GDPR και Υγεία

GDPR στον χώρο της υγείας

Η διασφάλιση των προσωπικών δεδομένων στον χώρο της υγείας και ο GDPR

 

GDPR και Υγεία: H εργασία αυτή έγινε στα πλαίσια του προγράμματος gdpr – data protection officer του ΚΕΔΙΒΙΜ του Πανεπιστημίου Αιγαίου, του Εργαστηρίου ΤΠΕ Ήρωνα και με την υποστήριξη της dreamweaver.gr  από τον κο ΟΙΚΟΝΟΜΟΠΟΥΛΟΥ Δ. Γρηγορίου με θέμα

Η ΔΙΑΣΦΑΛΙΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΧΩΡΟ ΤΗΣ ΥΓΕΙΑΣ
ΣΤΟ ΕΥΡΥΤΕΡΟ ΠΛΑΙΣΙΟ ΤΟΥ ΝΕΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR).

Η παρούσα εργασία έχει ως στόχο της να παρουσιάσει κατά τον απλούστερο και συντομότερο δυνατό τρόπο τις διαδικασίες και τις προϋποθέσεις στις οποίες υπόκειται η συλλογή-επεξεργασία – ανάλυση και χρήση των δεδομένων προσωπικού χαρακτήρα, που γίνεται στο χώρο του ιατρικού κλάδου, καθώς την σημασία της προστασίας και της ασφάλειας τους.

Επίσης γίνεται μνεία στον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), όπου πραγματεύεται την πολιτική προστασίας των προσωπικών δεδομένων και την εφαρμογή του ανωτέρω Ευρωπαϊκού κανονισμού να ακολουθείται-τηρείται και από τους πάροχους ιατρικών υπηρεσιών, δημόσιων ή ιδιωτικών.

Επιπλέον δε, εξετάζεται η έννοια και η χρησιμότητα των προσωπικών δεδομένων για την μελλοντική εξέλιξη της ιατρικής επιστήμης.

Η εργασία χωρίζεται σε δύο μέρη, το θεωρητικό και το ερευνητικό.

ΕΙΣΑΓΩΓΗ

Στην κατοχύρωση και την προστασία της ιδιωτικής ζωής του ανθρώπου, σύμφωνα με το άρθρο 9 παρ.1 του Συντάγματος, εντάσσεται και η διασφάλιση των δεδομένων προσωπικού χαρακτήρα από τυχόν κακόβουλη χρήση ή καταχρηστική συλλογή και επεξεργασία είτε από τρίτους είτε από την πολιτεία.

Η τήρηση ιατρικού αρχείου προβλέπεται και ορίζεται ως προς τον σκοπό, τον τρόπο και το περιεχόμενο του, από το άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας καθώς και σύμφωνα με το Νόμο 3418/2015 ΄΄Περί τήρησης ιατρικού αρχείου΄΄.

Συμπεριλαμβάνει αφενός τα απολύτως απαραίτητα προσωπικά στοιχεία του ασθενούς και αφετέρου λεπτομερώς την κλινική του εικόνα, την θεραπεία- αγωγή που χορηγήθηκε, διενεργηθείσες εξετάσεις και τα αποτελέσματα αυτών καθώς, την πορεία της κατάστασης της υγεία του ασθενούς καθώς και συμπεράσματα ή παρατηρήσεις.

Απαγορεύεται η καταχώρηση ευαίσθητων προσωπικών δεδομένων του ασθενούς (πλην εξαιρέσεων όπως θα δούμε παρακάτω), όπως οι θρησκευτικές πεποιθήσεις, ο σεξουαλικός προσανατολισμός, γενετικά και βιομετρικά δεδομένα, πολιτικά φρονήματα, κοινωνικό στάτους, ποινικό μητρώο κ.τ.λ. , τα οποία δεν έχουν ιατρικής φύσεως ενδιαφέρον.

Η διάρκεια τήρησης του ιατρικού αυτού αρχείου των ασθενών έχει υποχρεωτικό ανώτατο χρονικό διάστημα τα δέκα έτη, από την τελευταία επίσκεψη, για τα ιδιωτικά ιατρεία, για τα δε δημόσια τα είκοσι έτη.

ΝΟΜΙΚΗ ΔΙΑΣΦΑΛΙΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ.GDPR και Υγεία

Σε αυτό το σημείο όμως ας κάνουμε μια ιστορική αναδρομή σχετικά με την Ευρωπαϊκή νομοθετική πορεία και εξέλιξη της διασφάλισης των δεδομένων προσωπικού χαρακτήρα.

Στις 24/10/1995 εγκρίνεται η Ευρωπαϊκή οδηγία 95/46/ΕΚ η οποία προστατεύει και κατοχυρώνει τα φυσικά πρόσωπα από την επεξεργασία των δεδομένων τους (προσωπικού χαρακτήρα) και από την ελεύθερη διακίνηση και επεξεργασία τους.

Χρειάστηκαν δεκαέξι ολόκληρα χρόνια ώστε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων να δημοσιεύσει σχετική γνώμη, προβάλλοντας την αναγκαιότητα επιμέρους και ενδελεχούς προσοχής στο τομέα αυτό και έτσι από την 22/06/2011 όπου συνέβη αυτό, οδηγούμαστε ύστερα από διαδοχικές προτάσεις και διορθώσεις στην υπερψήφιση από το Ευρωπαϊκό Κοινοβούλιο την 12/03/2014 του Γενικού Κανονισμού Προστασίας των Δεδομένων (GDPR).

Έκτοτε οι συνεχείς τροποποιήσεις του, έχοντας ήδη τεθεί σε άμεση Ευρωπαϊκή προτεραιότητα δίνουν προς εφαρμογή την 25/05/2018 τον Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), όπως τον γνωρίζουμε και ισχύει μέχρι σήμερα.

Αξιοσημείωτο και ζωτικής σημασίας για την ουσιαστική διατήρηση και πιστή εφαρμογή αυτού του κανονισμού, αποτελεί μεταξύ άλλων η υποχρέωση διορισμού, κατά περίπτωση, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, υπευθύνου προστασίας προσωπικών δεδομένων, ο οποίος θα εξασφαλίζει τον έλεγχο και την τήρηση της εφαρμογής του GDPR, στον τομέα επιτήρησής του.

Προβλέπονται δε υψηλά χρηματικά πρόστιμα και αυστηρές ποινές, σε περιπτώσεις είτε μη συμμόρφωσης, είτε παραβίασης των διατάξεων αυτών, τόσο από δημόσιους φορείς όσο και από ιδιωτικούς.

ΤΡΟΠΟΣ ΣΥΛΛΟΓΗΣ, ΤΗΡΗΣΗΣ ΚΑΙ ΕΠΕΞΕΡΓΑΣΊΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ.GDPR και Υγεία

Ο τρόπος συλλογής των προσωπικών δεδομένων στους φορείς της υγείας, πραγματοποιείται είτε με φυσικά είτε με ηλεκτρονικά μέσα διαφορετικά ή συνδυαστικά ανάλογα την περίπτωση.

Στα σημεία υποδοχής, τις γραμματείες και στα γραφεία κίνησης των ασθενών, κατά την τηλεφωνική επικοινωνία ή την ηλεκτρονική αλληλογραφία για την λήψη ή τον προγραμματισμό οποιασδήποτε ιατρικής υπηρεσίας, κατά την συμπλήρωση ερωτηματολογίων, υποχρεωτικών ή μη, πριν ή μετά από την διενέργεια ιατρικής πράξης, πληροφορίες που παρέχονται άμεσα από τους ασθενείς ή τους οικείους τους προς το ιατρικό προσωπικό για την καλύτερη δυνατή εκτίμηση της κατάστασης της υγείας τους.

Τα παρεχόμενα αυτά στοιχεία είναι συνήθως το ονοματεπώνυμο, πατρώνυμο – μητρώνυμο, η ημερομηνία γέννησης, η διεύθυνση κατοικίας, ο αριθμοί ταυτότητας-α.φ.μ.-α.μ.κ.α., τραπεζικοί λογαριασμοί ή αριθμοί πιστωτικών καρτών για τον τρόπο εξόφλησης τυχόν κόστους νοσηλείας, βιβλιάριο υγείας, πρωτύτερες ήδη ιατρικές εξετάσεις, κ.α..

Προσωπικά δεδομένα στο χώρο της υγείας, δεν αποτελούν μόνο αυτά των ασθενών αλλά και του εργαζόμενου προσωπικού. Ομοίως και αυτά υπάγονται και προστατεύονται από τις ίδιες διατάξεις, και η συλλογή, αποθήκευση και επεξεργασία τους διέπεται από τους ίδιους και αυστηρούς κανόνες.

Αυτά τα δεδομένα συλλέγονται κατά τις αιτήσεις πρόσληψης, την αποστολή βιογραφικών των ενδιαφερομένων και τις συμβάσεις πρόσληψης του προσωπικού.

Ομοίως προσωπικά δεδομένα συλλέγονται και από συμβάσεις συνεργασίας τρίτων με τους φορείς της υγείας, είτε φυσικών προσώπων είτε εταιρειών, όπως π.χ. προμηθευτών τροφίμων, συντηρητών, συνεργείων καθαρισμού κ.α.

Ο τρόπος τήρησης του αρχείου, είτε σε φυσική μορφή φακέλων, είτε σε ηλεκτρονική μορφή βάσης δεδομένων, πρέπει να εγγυάται την ασφάλεια του και την διαθεσιμότητα του, φυλασσόμενο σε ασφαλές μέρος και προστατευμένο τόσο από κλοπή, όσο και από καταστροφή ή αλλοίωση του.

Στα πλαίσια αυτής της προσπάθειας υπάρχει η δυνατότητα ώστε η καταγραφή και η συλλογή αυτών των πολύτιμων στοιχείων να γίνεται εφαρμόζοντας την ΄΄ανωνυμοποίηση΄΄, δηλαδή να γίνεται με τέτοιο τρόπο ώστε η επεξεργασία τους να μην αποδίδει σε συγκεκριμένο ταυτοποιήσιμο ή ταυτοποιημένο άτομο.

Ένας άλλος παρόμοιος τρόπος είναι η μέθοδος της ΄΄ψευδονυμωποίησης΄΄ όπου η καταχώρηση και η τήρηση των ιατρικών δεδομένων θα γίνεται με την μορφή πλασματικών προσωπικών ονομάτων και τα πραγματικά στοιχεία των ατόμων θα τηρούνται ξεχωριστά με αυστηρούς κανόνες ασφαλείας και τήρησης του απορρήτου, χωρίς άμεση πρόσβαση σε τρίτους.

Υπό ακόμα αυστηρότερες προϋποθέσεις σύμφωνα με τον GDPR δύναται στους ιατρικούς χώρους να τοποθετηθούν κάμερες ασφαλείας όπως στις εισόδους και τις εξόδους, ύστερα από σχετική και εμπεριστατωμένη μελέτη – πρόταση του υπεύθυνου για την ασφάλεια του χώρου, όσων αφορά την το σκοπό και τη χρήση αυτών.

Ομοίως και σε χώρους που χρήζουν επιτήρησης από κλειστό κύκλωμα τηλεόρασης (CCTV) για την καλύτερη δυνατή παροχή ασφάλειας και πρόληψης, έκνομων ή κακόβουλων ενεργειών. Αυτά τα δεδομένα έχουν σαφώς μικρότερη διάρκεια καταγραφής και τήρησής τους (λίγων ημερών) και δεν δύνανται να αποτελέσουν αντικείμενο επεξεργασίας σύνθετων ερευνών ή μελετών, παρά μόνο για τον αρχικό σκοπό για τον οποίο έχουν τοποθετηθεί τα ηλεκτρονικά αυτά μέσα καταγραφής.

Όποιος επεξεργάζεται τα δεδομένα αυτά στο χώρο της υγείας, οφείλει σύμφωνα με τον ευρωπαϊκό Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) να γνωρίζει την νομική βάση και να καταγράφει το σκοπό αυτής της επεξεργασίας.

Η ΤΗΡΗΣΗ ΤΗΣ ΟΥΣΙΑΣΤΙΚΗΣ ΔΙΑΔΙΚΑΣΙΑΣ.GDPR και Υγεία

Η ανεξέλεγκτη και αλόγιστη καταχώριση δεδομένων προσωπικού χαρακτήρα στο ευρύτερο κομμάτι της κοινωνικής διαβίωσης στις μέρες μας, τείνει να επεκταθεί ακόμα και στο χώρο της ιατρικής. Τροχοπέδη σε αυτή τη τάση αποτελούν οι ισχύουσες διατάξεις όπως προβλέπονται από είτε από την Ελληνική νομοθεσία και είτε από τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR).

Η συλλογή και η επεξεργασία ευαίσθητων προσωπικών δεδομένων με την ευρύτερη έννοια απαγορεύεται, πλην συγκεκριμένων περιπτώσεων και υπό αυστηρές διευκρινήσεις. Μια περίπτωση όπου επιτρέπει αυτή την συλλογή και επεξεργασία ευαίσθητων προσωπικών δεδομένων είναι για θέματα υγείας.

Αυτό προϋποθέτει να γίνεται από άτομο που διέπεται λόγω τη ιδιότητας του από το ιατρικό κώδικα δεοντολογίας, τηρουμένης της επαγγελματικής ιατρικής του εχεμύθειας. Γίνεται δε μόνο όταν είναι αναγκαία για την διάγνωση, θεραπεία είτε πρόληψη ασθενειών που χρήζουν ανάλογης αντιμετώπισης.

Τα στοιχεία που τηρούνται ως ιατρικό αρχείο ασθενών σε καμία περίπτωση δεν μπορούν να τύχουν αλόγιστης και άσκοπης συλλογής και επεξεργασίας για λόγους μη ιατρικούς. Δεν μπορούν λ.χ. να αποτελέσουν αντικείμενο έρευνας ή υλικό εργασιών για στατιστικούς λόγους κοινωνικοπολιτικού περιεχομένου.

Βασική προϋπόθεση για την ανάλυση και την επεξεργασίας τους αποτελεί η έγκυρη συναίνεση του ασθενούς.

Η ΧΡΗΣΙΜΟΤΗΤΑ.GDPR και Υγεία

Αντιστοίχως ένα τηρούμενο ιατρικό αρχείο τόσο στο δημόσιο όσο και στον ιδιώτη πάροχο υπηρεσιών υγείας, δύναται να τίθεται στην διάθεση οποιουδήποτε μελλοντικού ελεγκτή ιατρού στον εργασιακό χώρο των εργαζομένων ώστε με τον καλύτερο δυνατό τρόπο να αποφεύγονται εργασιακές και υπηρεσιακές καταχρήσεις σε άτομα που ανήκουν σε ευπαθείς ομάδες, πάσχοντα από χρόνια δυσίατα νοσήματα ή λαμβάνοντα περιοδική φαρμακευτική αγωγή ή αναγκαία νοσηλεία.

Έτσι μέσω ουσιώδους κινητικότητας η αποδοτικότητα θα αντικαταστήσει εμφανώς υπηρεσιακές δυσπραγίες που οφείλονται σε διάφορα θέματα υγείας που αντιμετωπίζουν υπάλληλοι και εργαζόμενοι.

Στον ευρύτερο κλάδο της υγείας, είναι σαφές ότι μία βάση ιατρικών δεδομένων, αποτελεί επιτακτική ανάγκη για το κοινό καλό και την επιστημονική εξέλιξη της ιατρικής επιστήμης, ώστε να αποφεύγονται κρίσιμες χρονοτριβές και άσκοπες ιατρικές ερευνητικές επαναλήψεις.

Η ταξινόμηση των ιατρικών φακέλων των ασθενών αρχής γενομένης την οικογενειακή συσχέτισή τους, σίγουρα αποδίδει τα μέγιστα στην πρόληψη και την αντιμετώπιση ασθενειών, καθώς ο θεράπων ιατρός έχει καλύτερη και ουσιαστικότερη εικόνα περί του ιατρικού οικογενειακού ιστορικού του ασθενούς και δεν περιορίζεται στις πρόχειρες αναφορές και τις αμυδρές αναμνήσεις του ίδιου του ασθενούς ή των συγγενών του κατά περίπτωση.

Επίσης το κόστος των δαπανών για κλινικές δοκιμές – πειραματικές εφαρμογές θεραπειών μειώνεται κατακόρυφα εφόσον μία ουσιώδης ηλεκτρονική τήρηση των ιατρικών αρχείων, μέσω απλής ομαδοποίησης των δεδομένων (ηλικία, βάρος κ.τ.λ.) και ύστερα από την αξιολόγηση και την αξιοποίηση τους είναι αυτονόητο ότι συμβάλει αμεσότερα και υποδεικνύει γρηγορότερα τις καταλληλότερες προς χρήση θεραπείες σε κάθε διαφορετική περίπτωση.

ΔΙΚΑΙΩΜΑΤΑ.GDPR και Υγεία

Τα άτομα των οποίων συλλέγονται προσωπικά δεδομένα στο χώρο της υγείας αποκτούν τα εξής δικαιώματα:

Το δικαίωμα της ανάκλησης τυχόν πρότερης συγκατάθεσής τους, ανά πάσα χρονική στιγμή, εφόσον το κρίνουν σκόπιμο. Το δικαίωμα σε πρόσβαση και ενημέρωση σχετικά με τον ιατρικό τους φάκελο, λαμβάνοντας δωρεάν αντίγραφα από το περιεχόμενο του.

Επίσης το δικαίωμα της ενημέρωση τους σχετικά με τη χρήση, την επεξεργασία, και τον σκοπό συλλογής των προσωπικών τους δεδομένων και τον ουσιαστικό έλεγχο της τήρησης της νομιμότητας.

Έχουν επίσης αφενός το δικαίωμα της διόρθωσης σε περιπτώσεις που παρατηρηθούν αναντιστοιχίες από τα πραγματικά στοιχεία τους και αφετέρου το δικαίωμα της πλήρους διαγραφής των μέχρι τότε συλλεχθέντων στοιχείων του εφόσον το επιθυμεί και το αιτηθεί ρητά.

Τέλος δε, έχει το δικαίωμα του περιορισμού της επεξεργασίας των προσωπικών του δεδομένων, όταν διαπιστώσει λόγους που το επιβάλλουν καθώς και σε εξαιρετική περίπτωση το δικαίωμα της εναντίωσης σε αυτή τη διαδικασία του τρόπου συλλογής, επεξεργασίας και της αποθήκευσης-χρήσης των προσωπικών του δεδομένων, ιατρικών και μη.

ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ.GDPR και Υγεία

Παραβίαση των δεδομένων υπάρχει όταν παραβιάζεται η ασφαλής φύλαξη τους και οδηγεί είτε σε τυχαία είτε παράνομη και σκοπούμενη καταστροφή, απώλεια, αλλοίωση-μεταβολή τους. Η ασφάλεια ειδικά των ευαίσθητων προσωπικών δεδομένων είναι μέγιστης σημασίας.

Ομοίως και όταν υπάρχει παραβίαση της εμπιστευτικότητας-εχεμύθειας, της ακεραιότητας και της διαθεσιμότητας των στοιχείων αυτών.

Η υποκλοπή των προσωπικών δεδομένων των ασθενών σε συνδυασμό και αριθμών στοιχείων ταυτοπροσωπίας και τραπεζικών λογαριασμών πολλές φορές οδηγούν και σε περιπτώσεις απάτης, χρηματικής ως επί το πλείστον, σε βάρος των ατόμων.

ΑΝΤΙΜΕΤΩΠΙΣΗ ΠΡΟΒΛΗΜΑΤΩΝ.

Η πραγματοποίηση σεμιναρίων, συνέδριων και ημερίδων προς ενημέρωση του συνόλου του ιατρικού προσωπικού (ιατρών , νοσηλευτών, βοηθητικού προσωπικού) αποτελεί άμεση ανάγκη για την ουσιαστική επίλυση και αντιμετώπιση προβλημάτων – παρερμηνειών κυρίως του παρελθόντος, πάνω στο τόσο ευαίσθητο ιατρικό απόρρητο όσο και στα προσωπικά στοιχεία των ασθενών που τηρούνται σε αυτό.

Έτσι αποφεύγονται επιπολαιότητες όσων αφορά την διακριτική ενημέρωση των ίδιων των ασθενών ή των οικείων τους και την παροχή των αιτούμενων στοιχείων σε δικαιούχους και όχι σε τρίτους που δεν αποκτούν το δικαίωμα αυτό.

Αποφεύγονται έτσι δημοσιεύσεις από το ιατρικό – νοσηλευτικό προσωπικό, που γίνονται ατυχώς τόσο σε μ.μ.ε. όσο και στα διαδικτυακά μέσα κοινωνικής δικτύωσης και καταλήγουν σε βάρος και με ζημία των προσωπικών δεδομένων των ασθενών.

Επίσης με αυτό το τρόπο λαμβάνεται η πλήρης ενημέρωσή τους για τις υποχρεώσεις τους και τυχόν ενέργειες τους, σε περίπτωση που αντιληφθούν παραβίαση ή αλλοίωση του τηρούμενου αρχείου και των προσωπικών δεδομένων των ασθενών, οπού εντός 72 ωρών οφείλουν να το αναφέρουν στην αρμόδια εποπτική Αρχή χωρίς άσκοπη χρονοτριβή.

ΕΠΙΛΟΓΟΣ

Τόσο η κείμενη νομοθεσία όσο και το ιατρικό απόρρητο το οποίο εγγυάται την εμπιστευτικότητα, καθιστούν το τηρούμενο ιατρικό αρχείο των ασθενών και το περιεχόμενο του ακέραιο, μυστικό και διαθέσιμο προς χρήση στους δικαιούχους του.

Ούτως ή άλλως το ιατρικό απόρρητο προστάτευε αρχής εξ αρχής, και κατ΄ έννοιαν αλλά και κατ΄ ουσίαν το τηρούμενο ιατρικό φάκελο των ασθενών, πλην όμως στην κλινική πρακτική παρουσιάζονταν μορφές καταστρατήγησής του, εξαιτίας διαφόρων κάθε φορά παραγόντων.

Έτσι ο νέος κανονισμός GDPR ήρθε να συμπληρώσει και να καλύψει κενά σημεία διατάξεων και συνηθειών του παρελθόντος.

ΠΗΓΕΣ:
1. THE GDPR HANDBOOK (Λ. Κανέλλος)
2. Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (Λ.Μήτρου)
3. ΙΑΤΡΙΚΟ ΑΠΟΡΡΗΤΟ (Λ.Μήτρου-Α.Κωνσταντινίδης-Ε.Παπαευα )