Tworzymy, wdrażamy i nadzorujemy realizację Polityk Bezpieczeństwa Danych Osobowych opartych na przepisach RODO dla Firm z wielu branż

RODO w służbie zdrowia – przepisy a rzeczywistość

2019-01-12 16:21:38

Przepisy RODO, obowiązujące w Polsce od dnia 25 maja br. powodują wiele trudności w ich interpretowaniu i stosowaniu, szczególnie w tak wrażliwych obszarach jak szeroko pojęta służba zdrowia.


Śledząc doniesienia medialne na temat absurdalnego wręcz podejścia do przepisów RODO w różnych obszarach życia publicznego wydaje się, że najwięcej kłopotów z interpretacją tych przepisów ma właśnie służba zdrowia, w szczególności NZOZ-y oraz Szpitale. Jak donosi Fundacja Panoptykon, pacjenci w jednej z przychodni, w związku z wejściem z życie przepisów RODO, zostali obdarzeni pseudonimami Batman, Skrzat i Muminek, w celu ochrony ich danych osobowych – nie jest to oczywiście dostosowanie się do przepisów RODO, a jedynie nadgorliwość oraz brak zrozumienia zasad ochrony danych osobowych pacjentów kadry zarządzającej placówką. Niestety nie jest to odosobniony przypadek, wystarczy chociażby wspomnieć o sytuacji, którą relacjonowała Gazeta Wyborcza – mężczyzna, którego córka została zabrana do szpitala, nie mógł uzyskać informacji o miejscu jej pobytu. Najpierw więc udał się na SOR szpitala wojewódzkiego, później do siedziby pogotowia ratunkowego, pracownicy pogotowia odmówili mu jednak informacji, zasłaniając się RODO. Pojechał na policję, ale na komisariacie też odesłali go z kwitkiem. Dowiedział się, że funkcjonariusze mogliby poszukać córki, gdyby popełniła jakieś przestępstwo, a w tej sytuacji nie mogą nic zrobić. Odwiedzając kolejne szpitale mężczyzna trafił do Beskidzkiego Centrum Onkologii - Miejskiego Szpitala im. Jana Pawła II. Okazało się, że to do niego trafiła jego córka. Lista RODO-absurdów w służbie zdrowia jest coraz dłuższa. Poniżej postaramy się w sposób przystępny przedstawić najważniejsze kwestie, związane z wdrożeniem oraz właściwą interpretacją przepisów RODO w służbie zdrowia. NZOZ – y oraz Centra Medyczne: W jaki sposób zapewnić pacjentowi anonimowość podczas rejestracji wizyty u lekarza w przychodni? • Podstawowym i skutecznym sposobem zabezpieczenia danych osobowych podczas rejestracji jest wyznaczenie odpowiedniego miejsca do jej realizacji, w sposób uniemożliwiający osobom postronnym lub innym pacjentom, czekającym w kolejce, przebywanie w tym wrażliwym obszarze, np. poprzez: wyraźne wyznaczenie tego obszaru (np. taśmą lub farbą fluorescencyjną), w którym może przebywać tylko jedna osoba, obsługiwana przez rejestratora. • Umieszczenie w obszarze rejestracji pacjentów wyraźnego i dostępnego dla wszystkich komunikatu, że przy stanowisku rejestracyjnym może przebywać tylko jedna osoba oraz osoby jej towarzyszące, tj. opiekun prawny lub przedstawiciel ustawowy. • Zachowanie odpowiedniej odległości pomiędzy stanowiskami rejestracyjnymi. • Rejestracja elektroniczna lub telefoniczna z zachowaniem odpowiednich klauzul informacyjnych. W jaki sposób zweryfikować tożsamość pacjenta? • Przede wszystkim ustalenie i zweryfikowanie tożsamości pacjenta, nie może utrudniać dostępu do uzyskania przez niego świadczenia medycznego. • Potwierdzenie tożsamości pacjenta powinno ograniczać ryzyko uzyskania dostępu do jego danych osobowych osobom nieupoważnionym – rejestrator może poprosić o okazanie dokumentu tożsamości, a w przypadku odmowy jego okazania należy pozyskać inne dane identyfikacyjne, np. PESEL. • Można zastosować odpowiednie formularze, które wypełnia pacjent. • Można wprowadzić zabezpieczoną w odpowiedni sposób rejestrację elektroniczną. W jaki sposób zapewnić pacjentom anonimowość podczas wzywania ich do gabinetów lekarskich w przypadku gdy placówka nie może wdrożyć elektronicznego systemu identyfikacji pacjentów (numerki nadane pacjentom wyświetlane nad gabinetami)? • Wykorzystać numer identyfikacyjny, nadany pacjentowi w formie znaku lub pseudonimu numerycznego, poprzez wpisanie ich do dokumentacji medycznej z ich jednoczesnym przekazaniem pacjentowi, wówczas pacjent wzywany jest do gabinetu po tym, unikalnym numerze. • Nadać pacjentowi numer podczas rejestracji, po czym przekazać go pacjentowi oraz lekarzowi w gabinecie. • Wzywać pacjenta po godzinie umówionej wizyty. • Wzywać pacjenta po imieniu i godzinnej umówionej wizyty. Czy placówka medyczna może na drzwiach gabinetów zamieszczać imiona i nazwiska lekarzy? Tak – nie narusza to przepisów RODO. Szpitale: Czy lekarze i personel medyczny mogą zwracać się do pacjentów przebywających na sali chorych po imieniu i nazwisku? • Lekarze oraz personel medyczny nie powinni zwracać się do pacjentów hospitalizowanych po imieniu i nazwisku. W zamian można użyć zwrotu grzecznościowego Pan/Pani wraz z jego imieniem (co zapewni poszanowanie godności pacjenta). Wyjątek od tej zasady stanowią sytuacje, gdy nie ma możliwości zidentyfikowania pacjenta wyłącznie po imieniu oraz w sytuacji wystąpienia konieczności podjęcia natychmiastowych działań, związanych z ratowaniem jego życia. • Zasadą powinno być jednak zaopatrywanie pacjentów szpitali w znaki identyfikacyjne, o których mowa w art. 36, ust. 3 i 5 Ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Znaki identyfikacyjne o których mowa powinny zawierać informacje pozwalające na ustalenie imienia i nazwiska pacjenta oraz jego daty urodzenia w sposób uniemożliwiający jego identyfikację przez osoby nieuprawnione. Czy lekarz może rozmawiać z pacjentem o stanie jego zdrowia na sali chorych? • Informacje na temat planowanych wobec pacjenta procedur medycznych, diagnozy, sposobu leczenia, w przypadku gdy stan zdrowia pacjenta na to pozwala, powinny być przekazywane w gabinetach lekarskich, lub innych ustronnych miejscach. Przy takiej rozmowie, jeśli pacjent wyrazi taką potrzebę, może uczestniczyć osoba najbliższa lub członek rodziny. • Komunikacja z pacjentem, która dotyczy bieżącego monitorowania stanu jego zdrowia (np. w trakcie obchodu pytania o samopoczucie, informacja o zmianie leków) może być prowadzona bezpośrednio na sali chorych. Czy przepisy RODO należy stosować do każdego rodzaju komunikacji pomiędzy pacjentem a personelem medycznym czy administracją szpitala? • Przepisy RODO znajdują zastosowanie do tych rozmów z pacjentem, podczas których przetwarzane są jego dane osobowe, np. podczas gdy administracja szpitala w rozmowie z pacjentem ustosunkowuje się do złożonej przez niego skargi w zakresie leczenia. Czy podmiot leczniczy może udzielić telefonicznie informacji o hospitalizacji pacjenta w przypadku gdy nie ma pewności, co do tożsamości rozmówcy? • Podmiot leczniczy może udzielić takich informacji, ale tylko w nadzwyczajnych przypadkach – w tzw. stanie wyższej konieczności, gdy może mieć to wpływ na stan zdrowia lub życie pacjenta: np. w przypadku nagłego wypadku, klęski żywiołowej oraz zaistnienia bezpośredniego zagrożenia życia pacjenta (w takich przypadkach należy odwołać się do zdrowego rozsądku, aby umożliwić realizację praw pacjenta oraz członków jego rodziny). • Należy jednak upewnić się, że rozmówca jest uprawniony do otrzymania takiej informacji, poprzez zadanie kilku pytań kontrolnych, np. zapytanie o PESEL pacjenta lub adres jego zamieszkania, jeżeli placówka posiada takie informacje. • Należy stosować minimalizację danych przekazywanych drogą telefoniczną, tj. ograniczyć je do niezbędnego minimum, koniecznego do realizacji praw pacjenta oraz członków jego rodziny. Czy Szpital może stosować tradycyjne karty przyłóżkowe pacjentów, zawierające dane w postaci imienia i nazwiska lub informacje o stanie zdrowia pacjenta w zakresie temperatury jego ciała? • Karty przyłóżkowe pacjentów dają gwarancję szybkiego działania w sytuacjach kryzysowych, np. podczas nagłego pogorszenia się stanu zdrowia pacjenta. Z uwagi na fakt, że Szpital ma za zadanie ochronę życia i zdrowia pacjenta, może w taki, umożliwiający szybką interwencję sposób, przechowywać dane pacjenta. • Karty przyłóżkowe powszechnie używane w Szpitalach, w szczególności natomiast w Szpitalnych Oddziałach Ratunkowych (SOR), powinny być odpowiednio zabezpieczone, np. poprzez: ramki uniemożliwiające odczytanie danych przez osoby nieupoważnione, nakładki lub gdy jest to możliwe powinny być odwrócone. Czy Szpital może oznaczać imieniem i nazwiskiem pacjenta produkty lecznicze, które przyjmuje on podczas hospitalizacji? • Szpital może oznaczać w taki sposób leki przyjmowane przez pacjenta, ponieważ pomaga on uniknąć wielu pomyłek przy rozdzielaniu produktów medycznych. (Źródło: https://uoodo.pl/, Fundacja Panoptykon, Gazeta Wyborcza)