Dane medyczne można wykorzystać do celów niemedycznych, ale wymaga to uzyskania zgody osób, których dane dotyczą a także przestrzegania. Zagadnienia dotyczące ochrony danych osobowych w placówkach medycznych były tematem V edycji konferencji “CYBERSEC & RODO w Zdrowiu”, która odbyła się 29 listopada 2023 roku.
Na temat przetwarzania danych medycznych do celów niemedycznych mówiła Katarzyna Pisarzewska, wicedyrektor ds. ochrony danych w Lux Med, która podkreśliła, że przede wszystkich trzeba sięgnąć do przepisów Ogólnego Rozporządzenia o Ochronie Danych RODO, do ustawy o ochronie danych osobowych oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta i ocenić czy dane te stanowią część dokumentacji medycznej.
Zgodnie z podaną definicją dane medyczne to dane osób fizycznych, dotyczące uprawnień do udzielanych, udzielonych i planowanych świadczeń opieki zdrowotnej, stanu zdrowie, a także inne dane, w tym dane osobowe, przetwarzane w związku z tymi świadczeniami oraz profilaktyką zdrowotną i realizacją programów zdrowotnych. Są to między innymi zawarte w elektronicznej dokumentacji medycznej dane takie jak historia choroby danej osoby, diagnozy i leczenie, leki, alergie, szczepienia, a także obrazy radiologiczne i wyniki badań laboratoryjnych.
Dane medyczne można wykorzystać do celów niemedycznych
Dane takie mogą być wykorzystane także do celów niemedycznych, którymi mogą być cele naukowe, dydaktyczne, badawczo-rozwojowe, analityczne, ankietowe, dotyczące oprawy jakości i bezpieczeństwa czy też sprawowania nadzoru przez odrębne instytucje.
Udostępnianie danych medycznych w tych celach podlega uregulowaniom. Na przykład dane na cele naukowe można udostępnić szkole wyższej lub instytutowi badawczemu, bez ujawnienia nazwiska i innych danych umożliwiających identyfikację danej osoby, a z wnioskiem o takie udostępnienie występuje uczelnia.
W celach dydaktycznych dane udostępnia się osobom przygotowującym się do zawodu medycznego lub wykonującym ten zwód będącym w trakcie dalszego kształcenia, w zakresie niezbędnym do realizacji celów dydaktycznych. Osoby takie mogą mieć dostęp do danych pod nadzorem personelu medycznego i mają obowiązek zachowania tajemnicy aż do śmierci pacjenta. Inne cele niemedyczne to inicjatywy badawcze, w których wykorzystuje się anonimowe ankiety czy też cele związane z poprawą jakości opieki zdrowotnej, można wtedy przekazywać dane zanimizowane, które udostępnia się podmiotom sprawującym nadzór nad bezpieczeństwem danych.
Zgodna podstawą przetwarzania
Podstawą do przetwarzania danych medycznych jest zgoda, który musi być dobrowolna, konkretna, świadoma i jednoznaczna, wyrażona w postaci oświadczenia, powinna wskazywać cel przetwarzania danych, musi ona także precyzować czy dane miałyby być przetwarzane w formie zanonimizowanej czy podlega pseudonimizacji (nadaniu poszczególnym osobom pseudonimu, jest to proces odwracalny w przeciwieństwie do anonimizacji).
Wykorzystując dane medyczne do celów niemedycznych, dobrze jest znać umożliwiającą to podstawę prawną, trzeba zapewnić poufność danych (poprzez oświadczenia lub umowę o poufności dla pracowników), a także określić cel i zakres przetwarzanych danych oraz ramy postępowania, w postaci określonych procedur w organizacji, najlepiej odrębnego regulaminu.
Należy przeprowadzić analizę ryzyka i skutków, określić należy standardy animizacji, z uwzględnieniem szczególnego charakteru danych medycznych, na przykład badań obrazowych i ich opisów itd.
Jednym z tematów poruszonych podczas konferencji było cyberbezpieczeństwo w sektorze medycznym. W obliczu rosnącej zależności od technologii cyfrowych w praktykach medycznych, eksperci omówili skuteczne metody zabezpieczania danych medycznych i sposoby reagowania w przypadku cyberataków.
Przedstawiono między innymi studium przypadku cyberataku na placówkę medyczną i wnioski, jakie można wyciągnąć z tego zdarzenia na przyszłość, dotyczyła tego tematu prezentacja dyrektor Instytutu Centrum Zdrowia Matki Polki w Łodzi, prof. Iwony Maroszyńskiej.
Roman Łożyński, zastępca dyrektora do spraw eksploatacji i bezpieczeństwa systemów teleinformatycznych w Centrum e-Zdrowia przedstawił praktyczne wskazówki dane na temat cyberbezpieczeństwa w sektorze ochrony zdrowia. Podczas konferencji wystąpił również prelegent zagraniczny – Oliver Slapal, Founder oraz CTO Data Lake, który opowiedział o roli blockchain w zarządzaniu zgodami.
Szczególną uwagę zwrócono na kwestie związane z wtórnym przetwarzaniem danych medycznych w kontekście perspektywy europejskiej, a także na regulacje polskie dotyczące dostępu do tych informacji. Istota przestrzegania przepisów dotyczących wtórnego przetwarzania danych medycznych w Europie, a także specyficzne regulacje obowiązujące w Polsce zostały podjęte w wystąpieniach między innymi przedstawicieli: Ministerstwa Cyfryzacji, Narodowego Instytutu Kardiologicznego oraz Kancelarii Domański Zakrzewski Palinka.
Pierwszy kodeks branżowy w zdrowiu, także dla podmiotów publicznych
Podczas konferencji została także podana informacja na temat zakończenia prac nad Kodeksem Branżowym RODO w ochronie zdrowia, który stanowi pierwszy w Unii Europejskiej Kodeks zatwierdzony dla publicznych i prywatnych placówek medycznych. Akredytowanym podmiotem monitorującym Kodeks zostanie spółka KPMG.
– Otrzymaliśmy ostateczną wersję kodeksu postępowania dla szpitali, która spełnia oczekiwania Urzędu i podnosi standard ochrony danych osobowych, jesteśmy gotowi do wydania decyzji i przekazania decyzji do podmiotu monitorującego i stanie się to jeszcze w grudniu – poinformował Krzysztof Król, naczelnik Wydziału Kodeksów i Certyfikacji UODO.
Treść kodeksu została uzupełniona o kwestie monitorowania podmiotów publicznych, co oznacza, że kodeks ten jest pierwszym kodeksem zdrowotnym w Europie, który obejmuje także takie podmioty.
Od 25 maja 2018 roku obowiązuje unijne rozporządzenie o ochronie danych, czyli RODO, które ma bezpośredni i znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą.
W związku z tym w ramach inicjatywy Polskiej Federacji Szpitali zebrała się grupa ekspertów (między innymi zrzeszonych w związku Pracodawcy dla Zdrowia), która stworzyła Kodeks Branżowy RODO w sektorze ochrony zdrowia. Jest to dokument stanowiący formę samoregulacji branżowej, a zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.
We wrześniu 2021 kodeks ten, jako pierwszy w Polsce i jeden z pierwszych w Europie kodeksów branżowych RODO w ochronie zdrowia otrzymał pierwszą nagrodę w międzynarodowym konkursie Emerging Europe Awards w kategorii „Modern and Future-proof Policymaking”.