Outsourcing w jednostkach ochrony zdrowia

1. Outsourcowanie usług takich jak wymieniona w nim informatyka, czy archiwizowanie dokumentacji medycznej

2. Naruszenie nawet najlepszych zasad bezpieczeństwa

Na początek weźmy na przysłowiową „tapetę” punkt pierwszy. Jakiś czas temu czytałem wypowiedź Generalnego Inspektora Ochrony Danych Osobowych, że outsourcing w jednostkach ochrony zdrowia jest niemożliwy z uwagi na zachowanie tajemnicy lekarskiej, z której zgodnie z ustawą o Lekarzach i lekarzach dentystach może zwolnić tylko sąd lub prokuratura. Teraz czytam, że w związku ze „zdarzeniami” doczekamy się unormowania Ustawowego outsourcingu w tym zakresie. Popatrzmy na działający szpital na dzień dzisiejszy okiem praktycznym.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Nie ulega wątpliwości, że z uwagi na zwolnienie jednostek ochrony zdrowia z obowiązku rejestracji większość z nich cierpi na brak świadomości w tym zakresie. Przez lata życia Ustawy o ochronie danych osobowych temat w zasadzie jednostek ochrony zdrowia „nie dotyczył” w ich mniemaniu ponieważ nie widać ich w rejestrze zbiorów, nikt niczego nie wymagał, pacjenci nie posiadali odpowiedniego poziomu świadomości w tym zakresie. Często spotykałem interpretacje w placówkach medycznych utożsamiające obowiązek ochrony danych osobowych z rejestracją zbiorów. W tym właśnie punkcie zgadzam się z Generalnym Inspektorem Ochrony Danych Osobowych, że personel w podmiotach leczniczych należy stale szkolić aby uzyskać odpowiedni poziom wiedzy menedżerów i pracowników w zakresie ochrony danych. Kolejnym nieporozumieniem często spotykanym jest utożsamianie ochrony danych osobowych z systemami informatycznymi. Czyli ochronie podlegają tylko dane w postaci zapisu elektronicznego. Słowo „Dane” bardzo długo kojarzyło się tylko z informatyką. Przy kolejnych nowelizacjach ustawy w 2012 r podmioty lecznicze znalazły ucieczkę w postaci zapisów na dokumentacji medycznej w związku z gromadzonymi danymi, że „pacjent wyraża zgodę na przetwarzanie......”.

Bardzo często w środowisku medycznym nikt nie neguje gromadzonych informacji bo przecież są one „potrzebne”. Nie ma szczegółowych analiz dokumentacji z określeniem danych, które wynikają z rozporządzenia ministra zdrowia, jak również określenia celu i zakresu gromadzonych danych, które naprawdę są potrzebne ale wymagają zgody pacjenta. Nie pomaga w tym wypadku rynek prywatnych firm obsługujących szpitale, w którym przedsiębiorcy i korporacje się chronią przed moim zdaniem rzeczami oczywistymi związanymi z odpowiedzialnością za powierzone im dane. Po 2014 roku i ostatniej nowelizacji, zmiany zrobiły się na tyle głośne, że delikatnie wstrząsnęły ZOZami do tego stopnia, że wzbudziło to ich zainteresowanie. Niestety tylko zainteresowanie. Nadal w stosunku np. do samorządów, jednostek budżetowych poziom świadomości problematyki jest zbyt niski aby skutecznie wprowadzać zmiany w jednostkach ochrony zdrowia. Tyle słowem wstępu do tematu outsourcingu.

Na tak naszkicowanej rzeczywistości wyobraźmy sobie przeciętny szpital. Menedżera, który jest lekarzem i prócz zarządzania jednostką leczy ludzi. Ogrom jego problemów z bilansowaniem jednostki, z problemami lekarzy, pacjentów, zmian ustawowych, szarpania się z NFZ, planowania i nadzorowania inwestycji, problemów ze sprzętem, kontrolami, pracownikami itd. Dokładamy mu zmiany organizacyjne związane z ochroną danych osobowych oparte na przepisie, z którego rygor jest nikczemny, chyba że dojdzie do prawdziwej katastrofy i na teren szpitala nie wejdzie GIODO tylko prokuratura. Personel z uwagi na zwolnienia GIODO ma blade pojęcie o ochronie danych osobowych. Dodatkowo aby szpital mógł funkcjonować zgodnie z przepisami posiada oprogramowanie umożliwiające mu rozliczenie świadczeń, firmy serwisujące urządzenia takie jak RTG, Tomograf, Polomierz, (Mogę wymieniać bez końca). Przy ruchu pacjentów do dokumentacji w tej czy innej formie lub jej części posiadają : lekarz (obowiązany zachowaniem tajemnicy tak jak Pan Inspektor słusznie zauważył), pielęgniarka, sekretarka medyczna, rejestratorka, sekretarka w sekretariacie głównym, archiwistka, często niestety księgowa, informatycy na etacie szpitalnym, firmy serwisujące sprzęt diagnostyczny gromadzący dane medyczne, firmy serwisujące HIS, laborantki, technicy radiologiczni, ratownicy, prawnicy, bywa, że również salowe sprzątające oddziały. Bez tych ludzi nie jest możliwe leczenie w szpitalu.

Podobnie mamy w jednostkach ambulatoryjnych. Dostęp do informacji o stanie zdrowia mają: rejestratorki, lekarze, pielęgniarki, statystycy, technicy medyczni, laboranci, pielęgniarki środowiskowe, niestety księgowi, podwykonawcy usług medycznych, kontrahenci jak w przypadku medycyny pracy, informatycy, firmy serwisujące sprzęt gromadzący dane, zewnętrzne firmy informatyczne i producenci oprogramowania dostarczający rozwiązań.

Taki jest stan faktyczny.

Wyobraźmy sobie teraz, że to wszystko dzieje się aby cały system leczenia przeciętnego Kowalskiego działał. Żeby można było pacjenta, przyjąć zdiagnozować, wyleczyć, rozliczyć i wypisać. I pracują w takim ruchu pacjentów ludzie, którzy nie przywiązują zbyt dużej uwagi do ochrony danych osobowych ponieważ nie posiadają odpowiedniego poziomu wiedzy w tym zakresie. Oczywiście są menedżerowie, którzy śledzą akty prawne lub maja od tego personel, dostosowują jednostkę do wymogów. W większości jednak przypadków dokumentacja ochrony danych osobowych jest ale zarasta kurzem. Trzeba ja mieć więc ja mamy. Rzeczywistość płynie swoim korytem rzeki. Popatrzmy to ile jednostek ochrony zdrowia prosi się o szkolenie pracowników. Zazwyczaj są wysyłane jednostki, które śladowo przekazują wiedzę po powrocie. Umówmy się, że ochrona danych osobowych nie ma zbyt wysokich notowań w budżetach jednostek ochrony zdrowia. Często również jest to dość spory wydatek na start a w stosunku do rygoru wręcz nieporównywalny. Szkolenia, audyty, zmiany organizacyjne, techniczne środki bezpieczeństwa itd. To wszystko kosztuje. Zawsze utrzymanie szpitala w postaci sprzętu medycznego, leków, środków czystości, personelu, będzie miało priorytet. Bo w szpitalach leczy się ludzi.

Sprawa outsourcingu w jednostkach ochrony zdrowia jest faktem od lat. I w świetle obowiązujących przepisów nie bardzo rozumiem co chcemy regulować. Outsourcing usług w ochronie zdrowia ma miejsce na wielu poziomach. Nie są to tylko służby informatyczne czy archiwa. Mamy lekarzy na umowach cywilnych, firmy wynajmujące personel medyczny, laboratoria zakontraktowane na badania, inne podmioty lecznicze kontraktujące usługi, firmy serwisujące sprzęt medyczny gromadzący dane pacjentów zgodnie z przepisami prawa. Problem z tym outsourcingiem polega na braku wiedzy z zakresu bezpieczeństwa danych. Bardzo często wyniki są przekazywane pocztą lub portalami o bardzo wątpliwym poziomie bezpieczeństwa. Nie przeszkoleni ludzie nie wiedzą, jak informacje należy chronić. Często Polityka bezpieczeństwa o ile w ogóle istnieje została skopiowana z internetu bez zastanowienia nad jej sensem i zastosowaniem w konkretnej jednostce. Umowy powierzenia oparte o art 31 UODO są stosowane niezwykle rzadko i nie zawierają informacji o zasadach do jakich ma się stosować procesor podpisujący taką umowę. Często za to starają się przenieść odpowiedzialność na podwykonawcę za ochronę danych co dla odmiany jest niezgodne z ustawą. Najczęściej są stosowane skąpe klauzule o zachowaniu poufności i w tym obszarze panuje raczej chaos. Wszystko z braku świadomości.

A przecież w świetle obowiązujących przepisów istnieje możliwość przekazania danych podmiotowi trzeciemu bez zgody właściciela jeżeli cel przetwarzania tych danych uzasadnia do nich dostęp. Nie wolno dopuścić aby przetwarzania dopuszczały się osoby nieupoważnione. W procesie powierzenia przetwarzania danych osobowych pamiętamy o tym, że odpowiedzialność za ich bezpieczeństwo nadal spoczywa na Administratorze Danych Osobowych. Resztę reguluje się procedurami, i zasadami bezpieczeństwa dobranymi zgodnie z kategorią powierzanych informacji.

Ustawa jest dla wszystkich taka sama. Każdy prócz tego posiada jeszcze własne przepisy branżowe. W idealnym wykonaniu należałoby narzucić podwykonawcy poziom bezpieczeństwa przyjęty w jednostce ochrony zdrowia. Niejednokrotnie jest to jednak niemożliwe i w takich wypadkach należy szukać kompromisu w przepisach. Być może wysoki poziom bezpieczeństwa jest nadal wysoki choć zostały zastosowane inne środki techniczne do jego realizacji. Na pewno należy zwrócić uwagę na kilka prostych zasad.

1. Nie przekazywać informacji zawierających dane osobowe mailem

2. Nie pozwalać wchodzić na teren jednostki ochrony zdrowia osobom i firmom, które nie zostały do tego uprawnione aby przystąpić do pracy. Pracownicy tych firm muszą być identyfikowalni.

3. Nie ma nawet mowy o podwykonawstwie w przypadku wykonywania usług przez procesora.

4. Nie wolno podwykonawcom wynosić danych bez uprzedniej rejestracji tego faktu. Tu użyłem słowa wynosić ponieważ różnie z tym bywa. Czasem jest to po prostu pendrive. Najczęściej jest to dostęp zdalny.

5. Wszelkie dostępy z zewnątrz sieci powinny być rejestrowane.

6. Zawsze podczas serwisowania aparatury, sprzętu powinna być osoba upoważniona do przetwarzania tych danych aby kontrolować przebieg wydarzeń.

7. Każda firma i każda osoba fizyczna działająca na umowie cywilno-prawnej powinna zostać przeszkolona z zasad bezpieczeństwa i procedur wdrożonych w tym zakresie aby wiedziała co jej wolno a co nie.

Zatem wszystko jest w mojej opinii uregulowane. Trzeba tylko zaopatrzyć menedżerów podmiotów leczniczych w odpowiednia wiedzę w tym zakresie. Udostępnić im narzędzie, promować pewien standard myślenia. To wystarczy.

Co do problemu naruszenia bezpieczeństwa danych, to niestety tyczy się on wszystkich firm. Nie tylko Podmiotów Leczniczych. Zagrożenia występują i są do tego odpowiednie narzędzia aby z nimi walczyć. Dane można wynieść, zniszczyć, zmienić nawet w najlepiej chronionym zakładzie pracy. Każde zdarzenie uczy nas nowych doświadczeń w tym zakresie i pozwala budować nowe formy bezpieczeństwa, wstawiać kolejne punkty kontrolne, monitorawać przetwarzanie danych w miejscach potencjalnego zagrożenia. Przytoczony przykład Chrzanowa na samym początku jest dowodem na to, że szkolenia pracowników są rzeczą bardzo ważną. Nie ma znaczenia czy w momencie kiedy problem wystapi się wybronimy przed konsekwencjami, szukamy winnych, pokazujemy działania udowadniając odpowiedni poziom zainteresowania tematem lub reakcji na zdarzenie. Problem z bezpieczeństwem danych może wystąpić w każdej chwili. Nie każde zagrożenie jesteśmy w stanie przewidzieć. Im bardziej jednak personel jest przeszkolony, im większy nacisk kładzie się aby wciąż powstające procedury wchodziły ludziom w krew, tym rzadziej będą się zdarzałay takie rzeczy, które później skutkują wizytą prokuratury. Przeważnie w podmiotach leczniczych do ochrony jakby na to nie spojrzec danych wrażliwych niestety podchodzimy sztampowo. PBI jest stworzone i w razie „W” jest na półce. Nie ma analiz ryzyka, nie ma kontroli poprawności wykonania procedur bezpieczeństwa, nie ma rozwoju w tym zakresie.

Apeluje zatem za słowami Generalnego Inspektora Ochrony Danych Osobowych do menadżerów podmiotów leczniczych aby jednak trochę bardziej przytulili temat, dokonali analiz tego co mają, rozpoznali miejsca szczególnego zagrożenia, zastosowali odpowiednie środki choćby organizacyjne. Po to macie Państwo ABI do dyspozycji aby te prace wykonał. Zagrożeniem nie jest jedynie wyniesienie danych z zakładu pracy czy dostęp przez osoby nieupoważnione i nieprzeszkolone. Zniszczenie, zagubienie, usunięcie danych to również problem. Idzie czas systemów informatycznych w ochronie zdrowia. Postawcie Szanowni Państwo na szkolenia, na kształtowania nawyków.

Pamiętajcie, że PBI jest narzędziem opisującym w zasadzie metodyke ochrony danych. Lubię tak patrzeć na Politykę. Łatwiej ją dzieki temu zrozumieć. Kiedy mamy zawarte procedury wynikające z analizy ryzyka, kiedy sprawdzamy okresowo czy te procedury działają, kiedy szkolimy personel to naprawdę możemy spać spokojniej.

Niestety uważam, że bez fali kontroli GIODO w podmiotach leczniczych nie zmieni się za wiele.