Do szpitala w południowej Polsce pacjent wysłał maila z prośbą o udostępnienie dokumentacji medycznej. Prosił, by dokumenty przysłać w wersji elektronicznej na jego adres mailowy. Dla szpitala taka prośba to problem.
Nie ma podpisu kwalifikowanego, nie wysyłamy mailem
Dyrektor tego szpitala podkreśla, że z jednej strony RPP wymaga od nich, żeby wysyłać dane wrażliwe pocztą elektroniczna, ale z drugiej strony szpital nie ma narzędzi do tego, by sprawdzić tożsamość osoby, która w ten sposób wysyła wniosek i dlatego kombinują.
- Nie wysyłamy dokumentacji medycznej drogą mailową, jeżeli nie jesteśmy w stanie zidentyfikować tożsamości osoby, która nam przesłała wniosek pocztą elektroniczną – mówi prawnik tego szpitala. - Wyszliśmy z założenia, że skoro e-mail nie był opatrzony podpisem kwalifikowanym, to nie ma pewności co do osoby wnioskującej o przesłanie jej dokumentacji medycznej. W takiej sytuacji w praktyce szpital wysyła dokumentację tradycyjną pocztą. Na szczęście pacjenci w mailach do tej pory podawali numery telefonów, które są identyczne z tymi, które znajdują się w ich dokumentacji, dlatego dzwonimy do nich i dokumenty wysyłamy listem poleconym na adres wskazany w dokumentacji medycznej. Pani na poczcie potwierdza tożsamość pacjenta i dzięki temu mamy pewność, że nie dostanie się ona w niepowołane ręce.
Prawnik szpitala podkreśla, że wie, że gdyby pacjent poskarżył się na nich do RPP mogliby mieć nieprzyjemności, ale z drugiej strony pamięta także o wysokich karach, które nakłada RODO na administratora danych osobowych, gdyby dane wrażliwe, które zawiera dokumentacja medyczna, dostałyby się w niepowołane ręce.
Mecenas zwraca uwagę, że problem dostępu w dużej mierze miała rozwiązać elektroniczna dokumentacja medyczna, której system gromadzenia i udostępniania powinien obowiązywać już dawno, ale nadal nie działa. - Dzisiejsze problemy szpitali to wynik opóźnień i zaniechań po stronie wykonawców i ministerstwa zdrowia, które jest odpowiedzialne za jej wdrożenie – podkreśla mecenas.
Potrzebne rozporządzenie z wytycznymi
Paweł Grzesiewski, dyrektor Biura Departamentu Prawnego Biura Rzecznika Praw Pacjenta podkreśla, że nie tylko RODO, ale także obowiązująca ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta dopuszczają udostępnienie dokumentacji medycznej za pośrednictwem maila.
- Wiemy, że zarówno pacjenci, jak i podmioty lecznicze mają problem z tym, w jaki sposób bezpiecznie przekazywać dane pacjentów za pomocą środków komunikacji elektronicznej, dlatego chcemy te kwestie doprecyzować w planowanej nowelizacji ustawy o prawach pacjenta i Rzeczniku Prawa Pacjenta, nad którą teraz pracujemy – mówi Paweł Grzesiewski, dyrektor Departamentu Prawnego Biura Rzecznika Prawa Pacjenta. - Chcemy wprowadzić ogólną regulację normującą, że udzielanie informacji za pomocą środków komunikacji elektronicznej oraz za pośrednictwem telefonu musi się odbywać po zastosowaniu procedury i środków zapewniających ochronę przed udostępnieniem informacji osobom nieupoważnionym. Przykładowy katalog tych środków, za pomocą których podmioty lecznicze mogłyby identyfikować osobę, która dzwoni do szpitala szukając informacji o bliskim, wskaże Minister Zdrowia w drodze rozporządzenia.
Grzesiewski zaznacza, że to nie jest proste, bo ani RODO, ani inne przepisy nie podają metod takiej weryfikacji, niemniej administrator odpowiada za bezpieczeństwo danych i ma tak działać, by nie doszło do ich ujawnienia osobom nieuprawnionym.
- W procedurze administracyjnej strona postępowania może wskazać, żeby organ doręczał pisma za pomocą środków komunikacji elektronicznej np.: mailem, ale wcześniej musi zgłosić takie żądanie w innej prawnie dopuszczalnej formie. Musi napisać do organu i podać swój adres mailowy. Wtedy takie oświadczenie jest prawidłowe i być może podobne rozwiązanie należy zastosować w ochronie zdrowia – dodaje Grzesiewski.
Prawnik: Brakuje szczegółowych przepisów
Paweł Kaźmierczyk, prawnik w kancelarii Domański Zakrzewski Palinka podkreśla, że kwestia wniosków o udostępnienie dokumentacji medycznej składanych drogą mailową jest problematyczna.
- Z jednej strony ustawodawca nie wskazuje, w jakiej dokładnie formie należy składać takie wnioski, wobec czego wprowadzenie restrykcyjnych ograniczeń w tym zakresie może zostać ocenione jako naruszenie praw pacjenta. Z drugiej strony placówka medyczna musi zapewnić bezpieczeństwo i poufność danych o stanie zdrowia, wobec czego może udostępnić dokumentację jedynie uprawnionym do tego podmiotom – musi więc mieć pewność, że dokumentacja trafia właśnie do nich. Tymczasem w przypadku wniosku mailowego ustalenie, czy pochodzi od uprawnionej osoby, może nastręczać trudności – mówi Paweł Kaźmierczyk.
Jak placówka ma potwierdzić tożsamość?
Zdaniem prawnika udostępnienie dokumentacji medycznej na podstawie wniosku przesłanego drogą mailową powinno następować wtedy, gdy placówka jest w stanie potwierdzić tożsamość wnioskodawcy, a co za tym idzie, także jego uprawnienie do otrzymania danych.
- W tym celu można wykorzystać różne rozwiązania np. wysyłać dokumentację na adresy mailowe, które zostały uprzednio wskazane przez pacjenta lub jego przedstawiciela ustawowego w dokumentacji medycznej, identyfikować nadawcę dzięki zastosowaniu kwalifikowanego podpisu elektronicznego czy też oferować wirtualne konta pacjenta, które po uprzednim potwierdzeniu tożsamości i przesłaniu hasła umożliwiać będą stałą komunikację elektroniczną – wymienia Kaźmierczyk i dodaje, że nad ostatnim rozwiązaniem pracuje ustawodawca.
20 lipca Sejm RP przyjął ustawę regulującą funkcjonowanie Internetowego Konta Pacjenta (została już podpisana przez prezydenta), które ma umożliwiać m.in. składanie oświadczeń o upoważnieniu określonej osoby do dostępu do dokumentacji medycznej.
O formach udostępniania dokumentacji medycznej czytaj tutaj>>
Kaźmierczyk dodaje, że powszechnym środkiem identyfikacji elektronicznej, który będzie mógł być wykorzystywany do komunikacji z podmiotami ochrony zdrowia, ma być także dowód osobisty z warstwą elektroniczną. Zgodnie z informacjami udostępnionymi przez Ministerstwo Cyfryzacji, rozpoczęcie procesu wymiany dowodów tradycyjnych na e-dowody ma nastąpić w marcu 2019 r.
- Należy też pamiętać, że udostępniając dokumentację medyczną w formie elektronicznej uprawnionej osobie konieczne jest zapewnienie jej cyberbezpieczeństwa. W tym celu można np. przesłać mailem zaszyfrowaną, zabezpieczoną hasłem dokumentację, a samo hasło udostępnić w inny sposób, np. przesyłając na telefon w wiadomości tekstowej (sms) – mówi prawnik.