Przed wyciekami danych w ZOZ może uchronić właściwa polityka ich zabezpieczania
Wywiad z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Danych Osobowych
- Najprawdopodobniej w 2015 r. wejdzie w życie ministerialny projekt zarządzania danymi medycznymi za pomocą systemów informatycznych. Za jego przygotowanie i wdrożenie odpowiada MSWiA, Ministerstwo Zdrowia oraz podległe mu Centrum Systemów Informacyjnych Ochrony Zdrowia. Co budzi Państwa największe wątpliwości w tym systemie?
- Naszą największą rezerwę, a nawet sprzeciw, budzi fakt, że bardzo mało wiemy na temat tego systemu. Nie znamy choćby projektów aktów wykonawczych przygotowywanych przez Ministerstwo Zdrowia. Jest to kwestia o tyle istotna,
że system informacji w ochronie zdrowia to tak naprawdę dwa duże projekty informatyczne, które są realizowane przez Centrum Systemów Informacyjnych Ochrony Zdrowia. Jeden z nich to tzw. projekt rejestrowy dotyczący integracji istniejących obecnie rejestrów medycznych. Znamy zewnętrzne opracowania,
które zostały przygotowane na potrzeby tego projektu i dzięki temu wiemy,
że integrowanych, także na poziomie danych, ma być około 100 rejestrów medycznych, w tym mniej więcej 70 rejestrów zawierających dane osobowe,
m.in. dane pacjentów, lekarzy, pielęgniarek, położnych, osób oczekujących
na operacje lub zabiegi, dawców szpiku kostnego czy chorych na gruźlicę.
Z tych opracowań wiemy też, że mają być wprowadzone różne poziomy dostępu
do danych, ale takich informacji, co budzi nasze zastrzeżenia, nie ma w projekcie ustawy o systemie informacji w ochronie zdrowia, nad którym pracują posłowie. Zastrzegam przy tym, że nie twierdzę, iż Ministerstwo Zdrowia chce zrobić coś złego czy ma złe zamiary, ale uważam, że mamy do czynienia z niedopracowanym projektem aktu prawnego, z którego wiele rzeczy nie wynika, a powinny. Przede wszystkim to ustawa, a nie rozporządzenia wydawane
przez Ministerstwo Zdrowia, powinna określać zakres danych, jakie mogą być gromadzone w omawianym systemie. Konstytucja RP stanowi bowiem wprost,
że nikt nie może być zmuszony inaczej, niż na podstawie ustawy, do ujawnienia informacji o sobie, a zasady i tryb gromadzeniaoraz udostępniania informacji może określać tylko ustawa. Powinniśmy też wiedzieć, kto i na jakich zasadach będzie miał dopstęp do tych danych, i jak będą one zabezpieczone.
- Jak zatem, według organu, który Pan reprezentuje, powinien przebiegać proces rejestracji pacjentów i administrowania ich danymi?
- W idealnym świecie najlepszą podstawą do przetwarzania tego typu danych w całości systemu jest z pewnością zgoda - wyrażona dobrowolnie i w pełni świadomie. Jednak zdaję sobie sprawę, że wielu klientów służby zdrowia niejednokrotnie nie jest w stanie w pełni świadomie podjąć decyzji o wyrażeniu zgody na przetwarzanie danych o ich stanie zdrowia. Natomiast, jeśli mielibyśmy zmuszać pacjentów, by ujawniali pewne informacje na temat swojego stanu zdrowia, to chciałbym, aby decyzja w tej sprawie była podjęta na poziomie ustawowym,
a nie wynikała z rozporządzenia Ministra Zdrowia, czy postanowień informatyków pracujących w Centrum Systemów Informacyjnych Ochrony Zdrowia.
- Idźmy zatem dalej, do tej bardziej praktycznej części obchodzenia się z danymi pacjentów w przychodni.
- Nie jestem osobą, która chciałaby udzielać wskazówek, jak osoby odpowiedzialne za funkcjonowanie placówek służby zdrowia mają zarządzać danymi pacjentów czy pracowników medycznych, gdyż są w tej dziedzinie specjaliści znacznie lepsi ode mnie. Natomiast jako organ ochrony danych osobowych chciałbym wiedzieć, jakie reguły będą stosowane.
Podam prosty przykład przepisu znajdującego się w projekcie ustawy o systemie informacji w ochronie zdrowia, co do którego akurat nie zgłaszaliśmy uwag, choć wywołał dużą dyskusję w środowisku lekarzy. Była to kwestia identyfikatorów, noszonych przez personel medyczny i pacjentów.
Rozumiemy powody i całkowicie zgadzamy się z zawartym w przepisach rozwiązaniem, by stosować takie identyfikatory, przy czym w taki sposób, aby ten, noszony przez pracownika służby zdrowia, był widoczny, a ten pacjenta - już nie.
- Wycieki danych pacjentów zdarzają się cały czas, w wielu krajach i zazwyczaj z tych samych powodów: kradzież, utrata podczas przesyłania, błąd człowieka, utrata sprzętu. Jak to wygląda w Polsce, właśnie na tle innych państw?
- Z pewnością najsłabszym ogniwem systemu zabezpieczeń jest człowiek. Zawsze będą miały miejsce sytuacje, w których błędy w systemie, błędy obsługujących go pracowników czy też świadome działanie innych osób spowodują ujawnienie danych pacjentów. Zadaniem przepisów prawnych jest tworzenie mechanizmów kontroli i zapobiegania tego typu sytuacjom. Od strony prawnej mamy dobre rozwiązania dotyczące zabezpieczenia danych przed nieuprawnionym dostępem. Walczyć trzeba zatem przede wszystkim z próbami włamania się do systemu, wykradania z niego danych czy niedbałego ich porzucania. To są jednak kwestie, których przepisy prawa nie rozwiążą. Przed wyciekami uchronić może poprawnie stosowana polityka zabezpieczenia danych osobowych, ale też bezpieczeństwa systemów realizowana w poszczególnych jednostkach.
Wypada też wskazać, że kwestię bezpieczeństwa danych medycznych będzie regulowała nie tylko ustawa o systemie infomacji w ochronie zdrowia, ale także ustawa o ochronie danych osobowych i akty wykonawcze do niej, przepisy dotyczące bezpieczeństwa systemów teleinformatycznych wynikające z ustawy o informatyzacji oraz różnego rodzaju normy branżowe. Wszystkie te regulacje powinny być znane
i stosowane przez osoby zajmujące się zabezpieczaniem danych w ochronie zdrowia. Prawdą jest, że to właśnie systemy ochrony zdrowia mają najszerszą gamę przepisów normalizacyjnych w postaci polskich norm czy norm ISO. Jednak systemy te
są trudne do oceny. Najczęściej ujawniane są złe przykłady zabezpieczenia danych, podczas gdy, śmiem twierdzić, w większości placówek ochrony zdrowia poziom bezpieczeństwa danych, zwłaszcza tych elektronicznych, jest dobry; gorzej jest natomiast z danymi papierowymi.
- Jak w związku z tym wygląda Państwa kontrola w tym zakresie?
- GIODO może przeprowadzać inspekcje, które są albo wszczynane z urzędu,
albo na skutek skarg, które do nas wpływają, budząc nasze zainteresowanie funkcjonującym systemem czy konkretną instytucją. Biorąc pod uwagę dostępność listy podmiotów świadczących usługi z zakresu ochrony zdrowia, wybór placówek, które chcemy skontrolować, jest dość prosty. Większych problemów może przysporzyć ustalenie katalogu zbiorów, w których jednostki służby zdrowia przetwarzają dane osobowe, gdyż duża część z nich nie musi być rejestrowana
u Generalnego Inspektora Ochrony Danych Osobowych, o czym wprost stanowi
art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
- Czy zastanawiali się Państwo - hipotetycznie bądź w warstwie legislacyjnej - nad kwestią certyfikatów dostępu do danych w służbie zdrowia?
- GIODO tego typu certyfikatów nie wydaje, choć - oczywiście - zdajemy sobie sprawę z tego, że wiele podmiotów powołuje się na to, iż została u nich przeprowadzona kontrola GIODO, która nie wykazała żadnych uchybień. Niemniej nie należy traktować tego jako certyfikatu. Swoje homologacje wydaje natomiast Centrum Systemów Informacyjnych Ochrony Zdrowia. Są one jednak przeznaczone
dla uznanych za bezpieczne urządzeń i systemów; mają więc znaczenie techniczne, nie warunkują uprawnień i dostępu osób ani sposobów przechowywania danych.
- Jak wygląda kwestia wydawania danych pacjentów rodzinie i osobom upoważnionym? Jak bardzo zmienia się to w zależności od tego, czy pacjent jest wciąż leczony lub zmarł i takiego upoważnienia nie zdążył wydać?
- Musimy pamiętać, że w przypadku danych medycznych mamy do czynienia z danymi szczególnie chronionymi i udostępnianie ich na innej podstawie
niż przepisy prawa nie jest proste. Rzeczywiście, zgoda jest jedną z podstaw,
z której można w tym przypadku skorzystać i osobiście zalecam wszystkim, aby taką zgodę dotyczącą przekazywania ich danych medycznych członkom rodziny
lub innym osobom, którym ufają, w odpowiedni sposób wyrazili. Nie jestem przekonany stwierdzeniami, które pojawiają się niekiedy w mediach, że tego typu upoważnienie przekazane jednemu zakładowi opieki zdrowotnej nie może być wykorzystane przy udostępnianiu danych przez inny zakład. Oczywiście, dużo zależy od formy, w jakiej to upoważnienie zostało przygotowane, ale nie ma tutaj żadnych formalnych wymagań dotyczących takiego upoważnienia, poza tym, że musi być ono przygotowane na piśmie.
Jeżeli chodzi o udostępnianie danych medycznych osób zmarłych, to sprawa wbrew pozorom trochę się komplikuje, choć na pierwszy rzut oka wydawałoby się,
że rozwiązanie mogłoby wyglądać podobnie. Powodem jest fakt, iż dane osób zmarłych nie podlegają ustawie o ochronie danych osobowych. Należy tu więc korzystać z klasycznych przepisów dotyczących ochrony danych medycznych.
- Na co w takim razie jeszcze menedżerowie ZOZ powinni zwrócić uwagę w kwestiach praktycznych związanych z ochroną danych medycznych?
- Podam istotny i łatwy do zapamiętania argument: skoro potrafimy własnoręcznie i w różnych okolicznościach napisać testament, to nic nie stoi na przeszkodzie, by spisać również oświadczenie, w którym upoważnimy inne osoby do rozporządzania naszymi danymi medycznymi. Taki dokument, opatrzony podpisem i najlepiej również datą, jest w zupełności wystarczający w kontekście wyrażania zgody - nie musi to być wcale forma notarialna. Oczywiście, po stronie zakładów opieki zdrowotnej rodzi to konieczność odpowiedniego archiwizowania tego typu pism, a także ich interpretowania, co nie zawsze jest proste.
Myślę, że dobrym rozwiązaniem byłby tu ogólnodostępny formularz zgody, natomiast unikałbym sytuacji, w których przyjmujemy domniemanie, że pacjent wyraził taką zgodę. Ta, niestety, błędna praktyka znalazła zastosowanie w polskich przepisach prawnych chociażby w kwestii przeszczepów, niemniej nasz urząd zawsze będzie orędownikiem zdobywania zgód od pacjentów na jak najszerszą skalę.
- Czyli pojawia się kwestia dyskusji i edukacji społecznej?
- Z pewnością, edukacja społeczna w tym zakresie jest jak najbardziej potrzebna i wydaje mi się, że najbardziej powinno na niej zależeć właśnie instytucjom służby zdrowia: ze względu na dobro pacjentów i samych pracowników sektora medycznego, którzy również należą do tego wielkiego obiegu danych i informacji.
- Dziękuję za rozmowę.
Autor: Rozmawiała: Ewa Paciorek
