gdpr ιδιωτικό ιατρείο | gdpr γιατροί
Τι πρέπει να πράξει ένα ιδιωτικό ιατρείο για να συμμορφωθεί με τις απαιτήσεις του gdpr
gdpr ιδιωτικό ιατρείο: H εργασία αυτή έγινε στα πλαίσια του προγράμματος gdpr – data protection officer του ΚΕΔΙΒΙΜ του Πανεπιστημίου Αιγαίου, του Εργαστηρίου ΤΠΕ Ήρωνα και με την υποστήριξη της dreamweaver.gr από την κα Γαβριέλα Βοϊνάς με θέμα
Το GDPR στην ΙΑΤΡΙΚΗ
Πίνακας περιεχομένων
Εισαγωγή ……………………………………………………………………4
1.Τι είναι η προστασία προσωπικών δεδομένων;………4
2.Γιατί ο ιατρικός κλάδος πρέπει να είναι ιδιαίτερα προσεκτικός………………………………………………………………..4
3.Ποια η διαφορά προσωπικών δεδομένων και ευαίσθητων προσωπικών δεδομένων…………………………………………….5
4.Τι ορίζει ο κανονισμός ως επεξεργασία δεδομένων…6
5.Ποια είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας του GDPR και στο Ιατρικό Αρχείο;………………………………………6
6.Ποιες είναι οι υποχρεώσεις των γιατρών…………………….7
7. Έντυπο συναίνεσης των ασθενών όσο αφορά τη τη χρήση δεδομένων για άλλους σκοπούς………………………………..…8
8. Τι συμβαίνει όταν ένας ασθενής ζητήσει να παραδοθούν τα αποτελέσματα των εξετάσεων του σε τρίτο πρόσωπο;..9
9.Τι θα πρέπει να προσέξει ένας γιατρός σε περίπτωση που χρησιμοποιεί υπηρεσία τηλεφωνικής γραμματείας………9
10.Να εφαρμόζονται τεχνικά μέτρα ασφαλείας στο τομέα πληροφορικής hardware, software και δικτύου…………….9-10
11.Ποιες είναι οι υποχρεώσεις του διαχειριστή σε περίπτωση παραβίασης δεδομένων …………………………………………….11-12
Δικαίωμα του κάθε πολίτης είναι να προστατεύει τη προσωπική του ζωή με διαφόρους τρόπους. Με την εξέλιξη της πληροφορικής αυξήθηκαν οι κίνδυνοι διαρροής προσωπικών πληροφοριών. Η ΕΕ ήρθε να ενισχύσει τα δικαιώματα των πολιτών με μια νέα νομοθεσία προστασίας των δεδομένων τους και εφαρμόζεται σε κάθε επιχείρηση που ελέγχει ή διαχειρίζεται προσωπικά δεδομένα Στο τομέα της Υγείας τα πράγματα είναι πιο σοβαρά λόγω της φύσης των δεδομένων καθώς και της δεοντολογίας του απορρήτου που χαρακτηρίζει το συγκεκριμένο τομέα.
1.Τι είναι η προστασία προσωπικών δεδομένων-GDPR;
Προστασία προσωπικών δεδομένων-GDPR είναι ο Γενικός Κανονισμός της Ευρωπαϊκής Ένωσης ο οποίος προστατεύει τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ένας νέος νόμος περί προστασίας δεδομένων προσωπικού χαρακτήρα που έχει τεθεί υποχρεωτικά σε ισχύ από τις 25 Μαΐου 2018 σε όλες τις ευρωπαϊκές χώρες, δίχως να απαιτείτε η ψήφιση αντίστοιχου εθνικού νόμου και αντικαθιστώντας τους ήδη υπάρχων νόμους για την προστασία των δεδομένων.
Μπορείτε να μάθετε τι είναι το gdpr κάνοντας κλικ εδώ
2.Γιατί ο ιατρικός κλάδος πρέπει να είναι ιδιαίτερα προσεκτικός
Οι οργανισμοί και οι εταιρείες που παρέχουν υπηρεσίες υγείας καθώς και όλοι οι επαγγελματίες του τομέα της Υγείας, έχουν αυξημένες υποχρεώσεις από την εφαρμογή του Κανονισμού και θα πρέπει να αναλύσουν με ιδιαίτερη προσοχή τον Κανονισμό καταβάλλοντας σημαντικές ενέργειες τόσο για την συμμόρφωση, όσο και για την ασφάλειας των πληροφοριακών τους συστημάτων.
Αυξημένες υποχρεώσει που προμηθεύουν ιατροτεχνολογικό εξοπλισμό, πληροφοριακά συστήματα για την υγεία, υπηρεσίες προς τους ανωτέρω (όπως οι εταιρείες γραμματειακής υποστήριξης, φύλαξης & καθαρισμού), οι εταιρείες εκπόνησης «Κλινικών Μελετών» καθώς και οι φαρμακευτικές εταιρείες.
Ιδιαίτερη μέριμνα πρέπει να δοθεί στα θέματα ολοκληρωμένης ενημέρωσης και εκπαίδευσης του προσωπικού που συλλέγει και επεξεργάζεται τα «ευαίσθητα προσωπικά δεδομένα» των ασθενών.
Ο ιατρικός κλάδος πρέπει να είναι ιδιαίτερα προσεκτικός με το κανονισμό διότι πολλά από τα στοιχεία συλλογής του είναι ευαίσθητα προσωπικά δεδομένα.
3.Ποια η διαφορά προσωπικών δεδομένων και ευαίσθητών προσωπικών δεδομένων.
Προσωπικά δεδομένα ορίζονται όλα εκείνα τα στοιχεία που χαρακτηρίζουν ένα φυσικό πρόσωπο :
• Ονοματεπώνυμο
• Επάγγελμα
• Οικογενειακή κατάσταση
• Ηλικία
• Διεύθυνση κατοικίας
• Διεύθυνση ηλεκτρονικού ταχυδρομείου (email)
• Στοιχεία τραπεζικού λογαριασμού
• Διεύθυνση IP του ηλεκτρονικού υπολογιστή
Ευαίσθητα προσωπικά δεδομένα ορίζονται τα δεδομένα που αφορούν
• Ιατρικό ιστορικό ( Διαγνώσεις , συνταγές , παραπομπές, παραπεμπτικά γνωματεύσεις, αποτελέσματα εργαστηριακών και απεικονιστικών εξετάσεων)
• φυλετική ή εθνική προέλευση,
• πολιτικά φρονήματα και θρησκευτικές πεποιθήσεις,
• πληροφορίες σχετικές με την ερωτική ζωή,
• Ποινικές διώξεις ή καταδίκες.
4.Τι ορίζει ο κανονισμός ως επεξεργασία δεδομένων
Επεξεργασία δεδομένων θεωρείται η πράξη που πραγματοποιείται με ή δίχως αυτοματοποιημένα ηλεκτρονικά μέσα, σε προσωπικά και ευαίσθητα προσωπικά δεδομένα. Η συλλογή, η οργάνωση, η αποθήκευση, η προσαρμογή, η χρήση, η διάδοση και η διαγραφή δεδομένων σχετικών με ιατρικό ιστορικό ασθενών από επαγγελματίες υγείας ( ιατρούς , φαρμακοποιούς , νοσηλευτές , διοικητικό προσωπικό ιατρείων , κλινικών και διαγνωστικών κέντρων ) θεωρείται επεξεργασία δεδομένων
Οι αλλαγές που επέρχονται με το Γενικό κανονισμό Προστασίας Δεδομένων είναι oi εξής. Ασφάλεια Προσωπικών Δεδομένων, συγκατάθεση ,συναίνεση, υπεύθυνος το άτομο που εκτελεί την επεξεργασία, ειδοποίηση παραβιάσεων-αναφορά, απαίτηση για ορισμό υπευθύνου Προστασίας Δεδομένων.
5.Ποια είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας του GDPR και στο Ιατρικό Αρχείο; Πρέπει να τηρείτε Αρχείο Επεξεργασίας;
-Το Αρχείο Επεξεργασίας του GDPR δεν παρέχεται στους ασθενείς, καταγράφονται διαδικασίες και ο γιατρός το τηρεί στο ιατρείο για δική του χρήση όσο αφορά την καλύτερη οργάνωση και για τυχόν έλεγχο από τις Αρχές.
Τα στοιχεία των ασθενών εξακολουθούν να καταγράφονται στο Ιατρικό Αρχείο, όπως ορίζεται από το Άρθρο 14 του Κώδικα Ιατρικής δεοντολογίας.
Το περιεχόμενο του Ιατρικού Aρχείου δεν τροποποιείται από τις διατάξεις του GDPR.
– Η παράγραφος 5 του άρθρου 30 του Κανονισμού εξαιρεί μικρούς οργανισμούς, οι οποίοι έχουν λιγότερους από 250 εργαζομένους, δυστυχώς όμως δεν ισχύει το ίδιο όσο αφορά την επεξεργασία δεδομένων υγείας. Άρα, ένας ιδιώτης ιατρός πρέπει να τηρεί αρχείο επεξεργασίας, μόνο για τις επεξεργασίες που αφορούν δεδομένα υγείας.
Δίχως να απαιτείται καταγραφή σε αυτό άλλων επεξεργασιών που δεν είναι συστηματικές ή δεν αφορούν δεδομένα υγείας (π.χ. δεν χρειάζεται να καταγραφεί ως διαδικασία η τήρηση ενός αρχείου με ονοματεπώνυμο, ειδικότητα, τηλέφωνο, e-mail συναδέλφων ιατρών για επαγγελματική χρήση)
6.Ποιες είναι οι υποχρεώσεις των γιατρών.
6.1.Να περιορίζουν τις πληροφορίες που συλλέγονται σε ό, τι είναι
απαραίτητο και να χρησιμοποιούν τα αρχεία των ασθενών
σύμφωνα με τους καθορισμένους σκοπούς (παρακολούθηση
ασθενούς)
6.2.Να διατηρούν ένα ενημερωμένο μητρώο της “επεξεργασίας” .
6.3.Να Διαγράφουν τα αρχεία ασθενούς και γενικά τυχόν πληροφορίες
που έχουν υπερέβη την προτεινόμενη διάρκεια ζωής.
6.4.Να έχουν θέσει σε εφαρμογή τα κατάλληλα μέτρα ασφαλείας για τα
αρχεία «ασθενών» τους.
6.5.Να ενημερώνουν τους ασθενείς τους ότι γίνονται σεβαστά τα δικαιώματά τους .Ο ασθενής, έχει τα εξής δικαιώματα
α) Δικαίωμα πρόσβασης στα δεδομένα του: Το δικαίωμα να γνωρίζει ο ασθενής αν τα δεδομένα του υφίστανται επεξεργασία, πώς από ποιον και για ποιο σκοπό.
β) Δικαίωμα διόρθωσης των δεδομένων του: Το δικαίωμα να ζητήσει διόρθωση των προσωπικών του δεδομένων αν αυτά είναι λανθασμένα ή ελλιπή.
γ) Δικαίωμα διαγραφής των δεδομένων του: Το δικαίωμα να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων υπό ορισμένες συνθήκες. Προσοχή: Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νομοθεσίας η οποία τον υποχρεώνει στη διατήρησής τους.
δ) Δικαίωμα περιορισμού όσο αφορά την επεξεργασία των δεδομένων του: Ο ασθενής έχει το δικαίωμα να ζητήσει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν υπάρχουν κάποιες προϋποθέσεις.
ε) Δικαίωμα στη φορητότητα των δεδομένων του: Το δικαίωμα του ασθενή να ζητήσει να αποσταλούν τα στοιχεία του σε τρίτο (π.χ. άλλο γιατρό).
• Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το αίτημα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας το αναφέροντας την αιτιολογία αυτής της απόρριψης (π.χ. αρνούμενος το αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.
7. Έντυπο συναίνεσης των ασθενών όσο αφορά τη τη χρήση δεδομένων για άλλους σκοπούς.
Ο γιατρός δια οφείλει να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει
• -να ενημερώσει τον ασθενή για τη χρήση των δεδομένων του καθώς και για το σκοπό αυτής και να μην προχωρήσει αν δεν λάβει για κάθε σκοπό ξεχωριστά τη συναίνεση του ασθενούς
8. Τι συμβαίνει όταν ένας ασθενής ζητήσει να παραδοθούν τα αποτελέσματα των εξετάσεων του σε τρίτο πρόσωπο;
Τα αποτελέσματα εξετάσεων είναι προσωπικά δεδομένα, άρα δεν γίνεται να δίνονται σε τρίτους δίχως εξουσιοδότηση. Για τη προστασία του ασθενή αλλά ταυτοχρόνως και του γιατρού από νομικούς κινδύνους πρέπει να υπάρχει ένα έντυπο το όποιο θα συμπληρώνει ο κάθε ασθενής πριν την εξέταση στο οποίο εκτός από τα δικά του στοιχεία θα πρέπει σε ένα ειδικό πλαίσιο να συμπληρώνει το ονοματεπώνυμο καθώς και τον αριθμό ταυτότητας του τρίτου ατόμου και να υπογράψει το έντυπο.
Με αυτόν το τρόπο ελέγχεται η ταυτοποίηση του τρίτου προσώπου για να διαπιστωθεί αν είναι το εξουσιοδοτημένο πρόσωπο.
9.Τι θα πρέπει να προσέξει ένας γιατρός σε περίπτωση που χρησιμοποιεί υπηρεσία τηλεφωνικής γραμματείας.
Σε περίπτωση που τα ραντεβού κλείνονται μέσον κάποιας υπηρεσίας τηλεφωνικής γραμματείας, θα πρέπει να υπάρχει σύμβαση με την εταιρεία που παρέχει την αυτήν την υπηρεσία και να προβλεφθεί στη σύμβαση.
Έτσι ώστε η εταιρεία η οποία κλείνει τα ραντεβού για λογαριασμό του γιατρού και συλλέγει τα στοιχεία των ασθενών αναλαμβάνει και τις υποχρεώσεις της ως εκτελούσα την επεξεργασία.
Επίσης, εάν οι κλήσεις ηχογραφούνται θα πρέπει να οριστεί για πόσο χρονικό διάστημα καθίσταται χρήσιμο να διατηρείται η ηχογράφηση και να διαγράφεται όταν πλέον δεν εξυπηρετεί κάποιο σκοπό.
10.Να εφαρμόζονται τεχνικά μέτρα ασφαλείας στο τομέα πληροφορικής hardware, software και δικτύου.
• . Σε καμιά περίπτωση δεν δίνονται
οι μυστικοί κωδικοί στο προσωπικό (π.χ. γραμματέας). Ισχυρό έλεγχο ταυτότητας για το προσωπικό μέσω κωδικού πρόσβασης.
• Αποφυγή χρήσης και παραχώρησης προνομιακών δικαιωμάτων πρόσβασης στον απλό χρήστη (δικαιώματα Local Administrator)
• χρήση κωδικού πρόσβασης , 12 χαρακτήρες (αριθμοί, κεφαλαία και πεζά γράμματα, ειδικοί χαρακτήρες) και να ανανεώνεται τακτικά.
• κλείδωμα του υπολογιστή αυτόματα μετά από 30 λεπτά αδράνειας.
• ενημερωμένο antivirus, τείχος προστασίας, συστηματική ενημέρωση εκδόσεων ασφαλείας στο σύστημα και στο λογισμικό.
• τακτικά αντίγραφα ασφαλείας δεδομένων.
• απουσία ή ελαχιστοποίηση συνδέσεων μη επαγγελματικών συσκευών στο δίκτυο.
• Όσον αφορά την ασφάλεια του συστήματος υπολογιστή: Αποφυγή χρήσης ελευθέρων e-mail, π.χ. Yahoo, για αποστολή και λήψη ευαίσθητων δεδομένων, π.χ. ιατρικών εξετάσεων.
• Πρέπει να χρησιμοποιείται πρωτόκολο που εγγύαται για τη μεταφορά των αρχείων, την εμπιστευτικότητα του διακομιστή παραλήπτη με τις πιο πρόσφατες εκδόσεις προτοκόλλων για παράδειγμα SFTP ή HTTPS.
• Δεν αποθηκεύονται ιατρικές πληροφορίες σχετικά με τους ασθενείς μου στο κινητό τηλέφωνο ή στο tablet (αυτό αποτρέπει σοβαρές συνέπειες για τους ασθενείς σε περίπτωση κλοπής ή απώλειας εξοπλισμού).
Ωστόσο, στην πράξη, εάν πρέπει να παρακαμφθούν αυτές οι συμβουλές, η διατήρηση δεδομένων πρέπει να πραγματοποιείται τουλάχιστον σύμφωνα με τους ακόλουθους κανόνες ασφάλειας: χρήση κωδικών πρόσβασης (12 χαρακτήρες με κεφαλαία και πεζά γράμματα, αριθμούς και ειδικοί χαρακτήρες), αυτόματο κλείδωμα μετά από μια μικρή καθυστέρηση, κρυπτογράφηση ευαίσθητων δεδομένων.
Γενικότερα, θα πρέπει να αποφεύγεται ο δανεισμός τηλεφώνου ή tablet δίχως επίβλεψη.
• Όταν υπάρχει πρόσβαση από το κινητό σε πληροφορίες ασθενούς πρέπει να εξασφαλίζεται ότι η οθόνη είναι ασφαλής από αδιάκριτα μάτια.
* ΠΡΟΣΟΧΗ: Τα παραπάνω είναι οι ελάχιστες υποχρεώσεις κάθε απλού ιατρείου. μεγάλη σημασία έχει και η σωστή εφαρμογή τους. Ενδεικτικά, η χρήση ισχυρού password αποτελεί ενδεδειγμένο μέτρο, αλλά εάν το password δεν φυλάσσεται σωστά και βρίσκεται σημειωμένο δίπλα στον υπολογιστή ή σε σημείο εύκολα προσβάσιμο, δεν προσφέρει κάποια πρόσθετη εξασφάλιση.
Σε κάθε περίπτωση, επισημαίνεται ότι τα παραπάνω αφορούν αλλαγές που φέρνει ο νέος Κανονισμός στους ιατρούς που ούτως ή άλλως δεσμεύονται από τον Κώδικα Ιατρικής Δεοντολογίας να διασφαλίζουν το ιατρικό απόρρητο και να προστατεύουν τα στοιχεία των ασθενών τους.
Αν τα αρχεία είναι σε έντυπη μορφή, θα πρέπει επίσης να βρίσκονται σε ασφαλείς εγκαταστάσεις, κλειδωμένο ντουλάπι που περιέχει τα αρχεία και τα κλειδιά να μη βρίσκονται πάνω στη κλειδαριά).
11.Ποιες είναι οι υποχρεώσεις του διαχειριστή σε περίπτωση παραβίασης δεδομένων
Καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη καθώς και μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα,
πρέπει να ακολουθηθούν οι παρακάτω ενέργειες.
– Εκτίμηση της έκτασης του προβλήματος για να προσδιοριστούν τα
μέτρα που πρέπει να ληφθούν και για να αποτραπεί η επανάληψη αυτού του περιστατικού:
-Ποιος είχε πρόσβαση στα δεδομένα;
– Ποια είναι η προέλευση του προβλήματος;
-Έχουν τα δεδομένα διαρρεύσει σε τρίτους;
– Εμπλέκονται δεδομένα υγείας;
-Τι μέτρα θα μπορούσαν να είχαν αποτρέψει το συμβάν
-Υπάρχει δυνατότητα περιορισμού των συνεπειών;
– Ο υπεύθυνος επεξεργασίας οφείλει να τηρεί και να καταγράψει σε δικό του εσωτερικό αρχείο το περιστατικό, ακόμη και στη περίπτωση που θεωρείται η παραβίαση ακίνδυνη για τα φυσίκα πρόσωπα και δεν απαιτεί ενημέρωση στην Αρχή.
Περαιτέρω όταν η παραβίαση θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, πρέπει να ειδοποιηθεί η Αρχή Προστασίας Δεδομένων εντός 72 ωρών από τη στιγμή που η παραβίαση γίνει αντιληπτή
Η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει πλέον με τη μορφή προσωποποιημένης πληροφόρησης από τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων σύμφωνα με το άρθρο 34 του ΓΚΠΔ σημειώνεται ότι σε κάθε περίπτωση θα δωθεί εντολή στον υπεύθυνο ακόμη και από την Αρχή να ενημερώσει τα φυσικά πρόσωπα για το συμβάν.(άρθρο 58 παρ 2 ε’ ΓΚΠΔ).
Όλα όσα περιγράφονται ανωτέρου είναι ένα δείγμα των εξελίξεων που αφορούν την προστασία της ιδιωτικής ζωής των πολιτών σε κάθε σχετικό πλαίσιο για να αποτρέψουν τυχόν εσκεμμένες διαρροές και μη.
Πηγές
Συνοπτικές οδηγίες συμμόρφωσης ιδιωτικού ιατρείου στον νέο κανονισμό προστασίας προσωπικών δεδομένων (isathens.gr)
Τι είναι το GDPR | ΕΛΙΝΠ – Ελληνικό Ινστιτούτο Πιστοποιήσεων (elinp.gr)
Ιατροί και GDPR: Συχνές ερωτήσεις και απαντήσεις για τον νέο Κανονισμό προσωπικών δεδομένων | Νομικά Νέα | Lawspot
Guide pratique sur la protection des données personnelles (cnil.fr)
https://legal.heal-link.gr/index.php/legal-processing
https://www.moh.gov.gr/articles/gdpr/5667-syxnes-erwthseis