Za niecały miesiąc zacznie obowiązywać elektroniczna dokumentacja medyczna, czyli EDM. Wszystkie dane o naszym leczeniu w formie cyfrowej trafią do platformy e-Zdrowie (zwanej tez P1). Dzięki temu lekarz rodzinny, pielęgniarka czy położna podstawowej opieki zdrowotnej zyska automatycznie dostęp do informacji o swoich pacjentach. I tu pojawia się pierwszy problem. Będą oni wiedzieli także o wizytach u psychiatry czy seksuologa, którymi pacjent może nie chcieć się chwalić, ale nie będzie mógł wycofać zgody jedynie na udostępnienie informacji od konkretnego lekarza. Można całkowicie cofnąć zgodę lub czasowo. Po drugie, by lekarze specjaliści zyskali dostęp do danych o pacjencie, ten musi na to wyrazić zgodę przez Internetowe Konto Pacjenta. W efekcie idea EDM może się rozbić z jednej strony przez dbających o swoją prywatność, z drugiej - przez wykluczonych cyfrowo. 

 

Dostęp do dokumentacji medycznej za zgodą pacjenta, z wyjątkami

Zgodnie z art.  26 ustawy o prawach pacjenta podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu, bądź osobie upoważnionej przez pacjenta. Co do zasady, pacjent musi więc wyrazić zgodę na udostępnianie swojej EDM. Tyle, że zgodnie art. 35 ustawy o systemie informacji w ochronie zdrowia 1 lipca automatyczny dostęp do EDM zyskają:  

  • bez ograniczenia czasowego pracownik  medyczny, który wytworzył elektroniczną dokumentację medyczną;
  • lekarz, pielęgniarka lub położna udzielających pacjentowi świadczeń podstawowej opieki zdrowotnej;
  • pracownika medyczny w ramach kontynuacji leczenia;
  • każdy pracownik medyczny w sytuacji zagrożenia życia pacjenta.

W praktyce składając deklarację wyboru lekarza, pielęgniarki, położnej podstawowej opieki zdrowotnej, pacjent zgadza się na udostępniania mu całej swojej dokumentacji medycznej, także z wizyt u psychiatry czy seksuologa. Jeśli chce przestać udostępniać dokumentację, musi wejść na swoje konto IKP, wybrać opcję uprawnienia i cofnąć zgodę. Problem w tym, że można albo całkowicie cofnąć zgodę, albo czasowo. Nie ma możliwości cofnięcia zgody dla dokumentacji wydanej przez konkretnego lekarza czy placówkę.

Lekarzowi POZ można udostępnić wszystko lub nic

– Jako pacjent mogę udzielić dostępu do całej dokumentacji medycznej lub do zdarzeń medycznych bezterminowo lub w określonym czasie – mówi Grzegorz Marek, pacjent, który aktywnie korzysta z konta KIP. - Nie mam możliwości wskazania np., że dokumentacja z wizyt u określonego specjalisty, np. psychiatry, seksuologa, itp. nie może zostać udostępniona. W efekcie - o tym, gdzie się leczę może dowiedzieć się pani w rejestracji – mówi.  Na portalu IKP można bowiem też przyznać dostęp całej przychodni, nie tylko konkretnemu pracownikowi medycznemu. Inaczej na to patrzą lekarze. - Gdyby pacjenci musieli wyrażać zgodę, to system by nie zadziałał – ocenia Tomasz Zieliński, wiceprezes Porozumienia Zielonogórskiego, wiceprezes Polskiej Izby Informatyki Medycznej. I zapewnia, że nie każdy pracownik przychodni ma dostęp do danych. – Administrator systemu nadaje odpowiednie uprawnienia. Powinien to robić w zakresie niezbędnym do wykonywania obowiązków służbowych. Uprawnienia powinny być nadawane w możliwie minimalnym zakresie – podkreśla Zieliński. I choć systemowych rozwiązań brakuje, to warto pamiętać, że to właśnie kodeksy postępowania z danymi osobowymi w ochronie zdrowia zgodnie z RODO będą oficjalnie zatwierdzone jako pierwsze. A przestrzeganie RODO gwarantuje bezpieczeństwo danych.

 

Szpital ukarany za zbyt szeroki dostęp do danych pacjentów

I tak na sprawę patrzy Patryk Kuchta, menadżer do spraw ochrony danych w Medicover. - Dokumentacja dotycząca zwłaszcza zdrowia psychicznego, jest szczególnie wrażliwa. Dlatego z jednej strony, lekarz POZ, pielęgniarka czy położna, to nie są osoby, które powinna mieć do niej tak prosty dostęp. Z drugiej - bardzo często wiedza o takim leczeniu jest potrzebna przy stawianiu diagnozy. Dlatego istotne jest wdrożenie skutecznych mechanizmów kontrolnych. Jeśli nie ma ich na poziomie krajowym, to na poziomie placówki. Tu musi przyświecać płynąca z RODO zasada minimalizacji danych. Nie sądzę, by dostęp do szczegółów dokumentacji medycznej powinien mieć za każdym razem personel wspomagający zarządzanie usługami medycznymi. Dlatego bardzo ważne jest wprowadzenie przemyślanych procedur - podkreśla Patryk Kuchta.

Jest to o tyle ważne, że szpital w Hadze otrzymał karę 460 tys. euro kary  (ok. 1 972 710 zł) nałożoną przez holenderski organ nadzorczy (Organ ds. Danych Osobowych, hol. Autoriteit Persoonsgegevens) za niewłaściwe zabezpieczenie danych medycznych. A to za sprawą holenderskiej celebrytki Samanthade Jong, która w 2018 roku trafiła do szpitala w Hadze po przedawkowaniu narkotyków. W lipcu tego samego roku podjęła na terenie placówki próbę samobójczą. Po tym zdarzeniu wielu pracowników szpitala, kierując się ciekawością (nie byli oni w żaden sposób zaangażowani w leczenie), zapoznało się z dokumentacją medyczną holenderskiej celebrytki. Według ustaleń holenderskiego organu nadzorczego z dokumentami pacjentki zapoznało się aż 85 osóbW toku prowadzonego postępowania wyszło na jaw, że dane innych pacjentów (szpital przyjmuje ich rocznie ok. 250.000) również są w łatwy sposób dostępne dla osób nieuprawnionych. W Polsce po 1 lipca do takich danych zyska dostęp automatycznie lekarz, pielęgniarka i położna POZ.  

Procedury dostępu to podstawa

- Bardzo ważne jest zadbanie o procedurę określającą poziomy dostępu do dokumentacji medycznej i procedurę wprowadzania w niej zmian - podkreśla Agnieszka Sieńko, radca prawny i wykładowca Uniwersytetu Medycznego im. Piastów Śląskich we Wrocławiu. -  Procedura powinna określać, do jakiego zakresu informacji ma dostęp poszczególny pracownik. Przykładowo, pracownik działu rozliczeń potrzebuje mieć dostęp pozwalający mu przypisać do konkretnego numeru PESEL realizację określonej procedury medycznej. Nie musi natomiast widzieć informacji o bieżącym stanie zdrowia, zaleceniach. A już na pewno nie musi do pracy na swoim stanowisku mieć dostępu do adresu zamieszkania - wyjaśnia mec. Sieńko. Jeśli pacjenci nie będą mieli pewności, że ich dokumentacja medyczna nie trafi w niepowołane ręce, mogą zacząć cofać zgody. Tomasz Zieliński podkreśla, że dane medyczne są bezpieczne, a dzięki temu, że historia pacjenta będzie dostępna dla lekarza POZ, to będzie mógł otrzymać on świadczenia wyższej jakości, będzie szybciej oraz sprawniej leczony. - Pacjent może nie wiązać różnych faktów ze sobą, a lekarz powiąże, zwłaszcza, że w niedalekiej przyszłości może być wsparty przez mechanizmy sztucznej inteligencji - podkreśla Tomasz Zieliński. 

Dane dla lekarza specjalisty i szpitala za zgodą pacjenta

Jest jeszcze inny problem na który zwracają uwagę lekarze.  W innych przypadkach niż te wyżej wymienione, np. planowej wizyty w szpitalu, u specjalisty, to pacjent musi poprzez swoje IKP wyrazić zgodę na udostępnienie EDM. - Gdy wypiszę pacjentowi e-skierowanie, np. do kardiologa, diabetologa, ten z automatu powinien dostać dostęp do jego dokumentacji - mówi Tomasz Zieliński. - Inaczej cyfryzacja kończy się na POZ, szkoda że nie wykorzystano jej potencjału - dodaje.  Co prawda Anna Goławska, wiceminister zdrowia odpowiedzialna za cyfryzację zapewnia, że będzie to możliwe także przez sms, co ma wspomóc lekarzy. - Wychodząc naprzeciw oczekiwaniom usługodawców przygotowano rozwiązanie, które umożliwia wykorzystanie autoryzacji SMS w zakresie nadawania uprawnień dostępu do danych medycznych pacjenta dla pracowników medycznych - deklaruje wiceminister. To oznacza, że lekarz będzie mógł złożyć wniosek o dostęp, a pacjent go potwierdzi za pomocą jednorazowego kodu autoryzacji.  Pytanie, czy 60, 70-, 80- letni pacjent korzysta z IKP i odpowie na sms wysłany przez lekarza. Dlatego lekarze boją się, że EDM nie zadziała tak jak powinien.
- System autoryzacji zgód na dostęp do dokumentacji, może wyważyć całą reformę – uważa Andrzej Cisło, wiceprezes Naczelnej Rady Lekarskiej. – Większość społeczeństwa nie ma kompetencji cyfrowych, nie korzysta z e-administracji. A nawet jak mają, to system daje im ograniczone możliwości wyboru. Mogą zastrzec jedynie, że nie udostępniają całej dokumentacji lub zdarzeń medycznych bezterminowo lub w określonym okresie. Tymczasem ja jestem stomatologiem, i o ile dostęp do wyników badań laboratoryjnych chciałbym mieć, to już do informacji od ginekologa nie – mówi Andrzej Cisło.
Dlatego w opinii NRL dyskusyjna będzie wykonalność zaprojektowanego systemu upoważnienia udzielonego przez pacjenta do wglądu w dokumentację medyczną. - Oparcie systemu udzielania takiej zgody jedynie o zgodę dokonywaną za pomocą IKP wymaga powszechnego  dość wysokiego poziomu kompetencji cyfrowych. Nie sposób tego zakładać, a jest to fundament całej rozbudowanej i kosztownej dla środowiska medycznego operacji. Oparcie systemu udzielania zgody o czynność dokonywaną przez pacjenta na jego IKP, przed planowaną wizytą, z wymogiem dostępu do komputera lub innego urządzenia zapewniającego dostęp do IKP, z procedurą zalogowania się do IKP z użyciem którejś z dostępnych metod uwierzytelniania już samo w sobie uzależnia wymianę EDM od poziomu kompetencji cyfrowych. Poszerzanie kompetencji cyfrowych społeczeństwa jest procesem długotrwałym. W tym czasie część placówek medycznych, niewymienione w art. 35 będą miały bardzo ograniczony dostęp choćby do indeksów raportów zdarzeń medycznych, nie mówiąc już o całej szczegółowej dokumentacji. W bardzo poważnym stopniu wydłuża to termin pojawienia się spodziewanych zysków z całej reformy i dowodzi braku konieczności jednoczasowego wdrożenia obowiązków wymiany EDM i raportowania zdarzeń medycznych we wszystkich placówkach opieki zdrowotnej -  pisze w swoim stanowisku NRL. 

Czym jest zdarzenie medyczne i elektroniczna dokumentacja medyczna 

1 lipca 2021 podmioty medyczne, zarówno publiczne jak i prywatne, będą musiały przekazywać dane dotyczące zdarzeń medycznych do systemu e-zdrowie (P1) maksymalnie w ciągu 2 dni od jego zakończenia (w przypadku zdarzeń jednorazowych) lub rozpoczęcia (w przypadku zdarzeń długoterminowych). Zdarzenie  medyczne to kontakt personelu medycznego z pacjentem, podczas którego następuje diagnozowanie, leczenie lub zastosowanie leku. By odnotować zdarzenie, musi powstać dokumentacja medyczna. Nie jest więc zdarzeniem medycznym nieformalny kontakt pacjenta z lekarzem czy ratownikiem. Do zdarzeń medycznych zaliczymy m.in. wizytę w placówce podstawowej opieki zdrowotnej (POZ), teleporadę lub e-wizytę, pobyt pacjenta w oddziale szpitalnym, wizytę patronażową, cykl leczenia, badanie, akcję ratowniczą, wyjazd ratowniczy, transport sanitarny, hemiodializę, bilans zdrowia, szczepienie, badanie przesiewowe czy świadczenie profilaktyczne. Zdarzenia medyczne są opisywane w systemie informatycznym placówki. Na podstawie takiego zdarzenia medycznego jest tworzona elektroniczna dokumentacja medyczna (EDM), która od 1 lipca br. będzie mogła być wymieniania pomiędzy placówkami czy lekarzami. W informatycznym systemie e-zdrowie (platforma P1) możliwe będzie szybkie uzyskiwanie danych na temat historii choroby i leczenia pacjenta. Mechanizm ten ma zapewnić łatwy dostęp do danych o pacjencie. Pacjent będzie widział wszystkie swoje zdarzenia medyczne i dokumentację na swoim Internetowym Koncie Pacjenta. Jego lekarz rodzinny zaś będzie mógł wysłać zapytanie do systemu e-zdrowie (P1). Ten udostępni mu informacje na temat miejsc (placówek) przechowywania jego dokumentacji. Aby lekarz mógł je odczytać, musi uzyskać dostęp. Dopiero po pozytywnej weryfikacji ze strony systemu e-zdrowie (P1), podmiot przechowujący dane będzie mógł wydać lekarzowi elektroniczną dokumentację medyczną. Takie zdarzenie będzie automatycznie zapisywane w ramach informacji w systemie e-zdrowie (P1). Jeśli na podstawie udostępnionych danych, lekarz będzie podejmował decyzje w sprawie leczenia pacjenta lub wystawiał inne dokumenty medyczne, ma obowiązek zapisać je w historii choroby pacjenta.

Zgodnie zaś z art. 56 ustawy o systemie informacji w ochronie zdrowia i rozporządzeniem w sprawie rodzajów elektronicznej dokumentacji medycznej e-dostęp będzie obowiązkowy do:

  • informacji o rozpoznaniu choroby, problemu zdrowotnego lub urazu, wynikach przeprowadzonych badań, przyczynie odmowy przyjęcia do szpitala, udzielonych świadczeniach zdrowotnych oraz ewentualnych zaleceniach - w przypadku odmowy przyjęcia pacjenta do szpitala;
  • informacji dla lekarza kierującego świadczeniobiorcę do poradni specjalistycznej lub leczenia szpitalnego o rozpoznaniu, sposobie leczenia, rokowaniu, ordynowanych lekach, środkach spożywczych specjalnego przeznaczenia żywieniowego i wyrobach medycznych;
  • karty informacyjnej z leczenia szpitalnego;
  • karty badania diagnostycznego