podmiotów w tej czy w innej branży.

infoDENT24.pl: Sterować nie, ale reagować powinno się, jak chociażby w sytuacjach, w których samozwańczy „szeryfowie” masowo wysyłają do podmiotów działających w branży medycznej pisma obligujące do wpłaty na określone konto wskazanej kwoty pieniędzy - w celu uniknięcia odpowiedzialności za rzekome naruszanie przepisów RODO.
Maciej Kawecki:
Nie tylko powinniśmy, ale i zajęliśmy się tą patologią. Otóż w maju weszła w życie nowelizacja zaostrzająca przepisy prawa karnego, która tego typu wymuszenia określa jako przestępstwo zagrożone nie tylko karą finansową, ale i odpowiedzialnością karną.

Zagrożeń jest więcej, a to z powodu rozwoju technologii. Musimy koncentrować się na reagowaniu na nowe sytuacje w obszarze ochrony danych osobowych, wynikające chociażby z powszechnie już stosowanych dronów, za pośrednictwem których mogą być penetrowane w dotychczas nieznany sposób sfery prywatnego życia obywateli. Nowe wyzwania niesie także zjawisko wykorzystywania danych biomedycznych.

Ostatnio wprowadziliśmy pakiet rozwiązań prawnych mających uchronić nas przed skutkami kradzieży tożsamości. Kolejne zagrożenia niosą ze sobą sztuczna inteligencja, czy internet rzeczy. To nowe obszary, które muszą być monitorowane, aby nie były okazją do znajdywania luk w systemie ochrony danych osobowych.

infoDENT24.pl: Sięganie tam gdzie wzrok nie sięga jest racjonalne, ale nie wolno zapominać o potrzebach chwili. Rok temu Ministerstwo Zdrowia przy wsparciu Ministerstwa Cyfryzacji uruchomiło przewodnik po RODO. Pod Pana kierownictwem miała funkcjonować grupa robocza do spraw ochrony danych osobowych. Serwis jest dokładnie taki jaki był rok temu - w momencie inauguracji, a większość członków szacownego gremium z grupy roboczej pewnie zapomniała, że w niej zasiada.
Maciej Kawecki: W tym przypadku nie są to efekty zaniechania, a wynik braku potrzeby. Reagujemy na konkretne zagrożenia, a w branży medycznej takich zagrożeń – póki co - po prostu nie ma.

Po roku funkcjonowania RODO zapewniam, że przepisy spełniają zadania i nie ma potrzeby dokonywać w tej sferze rewolucji lub chociażby tylko korekt. To efekt wysiłku wszystkich odpowiedzialnych osób funkcjonujących w ochronie zdrowia, za ten wysiłek serdecznie dziękuję. To była dobra robota.

Słuchaj także: RODO w medycynie: tak trzymać

Podobał się artykuł? Podziel się!
SŁOWA KLUCZOWE
dokumentacja medyczna   RODO  

POLECAMY W SERWISACH

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.