Katarzyna Nocuń: Do czego potrzebujemy ustawy o danych medycznych?

Dr Paweł Kaźmierczyk: Ustawa o danych medycznych potrzebna jest nam przede wszystkim do rozwiązania części obecnych problemów w tym obszarze oraz unowocześnienia podejścia do zarządzania danymi o stanie zdrowia. Przed nami wyzwania związane z nowymi regulacjami na poziomie Unii Europejskiej. Trwają prace nad rozporządzeniem w sprawie europejskie przestrzeni danych o stanie zdrowia (European Health Data Space), które zakłada dwa podstawowe obszary regulacji. 

Pierwszy z nich to tzw. pierwotne przetwarzanie danych. W dużym skrócie: tworzymy na poziomie unijnym wymogi i rozwiązania podobne do tych, które mamy już w Polsce, tj. w każdym państwie powołujemy centralny organ odpowiedzialny za e-zdrowie, taki jak nasze Centrum e-Zdrowia, tworzymy portal dla pacjentów w stylu naszego IKP oraz prowadzimy elektroniczną dokumentację medyczną, w tym e-receptę, w szczególności transgraniczną.

Dzięki temu zbudujemy system przesyłania danych między podmiotami leczniczymi w całej UE. Docelowo, jeżeli np. pójdę do lekarza podczas wakacji we Włoszech, będzie mógł on łatwo skorzystać z moich danych z polskiego podmiotu leczniczego, tak jakbym był na wakacjach w Krakowie, a nie w Rzymie. Teraz byłoby to bardzo trudne z dwóch powodów. Pierwszym są bariery prawne, które mogą ograniczać taką możliwość. Drugim są ograniczenia techniczne – nawet jeżeli regulacje dają możliwość transferu danych, systemy stosowane w poszczególnych krajach mogą być niekompatybilne, stąd ważny jest temat interoperacyjności, z którym mamy problem już tu i teraz, na poziomie krajowym. 

Drugi obszar to wtórne wykorzystywanie danych, czyli możliwość sięgania po dane gromadzone w podmiocie leczniczym w postaci anonimowej lub spseudonimizowanej w celach naukowych, badawczo-rozwojowych. W tym zakresie obowiązuje już unijny Data Governance Act, który nakłada obowiązki związane z udostępnianiem danych z podmiotów publicznych. I tu dochodzimy do zmian prawnych, które wymagają szybkiego wdrożenia. Mamy obecnie dość niespójną regulację, jeżeli chodzi o dokumentację medyczną oraz o jednostkowe dane medyczne.

Na czym ona polega?

Mamy ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta, która posługuje się centralnym dla naszego systemu prawnego pojęciem dokumentacji medycznej. Kiedy przyjmowana była ta ustawa, standardem była dokumentacja papierowa, pod którą projektowano poszczególne rozwiązania.

Tym samym przesłanki udostępniania dokumentacji tworzono z myślą o tym, że ktoś będzie miał teczki z dokumentami i będzie je dalej komuś przekazywał. W międzyczasie przyjęto ustawę o systemie informacji w ochronie zdrowia, która nie posługuje się jednak pojęciem dokumentacji medycznej, a jednostkowych danych medycznych. Mamy więc odrębne zasady dostępu do dokumentacji medycznej i odrębne zasady dostępu do jednostkowych danych medycznych, które są zawarte najczęściej właśnie w dokumentacji medycznej. Do tego część danych jest w rejestrach medycznych, do których zasady dostępu są jeszcze inne.

Jeżeli zestawimy ze sobą te wszystkie regulacje, prawnicy mają tu trudność, a co dopiero lekarze. Ministerstwo Zdrowia jest świadome tych niedociągnięć. Jeszcze przed pandemią, czyli w 2019 r., były deklaracje, że zostanie przyjęta ustawa o elektronicznej dokumentacji medycznej, której zadaniem miało być przede wszystkim uporządkowanie systemu i zapewnienie jasnych, klarownych regulacji. Tak się jednak nie stało.

Jakie praktyczne problemy to powoduje?

Wszelkie wątpliwości interpretacyjne mogą zniechęcać do udostępniania danych z obawy o ryzyko naruszenia RODO i praw pacjenta, nawet wtedy, gdy przepisy taki dostęp umożliwiają. Przykładowo, zgodnie z art. 26 ust. 4 wspomnianej ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna może być udostępniona szkole wyższej lub instytutowi badawczemu do wykorzystania w celach naukowych, bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy. Przepis ten został przyjęty jeszcze zanim zaczęło obowiązywać RODO i nie był potem zmieniony. Pojawia się więc pytanie na gruncie RODO, czy chodzi o dane anonimowe, które już nie są danymi osobowymi, czy chodzi o dane spseudonimizowane, czyli dane tak przetworzone, że odbiorca nie jest w stanie ich powiązać z konkretnym pacjentem, ale podmiot leczniczy ma do nich klucz i dla niego są to wciąż dane osobowe.

Szpitale i inne placówki medyczne mają więc wątpliwości. Jednocześnie, sama obawa o to, że istnieje ryzyko zarzutu o naruszenie RODO, prowadzi zazwyczaj do defensywnej, zachowawczej postawy przez co podmiot leczniczy tych danych nie udostępni. Nikt na tym nie zyskuje, a tracimy wszyscy, bo być może dzięki wykorzystaniu tych danych udałoby się stworzyć nowy lek lub rozwinąć innowacyjny wyrób medyczny.

Ustawa o danych medycznych pozwoliłaby na uporządkowanie naszego systemu prawnego. Chodzi o to, aby system był przejrzysty, i to nie tylko dla prawników, ale przede wszystkim  lekarzy i pacjentów. Powinni mieć oni świadomość swoich praw i obowiązków. 

Uporządkować zanim przejdziemy do kolejnego etapu, czyli wdrażania przepisów unijnych?

Na poziomie unijnym mamy już rozporządzenie o zarządzaniu danymi (Data Governance Act), które wymaga powołania organów krajowych, które będą realizowały pewne zadania związane z dostępem do danych. Polska krajowa ustawa o zarządzaniu danymi, która miała powołać takie podmioty, była w ubiegłym roku procedowana, ale nie została do tej pory przyjęta, dlatego część przepisów unijnych dalej pozostaje w praktyce martwa. Tymczasem są one bardzo ważne, umożliwiają wtórne wykorzystywanie  danych gromadzonych przez publiczne podmioty lecznicze w celach naukowych, badawczo-rozwojowych, analitycznych. Nie wykorzystujemy tego potencjału, bo nie mamy narzędzi prawnych.

Tym samym my już jesteśmy w tyle względem regulacji unijnych, a tych będzie dalej przybywać, np. Data Act. Jeżeli szybko nie nadrobimy zaległości i nie uporządkujemy naszego własnego ogródka w tym zakresie, będzie tylko gorzej, bo gąszcz regulacji będzie się dalej zagęszczał.

Problem jest nie tylko prawny. Część podmiotów leczniczych nie wdrożyła przepisów, które już teraz obligują je do raportowania elektronicznych danych medycznych. W dodatku są to systemy gromadzenia danych bez określonego standardu, które zapisują i przetwarzają dane w różny sposób. Czy z takie dane będą w ogóle przydatne? 

To poważny problem, bo system widziany z perspektywy ustawy różni się od jego faktycznego działania. Faktem jest, że obowiązki przekazywania danych o zdarzeniach medycznych do centralnego systemu nie są realizowane przez wszystkie podmioty lecznicze. Zgromadzone dane są więc niepełne. Jest to problematyczne pod kątem regulatora, który przygotowuje kolejne rozwiązania przy założeniu, że dane w centralnym systemie są kompletne. Przykładowo, lekarz może wystawić receptę na leki psychotropowe, jeśli zweryfikuje, co się działo z pacjentem w oparciu o dane w systemie P1. Założenie jest takie, że w systemie są pełne dane, a tak w rzeczywistości nie jest. Podobnie jest z rejestrami medycznymi, które także często zawierają niekompletne lub nieaktualne dane, przez co ich zastosowanie do badań i analiz obarczone jest ryzykiem błędu.

Mamy teraz szansę, by to zmienić. Wdrożenie ustawy o zarządzaniu danymi to dobry moment, by zapewnić placówkom medycznym wparcie wyspecjalizowanych podmiotów, które ułatwiać im będą realizację nowych i dotychczasowych obowiązków. Data Governance Act stworzył ramy prawne do tzw. dawstwa danych przez pacjentów, a my nie potrafimy z tego skorzystać. Już teraz możemy uporządkować co najmniej część regulacji w celu zapewnienia ich większej spójności bez obawy o to, że będzie to niespójne z procedowanym wciąż European Health Data Space.