O tym, jak wygląda w Polsce ochrona danych medycznych, eksperci dyskutowali podczas Konferencji „Ochrona danych w robotyce medycznej w dobie AI Act i EHDS”, zorganizowanej przez prezesa Urzędu Ochrony Danych Osobowych oraz Fundację AI One Health wraz z Izbą POLMED i Ośrodkiem Przetwarzania Informacji – Państwowy Instytut Badawczy, we współpracy ze Społecznym Zespołem Ekspertów przy PUODO. Prawo.pl było patronem medialnym wydarzenia. Eksperci rozmawiali o tym, w jaki sposób ochronę danych medycznych zmienia nowa technologia, która coraz częściej jest wykorzystywana w medycynie, oraz jakie szanse i zagrożenia się z tym wiążą. To szczególnie istotne w momencie, gdy stoimy przed wyzwaniem implementacji rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space, czyli EHDS). Wprowadza ono wiele korzystnych rozwiązań, sporo jednak będzie musiało się zmienić w obszarze obchodzenia się z danymi medycznymi. 

Problemy u podstaw 

Tymczasem, jak podkreślała w trakcie jednej z debat odbywających się w ramach konferencji Aneta Sieradzka, prezeska Fundacji AI One Health, wciąż mamy problemy z tym, że nie przestrzegamy absolutnie podstawowych zasad bezpieczeństwa w ochronie danych medycznych. I dzieje się tak po blisko siedmiu latach funkcjonowania ogólnego rozporządzenia o ochronie danych (RODO). Z czego to wynika? Ekspertka zaznaczała, że to często kwestia niskiej świadomości zarówno po stronie personelu medycznego, jak i menedżerów zarządzających placówką. Personel nie jest odpowiednio szkolony, a w zamian dostaje opasłe księgi procedur, których nikt nie jest w stanie zrozumieć, a tym bardziej - zastosować. - Nie zgadzam się też ze stwierdzeniem, że kolejne regulacje prawne to kolejne dolegliwości. To nie jest uciążliwość, że nie będziemy zostawiać dokumentacji pacjenta na parapecie - zaznaczyła mec. Sieradzka. 

Ekspertka podkreśliła też, że z jej praktyki wynika, że szpitale przygotowują obszerne procedury, bo kierownictwo uważa, że w ten sposób tworzy lepsze przepisy. - A one powinny być zrozumiałe dla wszystkich, niezależnie od ról pełnionych w szpitalu - oceniła. 

Wyjaśniła też, że procedura ma w prosty sposób odpowiadać na konkretne problemy, które mogą pojawić się w praktyce - np. w sytuacji, gdy salowa znajdzie teczkę z badaniami pacjenta. Musi wówczas wiedzieć, co ma konkretnie z nią zrobić. Dlatego najlepsze jest dążenie do prostoty, a skuteczne, zdaniem ekspertki, mogą być nawet instrukcje w formie infografik. - Nie chodzi o posiadanie procedur, tylko ich stosowanie w praktyce - mówiła. 

Czytaj w LEX: Lista obecności a RODO w pytaniach i odpowiedziach > >

NIK też ma zastrzeżenia 

O tym, że w szpitalach nadal są problemy związane z ochroną danych medycznych, alarmowała niedawno także Najwyższa Izba Kontroli (NIK). W raporcie dotyczącym przypadków łamania praw pacjentów wskazano, że w części kontrolowanych podmiotów dokumentacja medyczna nie była odpowiednio zabezpieczona przed uszkodzeniem, zniszczeniem bądź utratą. - Np. w Centrum Medycznym Szpitalu Chirurgii Urazowej św. Anny w Warszawie część dokumentów dotyczących pacjentów przechowywano w szafie albo na regałach bez odpowiedniego zamknięcia czy zabezpieczenia. W trzech szpitalach dane były przetwarzane przez osoby, które nie wykonywały zawodów medycznych i nie miały stosownego upoważnienia administratora danych osobowych - podkreślono w raporcie. 

Inny przypadek naruszenia odnotowano w Wielospecjalistycznym Szpitalu w Ostrowcu Świętokrzyskim. W latach 2019–2022 podmiot przekazał do zniszczenia prawie 1500 tomów niearchiwalnej dokumentacji medycznej pacjentów firmie, która nie dawała gwarancji, że zniszczy ją w sposób uniemożliwiający identyfikację pacjenta. Nie podpisano też z przedsiębiorcą żadnej umowy na odbiór i niszczenie dokumentacji. 

Czytaj również: NIK: Naruszenia praw pacjenta dotyczą wszystkich badanych obszarów

Dlatego w trakcie debaty Bartłomiej Guzik, dyrektor 5 Wojskowego Szpitala Klinicznego z Polikliniką SPZOZ w Krakowie, podkreślał, że ochrona danych medycznych powinna być priorytetem dla menedżerów w placówkach ochrony zdrowia. Z jego doświadczenia bardzo istotne jest też edukowanie personelu, po to, by każdy wiedział, że nawet drobna przysługa - na przykład sprawdzenie wyników badań bliskiej osoby w centralnych rejestrach - może nieść ze sobą duże konsekwencje. 

Zobacz w LEX: Naruszenie ochrony danych osobowych na gruncie RODO > >

Nowe prawo unijne to szanse, ale też wyzwanie 

W rzeczywistości ochrony danych medycznych już wkrótce sporo zmieni implementacja EHDS. Warto podkreślić, że nie zastąpi ona RODO - jest jej bardziej szczegółowym "elementem". Podobne są też cele obu aktów prawnych. EHDS ma przede wszystkim umożliwić szerszy dostęp do danych medycznych pacjentów, które będą służyć np. naukowcom prowadzącym badania naukowe. Dane medyczne generalnie mają być przetwarzane jedynie elektroniczne i trafiać do jednej "chmury". EHDS tworzy również ramy prawne dla transgranicznego dostępu personelu medycznego do danych pacjentów. Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, zaznaczał w trakcie konferencji, że nowe przepisy będą się wiązać zwłaszcza z nowymi obowiązkami administratorów. To również kolejny element zmieniającego się dynamicznie prawa. Jak zapowiedział prezes Wróblewski, UODO niewątpliwie będzie włączać się w proces legislacyjny, gdy polska ustawa będzie już procedowana. Prezes UODO podkreślił też, że dane medyczne są "łakomym kąskiem" dla cyberprzestępców, ze względu na to, że przedstawiają konkretną wartość finansową. Dlatego też rola urzędu powinna ulegać wzmocnieniu w najbliższych latach. 

Czytaj również: Nasze dane medyczne trafią do chmury. Kluczowy będzie ich operator

Kaźmierczyk: Jesteśmy w tyle względem unijnych regulacji danych medycznych

Zobacz w LEX: Rejestr czynności przetwarzania danych osobowych dla szpitala > >

Prawo sztucznej inteligencji i nowych technologii 3

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź