W jednym ze szpiali przeszczep był nieoznakowany i lekarz odmówił wykonania przeszczepienia.

– Nie może być tak, że utajnienie danych pacjentów doprowadzi do pomyłki i choremu podamy nie taką chemioterapię. Nie może dojść do tego, że z powodu braku danych osobowych dojdzie do zgonu – mówi Beata Jagielska, zastępca dyrektora Centrum Onkologii w Warszawie.

25 maja zaczęło obowiązywać unijne rozporządzenie o ochronie danych osobowych. Niestety już pojawiło się wiele mitów dotyczących tego, jak je realizować w ochronie zdrowia. Jakie są najczęstsze problemy podaje Joanna Noga-Bogomilska, radca prawny z Ministerstwa Cyfryzacji.

Karta gorączkowa musi zniknąć?

Beata Jagielska mówi, że w jej szpitalu pojawił się pomysł, by zaślepiać kroplówki i nie podawać na nich danych pacjenta, ale nie wprowadzili tego z powodów bezpieczeństwa. By nie doszło do błędnego podania leku.

Zdaniem Joanny Nogi-Bogomilskiej wśród placówek ochrony zdrowia istnieje wiele błędnych przekonań, dlatego przy Ministerstwie Cyfryzacji powstała grupa robocza, która ma wypracować wytyczne dotyczące pilnych tematów związanych z ochroną danych. Mają podać m.in.: w jaki sposób przekazywać dane osobowe na odległość, gdy ktoś dzwoni i chce się dowiedzieć, o stanie zdrowia pacjenta, ale także czy umieszczenie dane opisane na opaskach dla noworodków jest zgodne z RODO.

Grupa ma także znaleźć odpowiedź na pytanie, czy przy łóżkach chorych można wywieszać karty gorączkowe? Czy to mogłoby naruszać prywatność chorego, ujawniać osobom trzecim jakieś dane wrażliwe?

Jak wskazała ekspertka można uznać, że karty gorączkowe są niezbędne dla właściwego leczenia pacjenta z uwagi na przydatność do diagnozy medycznej oraz zapewnienie opieki medycznej i leczenia. Zaznaczyła jednocześnie, że ważne jest ich właściwe zabezpieczenie – np. zasłonięcie, odwrócenie.

Czy zakładać opaski noworodkom?

W szpitalach położniczo-ginekologicznych zaczęto ściągać opaski noworodkom, na których były umieszczane dane matki, co wydaje się działaniem na wyrost.

- W tym przypadku przetwarzanie danych jest niezbędne ze względu na ochronę żywotnych interesów – stwierdziła ekspertka z Ministerstwa Cyfryzacji.

Tomasz Soczyński, dyrektor zespołu Informatyki Urzędu Ochrony Danych Osobowych podkreśla, że obowiązek zabezpieczenia danych przez administratora wiąże się z upoważnianiem personelu do danych osobowych. – Dopuszczone do przetwarzania danych w przypadku opasek dla noworodków są tylko określone osoby z personelu – mówi Soczyński.

Czy nadal można stosować opaski u pacjentów?

Noga-Bogomilska wymieniła wśród mitów związanych z RODO również m.in. przekonanie o niemożności stosowania w szpitalach opasek z imieniem i nazwiskiem pacjenta.

- Wiem, że w niektórych placówkach te opaski zginęły, a lekarze na to narzekają, że pacjent nie jest właściwie identyfikowalny – wskazała. – A identyfikacja pacjenta może być kluczowa dla jego bezpieczeństwa. Może się np. zdarzyć sytuacja, że hospitalizowany pacjent opuści swoją salę i zasłabnie, bez opaski będzie trudno określić jego personalia – dodała.

Beata Jagielska podkreśla, że stosują opaski i ponieważ dane na nich się ścierają, dbają o to, by były zawsze czytelne.

- Jest procedura dotycząca tego, kiedy opaska musi być wymieniona, co trzeba zrobić, gdy pacjent zgubi opaskę – mówi Jagielska. – Mamy pacjentów wiekowych, z upośledzoną świadomością, gdzie kontakt jest utrudniony. Nie zawsze są w stanie podać swoje imię i nazwisko, a lekarz i pacjenta muszą mieć pewność, że mają do czynienia z konkretnym chorym. W szaleństwie utajniania danych nie możemy doprowadzić do katastrofy.

 


Jak ma wyglądać obchód lekarski?

Ekspertka wskazała, że pojawiły się też np. głosy mówiące, że obchody lekarskie w szpitalach mogą zagrażać prawu do prywatności i należałoby z nich zrezygnować.

- Można powiedzieć, że obchody lekarskie służą wymianie informacji na temat bieżącego stanu zdrowia pacjenta i są niezbędne do diagnozy. Jest podstawa w RODO, by uznać, że jest to dozwolone. Ważne, jak zawsze, jest odpowiednie zabezpieczenie organizacyjne, tak by informacje o jego stanie zdrowia nie były udostępniane wszystkim obecnym na sali – powiedziała.

Identyfikatory gabinetów lekarzy

Ekspertka z Ministerstwa Cyfryzacji podała, że wśród placówki mają wątpliwości, czy mogą ujawniać w identyfikatorach na drzwiach gabinetów specjalizacji lekarza.

- Nie chodzi tu o ochronę danych lekarza, lecz pacjenta, który czeka i widać czy np. przyjmie go seksuolog, ginekolog czy onkolog, co częściowo może przekazywać dane o tym, jaki jest jego stan zdrowia – wyjaśniła.

Jak oceniła Noga-Bogomilska sprawa jest złożona.

- Informacja, że pacjent czeka pod drzwiami określonego specjalisty, jest informacją wrażliwą. Trzeba wyważenia interesów i dóbr prawnych. Rozwiązanie powinno być zależne od stanu zdrowia pacjenta i łatwości potencjalnego dostępu do lekarza – stwierdziła. Jej zdaniem, w szpitalach powinny być identyfikacje, by hospitalizowanym pacjentom ułatwić udawanie się do określonych miejsc.

- Jeśli chodzi o przychodnie, placówki, gdzie pacjenci przychodzą, to tam można byłoby zrezygnować z informacji – dodała.

Pacjent chce usunąć swoje dane

Kolejny mit dotyczy tego, że pacjent może domagać się usunięcia jego danych z placówki medycznej.

Zuzanna Kosakowska, administrator bezpieczeństwa informacji w Centrum Systemów Informacyjnych Ochrony Zdrowia podkreśla, że prawo do usunięcia danych z dokumentacji medycznej na dobrą sprawę nie funkcjonuje, bo mamy przepisy innych ustaw m.in.: ustawę o prawach pacjenta, która mówi o tym, że placówka musi prowadzić dokumentację medyczną i ją przechowywać przez 20 lat pod ostatniego wpisu.

- Nie możemy usuwać danych medycznych – mówi Kosakowska.-  W świetle RODO każdy pacjent może też złożyć wniosek o modyfikację danych, ale w zakresie dokumentacji medycznej ta poprawa może dotyczyć tylko i wyłącznie tej części danych osobowych, które nie wpływają na niezależną opinię lekarza i jego wiedzę. Pacjent nie może żądać poprawienia dokumentacji medycznej dotyczącej diagnozy. Może żądać zmiany nazwiska adresu zamieszkania, jeśli ma wyrok sądu może żądać poprawy PESEL-u i nawet płci, jeśli też ma wyrok sądowy, ale nie może ingerować w to, co w dokumentacji wpisał pracownik medyczny.

Soczyński z UODO dodaje, że jeśli pacjent chce, by usunąć jego dane, nie powinno się śpieszyć z taką decyzją. - Jeżeli już nie znajdziemy żadnej podstawy prawnej, by takie dane dalej przetwarzać, mamy 30 dni na rozważnie wniosku o ich usunięcie – mówi Soczyński.