GDPR și serviciile medicale

Asigurarea conformității cu GDPR de către furnizorii de servicii medicale mi se pare cel mai complex caz deoarece:

  • colectezi date personale și obții categorii speciale de date personale: foaia de observație, CT-ul, radiografia, diagnosticul, rețeta etc….
  • vor fi situații în care, ca bază legală a prelucrării,  va fi folosit și consimțămîntul;
  • partajezi date personale atît cu alți furnizori de servicii medicale (care nu vor fi neapărat persoane împuternicite ci operatori) cît și cu instituții ale statului, chiar și cu terți;
  • colectezi date medicale de la alți medici (radiolog, anestezist etc);
  • te confrunți cu multe date nestructurate sau semistructurate;
  • datele de multe ori sînt și pe suport hîrtie;
  • incidentele pot afecta persoanele vizate mai mult decît în alte cazuri;
  • frauda prin furt de identitate poate avea efecte grave;
  • sistemele utilizate pot fi on-premises sau as-a-service;
  • perioadele de retenție ale datelor sînt mai mari decît în alte industrii;
  • „birocrația„ necesară protecției datelor nu trebuie să pună piedici actului medical;
  • furnizorii din sectorul public…nu au resurse.
  • legislația națională este sublimă….nu acoperă nici măcar la nivel de principii securitatea informațiilor.

Îmi vin în minte cel puțin două situații:

  • într-un proces de divorț, ajungîndu-se la custodia copiilor, unul dintre soți folosește în instanță datele medicale ale celuilalt…..
  • suni la spital și ceri informații despre un diagnostic/analiză…ale tale sau ale unei rude.

La noi, sistemul electronic de evidență a datelor despre sănătate este încă în etapa de „creștere„ prin Dosarul Electronic de Sănătate:

Dosarul de sănătate pentru un pacient se constituie la prima trimitere a unui document medical de către un medic în sistemul DES.

Practic, la transmiterea unui prim document medical, se verifică dacă pentru CNP-ul acelui pacient există deja generat un dosar de sănătate. Dacă nu există, se vor interoga bazele de date SIUI (Sistemul Informatic Unic Integrat) și SIPE (Sistemul Informatic Prescripția Electronică) pentru CNP-ul respectiv, se vor extrage date istorice iar datele din dosar vor fi consolidate pe baza acestor informații și a celor cuprinse în documentul medical transmis de medic.

Dar DES este în primul rînd pentru pacienți. Medicul poate accesa în DES doar sumarul și informațiile pentru urgență, în baza unui certificat autorizat. În schimb aplicațiile folosite de fiecare furnizor de servicii medicale lucrează cu ceea ce este definit în WP131 ca fiind „electronic health record„:

A comprehensive medical record or similar documentation of the past and present
physical and mental state of health of an individual in electronic form and providing
for ready availability of these data for medical treatment and other closely related
purposes

Cînd suspectezi că ești bolnav sau chiar te simți rău și te duci la medic, vei sta și vei citi „Informarea„ cu privire la prelucrarea datelor personale? Apoi vei semna „Consimțămîntul„ și în final îi spui medicului ce te doare?

prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul – GDPR – Art. 9 (2) h)

Este clar deci cînd nu trebuie consimțămînt. Adăugăm și etica domeniului:

Odată admis printre membrii profesiunii de medic:
Mă angajez solemn să-mi consacru viața în slujba umanității;
Voi păstra profesorilor mei respectul și recunoștința care le sunt datorate;
Voi exercita profesiunea cu conștiință și demnitate;
Sănătatea pacienților va fi pentru mine obligația sacră;
Voi păstra secretele încredințate de pacienți, chiar și după decesul acestora;
Voi menține, prin toate mijloacele, onoarea și nobila tradiție a profesiunii de medic;
Colegii mei vor fi frații mei;
Nu voi îngădui să se interpună între datoria mea și pacient considerații de naționalitate, rasă, religie, partid sau stare socială;
Voi păstra respectul deplin pentru viața umană de la începuturile sale chiar sub amenințare și nu voi utiliza cunoștințele mele medicale contrar legilor umanității.
Fac acest jurământ în mod solemn, liber, pe onoare!„ – Jurămîntul lui Hipocrate

„Tot ceea ce medicul, în calitatea lui de profesionist, a aflat direct sau indirect în legătură cu viaţa intimă a bolnavului, a familiei, aparţinătorilor precum şi problemele de diagnostic, prognostic, tratament, circumstanţe în legătură cu boala şi alte diverse fapte, inclusiv rezultatul autopsiei” – Codul deontologic

Dar asigurarea confidențialității datelor medicale ale pacienților nu a rămas doar la stadiul de „problemă etică„ ci a devenit și una legală:

  • pentru prejudiciile ce decurg din nerespectarea reglementărilor privind confidențialitatea, medicii răspund civil
  • răspunderea civilă nu înlătură angajarea răspunderii penale: cînd divulgarea informațiilor medicale confidențiale este făcută „fără drept”

Datele despre sănătate pot fi divulgate doar pe baza consimțămîntului sau dacă există un pericol public: dacă îi declari psihologului/psihoterapeutului că vrei să îl omori pe X, acesta trebuie să păstreze secretul profesional?

 

5 gânduri despre “GDPR și serviciile medicale

  1. M-ai facut curios – pentru ce activitati anume iti trebuie consimtamant ca baza de prelucrare pentru date medicale? Ma gandesc si nu imi dau seama de nici una care sa ma doara pe mine (adica exclus marketingul, ca acolo e clar)….

    Apreciază

    • Răspund cu două situații practice cu care m-am întîlnit:
      – Să faci parte din eșantionul pentru un studiu clinic, fie el și „blind randomized„
      – Organizația în care lucrezi are contract cu un furnizor de servicii. Acesta nu trebuie să transmită automat rezultatele controalelor către organizație, fără acordul persoanei vizate.
      – (copii?)

      Am greșit?

      Apreciază

      • Studiul clinic cred ca se poate face în baza interesului legitim.
        Externalizarea unor servicii (laborator medical) este în baza unui contract iar baza legala cred ca poate sa fie tot interea legitim sau public.
        Exemplul pentru consimțământ poate sa fie un portal în care pacientul poate sa-și vada buletinul cu rezultatele analizelor.

        Apreciază

        • Răspunsul este identic cu cel pentru Bogdan. Regulamentul precizează clar situațiile în care nu este nevoie de consimțămînt.
          „O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări.„

          Nu poți să faci parte dintr-un studiu clinic cu privire la un nou medicament fără să îți dai acordul.
          Nu m-am referit la tipul de externalizare pe care îl pomeniți ci la situația în care laboratorul/policlinica, în virtutea contractului pe care îl are cu angajatorul, transmite rezultatul unui control direct către acesta.

          Apreciază

  2. Studiul clinic cred ca se poate face în baza interesului legitim.
    Externalizarea unor servicii (laborator medical) este în baza unui contract iar baza legala cred ca poate sa fie tot interea legitim sau public.
    Exemplul pentru consimțământ poate sa fie un portal în care pacientul poate sa-și vada buletinul cu rezultatele analizelor.

    Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

w

Conectare la %s