25 maja br. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Każdy podmiot przetwarzający dane osobowe, czyli w zasadzie wszyscy, zarówno duże szpitale, jaki i jednoosobowe praktyki lekarskie. Dotyczy to wszystkich podmiotów wykonujących działalność leczniczą, niezależnie od formy prawnej prowadzonej działalności, struktury właścicielskiej czy uczestnictwa w systemie opieki zdrowotnej finansowanym ze środków publicznych, przetwarzając dane pacjentów, musi zadbać o ich bezpieczeństwo.

Ochrona danych medycznych. RODO w ochronie zdrowia

Michał Jackowski

Sprawdź  

RODO to zmiana sposobu patrzenia na dane osobowe, w tym dane wrażliwe. Obowiązująca jeszcze ustawa o ochronie danych osobowych wyznacza pewien minimalny poziom ochrony, który należy spełniać. RODO każe placówką ocenić różne ryzyka związane z przetwarzaniem danych np. możliwość przedostania się ich w niepowołane ręce i odpowiednio się przed tym zabezpieczyć, uwzględniając przy tym stan wiedzy technicznej czy koszty związane z wdrożeniem.
Mec. Aneta Sieradzka na kongresie dotyczącym RODO podkreślała, że zmiana przepisów dotycząca bezpieczeństwa przetwarzania danych osobowych oznacza dla podmiotów medycznych nowe obowiązki. Mecenas podzieliła je na trzy aspekty:  

1. techniczny. Chodzi o zabezpieczenie dostępu do sprzętu np.: laptopa, komputerów czy serwerów. - Równie ważne są pomieszczenia i ich wyposażenie – podkreśla mec. Sieradzka. - Ważne jest to, czy dokumenty trzymamy w zamkniętych szafach. Nie mogą to być regały.  Do danych pomieszczeń może mieć dostęp tylko personel medyczny. Sieradzka opowiadała, że widziała w szpitalu taką praktykę, że identyfikator wisiał przy drzwiach i każdy, także niepowołane osoby, mogły wejść do gabinetu, dlatego na takie sytuacje trzeba uczulać personel.  
2. proceduralny. Trzeba dostosować istniejące procedury, ale także formularze i zgody pacjenta  do nowych przepisów. Dokumenty muszą podawać aktualną podstawę prawną i dokonywać obowiązku informacyjnego. Konieczna jest także weryfikacja dotychczasowych umów, które są zawierane z innymi podmiotami pod kątem powierzenia przetwarzania. Należy rozstrzygnąć kwestię odpowiedzialności, jak jest rozłożona w umowach. Dotyczy to umów np.: z biurem rachunkowym zewnętrznym, kancelarią prawną czy firmą informatyczną, ale także laboratorium, jednostką naukową czy badawczą. – Umowy trzeba zweryfikować i wiele z nich aneksować pod kątem powierzenia przetwarzania – mówi mecenas i podkreśla, że trzeba mieć także wewnętrzny dokument bezpieczeństwa ochrony danych. Nie ma jednego wzoru takiego dokumentu dla wszystkich podmiotów. Warto pamiętać także o tym, że dane muszą być bezpieczne przez cały okres przetwarzania, czyli także wtedy, gdy będą archiwizowane.
3. personalny. Sieradzka podkreśla, że konieczne jest szkolenie personelu, by podnosić jego świadomość prawną oraz znajomość wewnętrznych procedur, ale także znajomość przepisów dotyczących zasad dotyczących prawidłowego prowadzenia dokumentacji medycznej. - System szkoleń jest nieodłącznym elementem polityki wdrożenia. Zasada rozliczalności mówi o tym, że nie wystarczy mieć procedury, ale trzeba je stosować.  W razie skargi, kontroli, roszczenia, jeśli wykażemy, że mamy super procedurę, ale cóż z tego, jeśli nie jest stosowana przez panie z recepcji, administracji, lekarzy i pielęgniarki – podkreśla Sieradzka i dodaje, że bardzo ważna jest edukacja pań z rejestracji, bo one są na pierwszej linii frontu. 

- Pani z rejestracji musi wiedzieć, dlaczego zbiera dane osobowe – podkreśla mecenas. - Pacjent może ją zapytać dlaczego w ankiecie ma podać, kiedy ostatni raz był na egzotycznych wakacjach. Pani nie może odpowiedzieć, że „tak trzeba” albo, że „nie wie”, tylko powinna umieć wytłumaczyć, że to wynika z przepisów. 

Audyt – od tego najlepiej zacząć zmiany

Według mec. Sieradzkiej przygotowanie do wejścia w życie RODO najlepiej zacząć od przeprowadzenia niezależnego audytu. - Warto, by ktoś spojrzał na placówkę w sposób obiektywny. Także pracownik szpitala może zrobić taki audyt i zobaczyć, bo jest robione dobrze, co trzeba poprawić, usprawnić – mówi mecenas. 
Zrobienie audytu pozwolić wyłonić obszary niezgodności. – Może się okazać, że panie w sekretariacie nie mają niszczarki i zabierają dokumentację ze szpitala do domu, by spalić ją w kominku. To niestety czasami ma miejsce – opowiada Sieradzka.
Raport po audycie powinien wskazać co trzeba zrobić, by dostosować placówkę do przepisów związanych z ochroną danych osobowych.  
- Znane są przypadki i wcale nie jest ich mało, gdy dochodzi do kradzieży na terenie szpitala. Ginie laptop lub telefon z gabinetu lekarskiego, bo pomieszczenie nie było zamknięte na klucz. W innym szpitalu w biały dzień wyniesiono drogi sprzęt, bo pracownia nie była zamykana. Tylko na stałe był klucz w drzwiach – mówi Sieradzka.