Asigurarea conformității cu GDPR de către furnizorii de servicii medicale mi se pare cel mai complex caz deoarece:
- colectezi date personale și obții categorii speciale de date personale: foaia de observație, CT-ul, radiografia, diagnosticul, rețeta etc….
- vor fi situații în care, ca bază legală a prelucrării, va fi folosit și consimțămîntul;
- partajezi date personale atît cu alți furnizori de servicii medicale (care nu vor fi neapărat persoane împuternicite ci operatori) cît și cu instituții ale statului, chiar și cu terți;
- colectezi date medicale de la alți medici (radiolog, anestezist etc);
- te confrunți cu multe date nestructurate sau semistructurate;
- datele de multe ori sînt și pe suport hîrtie;
- incidentele pot afecta persoanele vizate mai mult decît în alte cazuri;
- frauda prin furt de identitate poate avea efecte grave;
- sistemele utilizate pot fi on-premises sau as-a-service;
- perioadele de retenție ale datelor sînt mai mari decît în alte industrii;
- „birocrația„ necesară protecției datelor nu trebuie să pună piedici actului medical;
- furnizorii din sectorul public…nu au resurse.
- legislația națională este sublimă….nu acoperă nici măcar la nivel de principii securitatea informațiilor.
Îmi vin în minte cel puțin două situații:
- într-un proces de divorț, ajungîndu-se la custodia copiilor, unul dintre soți folosește în instanță datele medicale ale celuilalt…..
- suni la spital și ceri informații despre un diagnostic/analiză…ale tale sau ale unei rude.
La noi, sistemul electronic de evidență a datelor despre sănătate este încă în etapa de „creștere„ prin Dosarul Electronic de Sănătate:
Dosarul de sănătate pentru un pacient se constituie la prima trimitere a unui document medical de către un medic în sistemul DES.
Practic, la transmiterea unui prim document medical, se verifică dacă pentru CNP-ul acelui pacient există deja generat un dosar de sănătate. Dacă nu există, se vor interoga bazele de date SIUI (Sistemul Informatic Unic Integrat) și SIPE (Sistemul Informatic Prescripția Electronică) pentru CNP-ul respectiv, se vor extrage date istorice iar datele din dosar vor fi consolidate pe baza acestor informații și a celor cuprinse în documentul medical transmis de medic.
Dar DES este în primul rînd pentru pacienți. Medicul poate accesa în DES doar sumarul și informațiile pentru urgență, în baza unui certificat autorizat. În schimb aplicațiile folosite de fiecare furnizor de servicii medicale lucrează cu ceea ce este definit în WP131 ca fiind „electronic health record„:
A comprehensive medical record or similar documentation of the past and present
physical and mental state of health of an individual in electronic form and providing
for ready availability of these data for medical treatment and other closely related
purposes
Cînd suspectezi că ești bolnav sau chiar te simți rău și te duci la medic, vei sta și vei citi „Informarea„ cu privire la prelucrarea datelor personale? Apoi vei semna „Consimțămîntul„ și în final îi spui medicului ce te doare?
prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul – GDPR – Art. 9 (2) h)
Este clar deci cînd nu trebuie consimțămînt. Adăugăm și etica domeniului:
„Odată admis printre membrii profesiunii de medic:
Mă angajez solemn să-mi consacru viața în slujba umanității;
Voi păstra profesorilor mei respectul și recunoștința care le sunt datorate;
Voi exercita profesiunea cu conștiință și demnitate;
Sănătatea pacienților va fi pentru mine obligația sacră;
Voi păstra secretele încredințate de pacienți, chiar și după decesul acestora;
Voi menține, prin toate mijloacele, onoarea și nobila tradiție a profesiunii de medic;
Colegii mei vor fi frații mei;
Nu voi îngădui să se interpună între datoria mea și pacient considerații de naționalitate, rasă, religie, partid sau stare socială;
Voi păstra respectul deplin pentru viața umană de la începuturile sale chiar sub amenințare și nu voi utiliza cunoștințele mele medicale contrar legilor umanității.
Fac acest jurământ în mod solemn, liber, pe onoare!„ – Jurămîntul lui Hipocrate„Tot ceea ce medicul, în calitatea lui de profesionist, a aflat direct sau indirect în legătură cu viaţa intimă a bolnavului, a familiei, aparţinătorilor precum şi problemele de diagnostic, prognostic, tratament, circumstanţe în legătură cu boala şi alte diverse fapte, inclusiv rezultatul autopsiei” – Codul deontologic
Dar asigurarea confidențialității datelor medicale ale pacienților nu a rămas doar la stadiul de „problemă etică„ ci a devenit și una legală:
- pentru prejudiciile ce decurg din nerespectarea reglementărilor privind confidențialitatea, medicii răspund civil
- răspunderea civilă nu înlătură angajarea răspunderii penale: cînd divulgarea informațiilor medicale confidențiale este făcută „fără drept”
Datele despre sănătate pot fi divulgate doar pe baza consimțămîntului sau dacă există un pericol public: dacă îi declari psihologului/psihoterapeutului că vrei să îl omori pe X, acesta trebuie să păstreze secretul profesional?
ADRIAN B. MUNTEANU 
M-ai facut curios – pentru ce activitati anume iti trebuie consimtamant ca baza de prelucrare pentru date medicale? Ma gandesc si nu imi dau seama de nici una care sa ma doara pe mine (adica exclus marketingul, ca acolo e clar)….
ApreciazăApreciază
Răspund cu două situații practice cu care m-am întîlnit:
– Să faci parte din eșantionul pentru un studiu clinic, fie el și „blind randomized„
– Organizația în care lucrezi are contract cu un furnizor de servicii. Acesta nu trebuie să transmită automat rezultatele controalelor către organizație, fără acordul persoanei vizate.
– (copii?)
Am greșit?
ApreciazăApreciază
Studiul clinic cred ca se poate face în baza interesului legitim.
Externalizarea unor servicii (laborator medical) este în baza unui contract iar baza legala cred ca poate sa fie tot interea legitim sau public.
Exemplul pentru consimțământ poate sa fie un portal în care pacientul poate sa-și vada buletinul cu rezultatele analizelor.
ApreciazăApreciază
Răspunsul este identic cu cel pentru Bogdan. Regulamentul precizează clar situațiile în care nu este nevoie de consimțămînt.
„O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări.„
Nu poți să faci parte dintr-un studiu clinic cu privire la un nou medicament fără să îți dai acordul.
Nu m-am referit la tipul de externalizare pe care îl pomeniți ci la situația în care laboratorul/policlinica, în virtutea contractului pe care îl are cu angajatorul, transmite rezultatul unui control direct către acesta.
ApreciazăApreciază
Studiul clinic cred ca se poate face în baza interesului legitim.
Externalizarea unor servicii (laborator medical) este în baza unui contract iar baza legala cred ca poate sa fie tot interea legitim sau public.
Exemplul pentru consimțământ poate sa fie un portal în care pacientul poate sa-și vada buletinul cu rezultatele analizelor.
ApreciazăApreciază
Medicii de familie sau clinicile stomatologice trebuie sa aibe un responsabil cu protectia datelor? (sau DPO?)
ApreciazăApreciază
Pentru MF aveți un Ghid publicat (concis și clar) de către Societatea Națională de Medicina Familiei.
În ambele cazuri însă, răspunsul este NU pentru că, deși se prelucrează date despre sănătate, această prelucrare nu este pe scară largă.
ApreciazăApreciază
Multumesc pentru raspuns.
Mai am pe cineva care are o farmacie independenta, intr-un oras. Cum ar trebui sa faca?
ApreciazăApreciază
O Farmacie are angajați. Vinde medicamente „la liber„ și pe bază de rețetă.
În cazul vînzării la „liber„ nu prelucrează DCP (în sensul definițiilor prelucrează pentru că și dacă spun că mă doare capul tot DCP este….Dar nu spun cum mă numesc și unde locuiesc astfel încît să devin „indentificat„).
În cazul rețetelor, acestea conțin DCP, dar farmacia nu le prelucrează cum dorește ci așa după cum spune legea.
Trebuie să aibă informarea personelor, dar atenție: aceasta nu trebuie să fie neapărat sub forma unui document pus în fața cumpărătorului
„ „“The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing.
Where icons are presented electronically they shall be machine-readable”.
„In accordance with the accountability principle, controllers should also consider whether, and at what intervals, it is appropriate for them to provide express reminders to data subjects as to the fact of the privacy statement/ notice and where they can find it.„ – WP 260 Guidelines on transparency under Regulation 2016/679„
Sintetic:
– Documentarea prelucrărilor (evidența activităților de prelucrare)
– Informarea persoanei vizate
– Politica de protecție a datelor personale
– Diverse proceduri de lucru
– Tehnicisme prin care se asigură că datele stocate local nu „fug„ prin piață.
Cred că va fi problemă cu „nu merge SIUI„….pentru că atunci îi sînt afectate drepturi persoanei vizate…..
ApreciazăApreciază
Buna ziua. Am si eu o intrebare.Pentru cabinetele stomatologice,care este :
TIPUL DE DATE
GRAD
RISC IDENTIFICAT
pt cuantificare si identificare?
Multumesc
ApreciazăApreciază
Bună ziua,
Mărturisesc că deși am suferit la stomatologie 🙂 nu am prea multe informații despre ce evidențe se întocmesc și păstrează. Radiografia o puteți primi din partea mea dar în același timp o puteți primi și în format electronic din partea unui centru specializat…Totuși opinia mea este mai jos.
Pentru „Tipul de date„
– prelucrați date pentru a oferi servicii de sănătate
– chiar dacă datele privind sănătatea sînt „categorii speciale„, se aplică Art. 9(h)
Pentru „Grad„…nu înțeleg la ce vă referiți
Pentru „risc identificat„: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială? (Mă gîndesc, de exemplu la un scenariu: se află că persoana X și-a făcut implant la cabinetul dvs. Persoana X este posibil să se simtă lezată sau nu…)
ApreciazăApreciază
Multumesc frumos pentru ajutor.
ApreciazăApreciază
Exceptia impune reguli si hartii in plus. Pentru un pacient care ar putea fi in litigiu cu o ruda , trebuie facuta o hartie cu consimtamantul , eventual si una cu informarea asupra drepturilor pentru orice pacient. Daca ai o ruda nedeplasabila, poti sa ai surpriza ca medicul/ laboratorul nu iti elibereaza un document/ rezultat. Eventual poate trebui sa chemi un notar acasa sa semneze batranul o procura si pentru actele medicale. Hartii in plus la medici si frecus pentru pacienti…
ApreciazăApreciază
Abia astăzi am văzut răspunsul. Înainte de GDPR puteați elibera documente medicale oricui sau doar aparținătorilor? ”Hîrtiile în plus” sînt rezultatul neînțelegerii proceselor/spețelor, nu cauza lor
ApreciazăApreciază
Buna ziua,
in cazul unui dispensar medical al unei societati de productie, cum ar trebui procedat vis-a-vis de dosarele medicale ale fostilor angajati pentru a respecta Regulamentul 679/2016?
Va multumesc!
ApreciazăApreciază
Datele angajaților sînt prelucrate în baza cerințelor legislației noastre. Nu ced că au fost prelucrate pe alt temei juridic.
Nu cunosc toate prevederile legale din acest caz, dar pot să ofer un exemplu: un fost angajat care va solicita „ștergerea datelor„. Acest lucru se va întîmpla abia după ce se va atinge termenul prevăzut de legea noastră cu privire la arhivarea acestor date.
Nu componenta „birocratică„ este importantă din ce înțele eu din întrebare. Important este cine are acces la date și dacă le poate face publice (poate sînt diferite diagnostice/afecțiuni).
ApreciazăApreciază
Buna ziua. Un cabinet de neurologie, cu un singur angajat, ce obligații are privind GDPR? Mulțumesc!
ApreciazăApreciază
Cabinetul probabil are ca formă de organizare SRL. Prelucrați date ca o obligație legală (impusă de legile speciale și relația cu CNAS) și pentru a proteja interesele vitale ale pacienților.
Nu aveți nevoie de „consimțămîntul„ pacienților cu excepția cazul în care prelucrați datele în alte scopuri decît cele necesare (cum am spus mai sus, să realizați un studiu clinic/cercetare de exemplu). Consimțămîntul va fi solicitat în caz de transfer către alte persoane (îmi vine în minte exemplul unui avocat, sau un asigurator).
O informare succintă/clară pe care să o aveți afișată în cabinet este însă necesară.
Trebuie însă să vă asigurați că informațiile pe care le păstrați în cabinet nu își iau zborul
ApreciazăApreciază
Mulțumesc!
ApreciazăApreciază