Informatyzacja placówek ochrony zdrowia w Polsce postępuje, chociaż jest daleka od doskonałości. Wpływa na to kilka czynników. Podstawowym są fundusze. Krajowych chronicznie brakuje, a unijne przychodzą falami, poza tym sama procedura wnioskowania o nie jest skomplikowana i długotrwała. Kolejna bariera w informatyzacji to brak wykwalifikowanego technicznie personelu i wciąż utrzymująca się niechęć do nowinek. Oczywiście ambitni młodzi lekarze, szczególnie ci po zagranicznych praktykach, chcieliby korzystać z najnowszych zdobyczy techniki. Nie brakuje jednak przedstawicieli kadry medycznej, zwykle ze starszego pokolenia, którzy nie palą się do nowoczesnego lecznictwa, mimo że umożliwia bardzo wczesną diagnostykę, często eliminującą konieczność długotrwałego leczenia.

Ale atmosferę w branży ochrony zdrowia najbardziej psuje otoczka prawna, przyczyniając się do wylania dziecka z kąpielą. Prowadzenie elektronicznej dokumentacji medycznej miało obowiązywać już 4 lata temu. Rozporządzenia, rekomendujące korzystanie z konkretnych rozwiązań technicznych (np. monitorów diagnostycznych), zawierają konfiguracje sprzętu sprzed niemal… 10 lat. Na tym tle za bardzo dobrą należy uznać sytuację placówek dysponujących elektroniczną dokumentacją medyczną (EDM), bo dzięki temu nie powinny mieć większych problemów z wymaganiami z RODO.

 

EDM po raz kolejny

O elektronicznej dokumentacji medycznej jako pierwsza mówiła ustawa z 28 kwietnia 2011 r., która od tamtej pory była wielokrotnie nowelizowana. Projekt stanowi przykład nonszalancji, zarówno rządzących (tej i poprzedniej ekipy), jak i kierownictwa placówek ochrony zdrowia. Datę wprowadzenia obowiązku stosowania EDM pierwotnie wyznaczono na 1 sierpnia 2014 r., a następnie kilkakrotnie przesuwano (oczywiście za każdym razem deklarowano, że termin jest już ostateczny). Obecnie jest to 1 stycznia 2019 r. Ministerstwo Zdrowia nie zapewniało jednak placówkom medycznym wystarczającego wsparcia merytorycznego ani finansowego, a potem bezradnie obserwowało narastające opóźnienia. Przesuwając terminy, pogarszało sytuację, bo dawało sygnał, że „nic się nie stało” (z  tego powodu część placówek ma dziś podobny, nieco nonszalancki stosunek do RODO).

W efekcie kilkadziesiąt polskich szpitali nadal prowadzi projekty ucyfrowienia swojej działalności. Do tej pory wszystkie badania robiły w postaci analogowej, o czym wiemy, bo nasi partnerzy dostarczają tam właśnie pierwsze komputerowe stacje diagnostyczne – mówi Jan Siwek, dyrektor Działu Medycznego w firmie Alstor. – Trzeba się z tym spieszyć, gdyż w 2020 r. kończą się środki z Unii Europejskiej, a później pieniędzy z funduszy pomocowych będzie zdecydowanie mniej. Zakłada się bowiem, że do tej pory w kwestii wyposażenia w sprzęt Polska zbliży się do średniej europejskiej.

W zapóźnionych placówkach dużym wyzwaniem jest także obsługa IT. Wysokość wynagrodzeń informatyków w szpitalach pozostawia wiele do życzenia, co oznacza, że szpitalom niezwykle trudno będzie znaleźć specjalistów z najwyższymi kwalifikacjami. To szansa dla VAR-ów i integratorów, którzy mogą zainteresować się kontraktami outsourcingowymi dotyczącymi wsparcia placówek medycznych. Ale trzeba pamiętać, że wiąże się to z koniecznością podpisania ze szpitalem lub przychodnią tzw. umowy powierzenia przetwarzania danych, a więc wzięciem na siebie bardzo dużej odpowiedzialności.

 

RODO: jesteśmy (prawie) gotowi

Ustawa o elektronicznej dokumentacji medycznej nakazuje zabezpieczenie przechowywanych zbiorów danych pacjentów. Dlatego wiele placówek, które z sukcesem wdrożyły system EDM, ma już właściwe rozwiązania ochronne i dokumentację (politykę bezpieczeństwa i ocenę ryzyka) wymaganą przez RODO. Co więcej, podmioty ochrony zdrowia są zwolnione z zapewnienia pacjentom tzw. prawa do bycia zapomnianym. Wręcz przeciwnie, ustawodawcy w poszczególnych krajach muszą zdecydować o długości obowiązkowego przechowywania dokumentacji medycznej (w Polsce standardowo wynosi 20 lat, ale istnieje wiele wyjątków wydłużających ten czas).

W zapisach RODO wiele uwagi poświęca się danym medycznym, ponieważ zaliczane są do szczególnie chronionych (więcej informacji na ten temat na str. 16–17). Rozporządzenie definiuje, jakiego typu informacje (oraz z jakiego źródła) są danymi medycznymi, a także jakim obowiązkom podlegają placówki ochrony zdrowia. Dla firm świadczących usługi IT szczególnie ważny jest zapis dotyczący powierzenia przetwarzania danych. Rozporządzenie zakłada bowiem, że podmiot medyczny może powierzyć przetwarzanie wrażliwych danych osobowych firmie trzeciej.

Nie brakuje przypadków, w których może to okazać się wręcz konieczne. Podmioty zewnętrzne mogą być odpowiedzialne za obsługę systemów PACS, HIS i RIS (oraz świadczenie usług zdalnego wsparcia użytkownikom), wykonywanie kopii backupowej danych na serwery usługodawcy, a także serwis sprzętu (np. diagnostycznego lub serwerów), który zbiera dane medyczne. Powierzenie przetwarzania danych pacjentów musi być potwierdzone pisemną umową, ale jeśli dana placówka już współpracuje z jakimś partnerem, wystarczy podpisanie aneksu do obowiązującej umowy.

W Centrum Systemów Informacyjnych Ochrony Zdrowia finalizowane są prace nad tzw. Kodeksem RODO. To dokument, który jest elementem samoregulacji branżowej, ale po formalnym zatwierdzeniu przez organ nadzorczy (obecnie jest nim GIODO, w przyszłości będzie UODO) stanie się quasi-prawem ograniczającym ryzyko prawne administratorów danych. Prace nad kodeksem, którego powstawanie koordynuje CSIOZ, prowadzi wiele podmiotów, m.in. Ministerstwo Zdrowia, Instytut Łączności oraz Polska Izba Informatyki i Telekomunikacji.

Jan Siwek

dyrektor Działu Medycznego, Alstor

Wielu polskich lekarzy i chirurgów pracowało lub miało praktyki na Zachodzie, gdzie zetknęli się z profesjonalnie zaprojektowanym i wdrożonym środowiskiem IT. Wiedzą, jak powinno wyglądać nowoczesne stanowisko pracy i oprogramowanie wspomagające proces podejmowania decyzji, ułatwiające opracowywanie raportów itd. Tacy medycy stają się coraz bardziej świadomi możliwości zapewnianych przez rozwiązania nowej generacji i mają większe wymagania. Nie będą mieli skrupułów, jeśli otrzymają ofertę zmiany pracy pochodzącą od bardziej nowoczesnej placówki. Dlatego warto uświadamiać kadrę kierowniczą podmiotów medycznych, aby inwestowała w innowacyjne systemy wspierające działania lekarzy, które zapewnią personelowi większą wygodę pracy i możliwość wykonywania jej z pasją.

Tomasz Gut

Professional Desktop Monitors Key Account Manager, NEC Displays Solutions

Podejście do zakupów monitorów medycznych i zarządzania nimi zdecydowanie wymaga zmiany. Mam nadzieję, że problem rozwiąże nowelizacja rozporządzenia ministra zdrowia. Jednak prace nad nią toczą się zbyt długo. Na świecie są kraje, w których nie ma żadnych rekomendacji i – paradoksalnie – zdecydowanie łatwiej tam dobrać sprzęt, podczas gdy u nas liczy się tylko tabelka ze specyfikacją i cena. Nie powinno dochodzić do takich sytuacji, jakich byliśmy świadkami, gdy do diagnostyki kupowano monitory przystosowane do laparoskopii, bo ich parametry były zgodne z wyspecyfikowanymi w przetargu. Brakuje też dbałości o użytkowanie i serwis monitorów. Często mają zabrudzony ekran albo tzw. powidoki czy utrwalony obraz na wyświetlaczu. Zdarza się też, że nie są wyłączane przez całą dobę, a powinny pracować tylko kilka godzin dziennie, ze względu na wysoką jasność i ryzyko utrwalenia obrazu.

 

Sprzęt z poprzedniej epoki

Wciąż około stu szpitali w Polsce prowadzi projekty ucyfrowienia zakładów diagnostyki obrazowej. To efekt utrudnionego dostępu do funduszy umożliwiających tego rodzaju inwestycje. Duży problem dla nich stanowi fakt, że nie zostało znowelizowanie rozporządzenie ministra zdrowia dotyczące warunków bezpiecznego stosowania promieniowania jonizującego dla wszystkich rodzajów ekspozycji medycznej, w którym podawane są minimalne parametry monitorów diagnostycznych. W związku z tym placówki medyczne, mając do wyboru wiele ofert, kupują rozwiązania najtańsze.

– W rezultacie do specyfikacji w przetargach dotyczących np. wyposażenia sal operacyjnych wpisywane są parametry urządzeń sprzed kilku lat. W ten sposób trafiają  do nich rozwiązania starej generacji, nijak nieprzystające do dzisiejszych możliwości i potrzeb, niezapewniające wysokiej jakości diagnostyki niezbędnej na bloku operacyjnym – alarmuje Jan Siwek.

>>> Trzy pytania do…

Kornela Kundzicza, architekta systemów informatycznych w Infonet Projekt

CRN Jak można ocenić obecny poziom informatyzacji polskich placówek medycznych?

Kornel Kundzicz Rynek nie jest jednorodny, a między niektórymi podmiotami widać wręcz przepaść. Dyrektorzy w sprawnie zarządzanych szpitalach wiedzą, że m.in. cykliczne inwestycje w IT wpływają na podniesienie jakości świadczonych usług. Ale w niektórych placówkach brakuje spójności działań w zakresie IT. Wdraża się tylko to, co jest konieczne lub wymagane prawem, co na późniejszym etapie nie sprzyja oszczędnościom – przede wszystkim inwestycje z określonym celem są efektywne kosztowo. Trzecia kategoria placówek to te ambitne, które jednak nie potrafią zdobywać funduszy. Nie wymieniają systematycznie posiadanych rozwiązań, doprowadzając do sytuacji, że sprzęt znacznie odbiega od obowiązujących standardów. Wówczas, po pewnym czasie, angażują się w jakiś duży projekt unijny, w ramach którego wymieniają prawie całe środowisko IT. Oczywiście są to wówczas bardzo duże projekty, zapewniające znaczący skok techniczny, ale w ciągu roku jest ich niewiele.

 

CRN Jakiego typu wdrożenia realizowane są najczęściej w podmiotach ochrony zdrowia?

Kornel Kundzicz Od każdej placówki medycznej wymaga się trzymania coraz większej ilości danych, które szpital musi odpowiednio zabezpieczyć zarówno przed ich utratą, jak i dostępem osób nieupoważnionych. Powoduje to wzrost liczby zapytań o skalowalne systemy pamięci masowych, które zagwarantują przechowywanie dokumentacji medycznej przez długie lata. Rośnie też zainteresowanie rozwiązaniami, które zapewniają ciągłość dostępu do danych. Zarządy placówek bardzo często odchodzą od irracjonalnego założenia, że jeśli coś nie będzie działać, to trudno… Kolejną dziedziną, która wymusza inwestowanie w rozwiązania IT, jest prawo, ostatnio oczywiście z największym naciskiem na nowe Rozporządzenie o ochronie danych osobowych.

 

CRN Czy RODO jednak ma aż tak duży wpływ na projekty w branży medycznej? Przecież są inne akty prawne nakazujące dbałość o dane pacjentów…

Kornel Kundzicz Faktycznie, jest ustawa normalizująca kwestie zarządzania systemami elektronicznej dokumentacji medycznej, więc większości placówek posiadających EDM będzie łatwiej przystosować się do wymogów RODO. Ale trzeba pamiętać, że RODO nakazuje doprowadzenie środowiska IT do pewnego stanu, a nie wymusza wdrożenia konkretnych rozwiązań. Rozporządzenie nie dotyczy wyłącznie danych cyfrowych, ale także dokumentacji papierowej. Niemniej jednak jego wymogi trzeba przełożyć na konkretne zadania, dlatego szefowie IT robią dużo, aby w przypadku kontroli móc udowodnić, że podjęli różnego typu działania: wdrożyli rozwiązania ochronne i systemy monitorujące, zabezpieczyli dane zgromadzone w pamięciach masowych oraz zapewnili wysoką dostępność środowiska IT. Kolejną falę inwestycji będzie można zaobserwować po pierwszych karach nałożonych w wyniku obowiązywania RODO. Wówczas wszyscy będą sprawdzali, jaka była ich przyczyna, a następnie uzupełniali ewentualne luki we własnej infrastrukturze.

 

Problem sprawiają nie tylko rozporządzenia obowiązujące w poszczególnych krajach, ale także opieszałość urzędników Unii Europejskiej, którzy rozpatrują wnioski o dofinansowanie. Przedstawiciele placówek ochrony zdrowia twierdzą, że na pieniądze często czeka się ponad dwa lata. We wniosku trzeba precyzyjnie wskazać parametry rozwiązań, które dany podmiot chce kupić, oraz ich szacunkową cenę. Po przyznaniu funduszy raczej nie można zmienić decyzji, nawet jeśli w branży nastąpił przełom i poprzednie rozwiązania są po prostu przestarzałe.

Gdyby nie obecna konstrukcja polskiego prawa, pola do innowacyjności byłoby bardzo dużo. Na rynku jest coraz więcej rozwiązań, które usprawniają pracę diagnostów i chirurgów. Nowoczesne oprogramowanie analizuje wyniki badania obrazowego i potrafi nałożyć odpowiednie filtry, aby operator mógł skupić się na interesujących go obszarach. Dzięki wbudowanej sztucznej inteligencji aplikacja do analizy zdjęć rentgenowskich sama wykrywa ogniska nowotworowe, umożliwiając podjęcie leczenia w bardzo wczesnym stadium i często przyczyniając się do uratowania życia pacjenta.

 

Tablet zamiast monitora?

Sytuacja prawna dotycząca zakupów sprzętu znacząco odbija się na sprzedaży monitorów do stacji diagnostycznych. Jeszcze kilka lat temu konieczne było stosowanie monitorów monochromatycznych do diagnostyki mammograficznej, dzisiaj producenci oferują monitory kolorowe, które umożliwiają bardzo dobre odtworzenie obrazu z mammografu, ale brakuje ich w rekomendacjach. Podobnych przypadków jest wiele.

W polskim prawie do badań tomograficznych nadal rekomendowane są monitory jednomegapikselowe – mówi Tomasz Gut, Professional Desktop Monitors Key Account Manager w NEC Displays Solutions. – Oczywiście można zaoferować wyższą rozdzielczość, ale w przetargu przegra się ceną z kimś, kto zaproponuje monitor zgodny z rekomendacjami. Sytuacja jest absurdalna, bo wiele zwykłych oferowanych dziś monitorów biurowych lub dla grafików wyświetla obraz dużo lepszej jakości niż sprzedawane obecnie w przetargach monitory medyczne. W tej sytuacji znacznie utrudniona jest sprzedaż także innych innowacyjnych produktów.

Rynek cyfrowych rozwiązań medycznych ulega nieustannym przeobrażeniom, czego efektem jest m.in. spadek zainteresowania monitorami diagnostycznymi, chociażby na rzecz tabletów umożliwiających wyświetlanie obrazu zgodnie ze standardem DICOM i innych urządzeń mobilnych. Między innymi dlatego NEC Displays Solutions, będąc drugim po EIZO dostawcą monitorów medycznych na świecie, pod koniec 2016 r. podjął decyzję o stopniowym wycofywaniu się z rynku typowo diagnostycznego. Producent chciał bardziej skupić się na rozwoju innowacyjnych rozwiązań w segmencie Healthcare Digital Signage, systemów kolejkowania i urządzeń mobilnych, które umożliwią pracę zdalną. Ma to związek z faktem, że dziś placówki medyczne na całym świecie borykają się z deficytem lekarzy specjalistów. Nie pozostaje zatem nic innego, jak korzystanie z modelu telepracy, w którym większość decyzji o zabiegach i losach pacjenta podejmuje się podczas grupowych konsultacji. Konieczne jest wówczas przedstawianie danych z wielu rodzajów systemów diagnostycznych na różnego typu urządzeniach – tabletach, projektorach i dużych wyświetlaczach.

Wiedza z pierwszej ręki

Integratorzy zainteresowani wdrażaniem systemów IT w placówkach ochrony zdrowia powinni nieustannie aktualizować swoją wiedzę dotyczącą sytuacji prawnej i realizowanych w Polsce projektów. Niezastąpionym źródłem informacji dla nich jest witryna rządowego Centrum Systemów Informacyjnych Ochrony Zdrowia (www.csioz.gov.pl), która zawiera szczegółowe dane dotyczące prowadzonych i zakończonych projektów, warunków wdrażania elektronicznej dokumentacji medycznej oraz przetargów publicznych w placówkach ochrony zdrowia.

 

Wpływ RODO na placówki ochrony zdrowia

Przychodnie i szpitale przetwarzają wiele danych podlegających szczególnej ochronie. To sprawia, że regulacje wprowadzane przez unijne rozporządzenie o ochronie danych osobowych dotkną je w sposób szczególny. Wiele aspektów ujętych w RODO może mieć też wpływ na współpracę integratorów z placówkami medycznymi.

KONSEKWENCJE LEGISLACYJNE WPROWADZENIA RODO

Wraz z wejściem RODO w życie (25 maja 2018 r.) przestaną obowiązywać następujące akty prawne:

> Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych,

> Rozporządzenie MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,

> Rozporządzenie MAiC z 11 maja 2015 r. w sprawie sposobu prowadzenia rejestru zbiorów danych przez administratora bezpieczeństwa informacji.

POLSKA USTAWA DOTYCZĄCA RODO

Rząd i parlament pracują nad ustawą, która wprowadzi RODO do polskiego systemu prawnego. Będzie dotyczyć następujących kwestii:

> stworzenia Urzędu Ochrony Danych Osobowych (zastąpi GIODO),

> konieczności ustanowienia inspektora ochrony danych osobowych w firmach (zastąpi administratorów bezpieczeństwa informacji, których zatrudnianie było zalecane, ale nie obowiązkowe),

> możliwości uzyskania certyfikatu bezpiecznego podmiotu na trzy lata przez firmy przetwarzające dane osobowe,

> zasad postępowania w przypadku naruszenia przepisów o ochronie danych osobowych,

> zasad prowadzenia postępowania kontrolnego w przedsiębiorstwach,

> odpowiedzialności cywilnej przedsiębiorstw względem osób cywilnych, których dane osobowe zostały naruszone,

> wysokości administracyjnych kar pieniężnych (regulacje uzupełniające względem RODO).

 

DEFINICJE WEDŁUG RODO

> Dane osobowe: „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można zidentyfikować na podstawie takiego identyfikatora jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

> Przetwarzanie: „operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

RODZAJE DANYCH OSOBOWYCH DOTYCZĄCYCH ZDROWIA UWZGLĘDNIONYCH W RODO

> Wszystkie dane o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego oraz  psychicznego osoby, której dotyczą.

> Informacje zbierane dla jednoznacznego zidentyfikowania osoby fizycznej do celów zdrowotnych, podczas jej rejestracji w systemie usług opieki zdrowotnej lub ich świadczenia.

> Informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych.

> Informacje o chorobach, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym, stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą.

> Informacje pozyskane bez względu na źródło: od lekarza lub innego pracownika służby zdrowia, ze szpitala, urządzenia medycznego (firma serwisowa, która ma zdalny dostęp do urządzeń i znajdujących się na nich danych medycznych, powinna podpisać umowę o powierzeniu przetwarzania danych), badania diagnostycznego in vitro.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

RODO wprowadza funkcję inspektora ochrony danych osobowych, którą może pełnić pracownik (zatrudniony na podstawie umowy o pracę lub umowy cywilnoprawnej) zajmujący się także innymi zadaniami (często będzie to kierownik ds. IT w szpitalu). Obowiązki inspektora są podobne do tych, jakie wcześnie wyznaczono administratorom bezpieczeństwa informacji, przy czym funkcja inspektora jest obligatoryjna. Główne zadania inspektora to:

> informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów i doradzanie im w tej sprawie,

> monitorowanie przestrzegania rozporządzenia oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych (m.in. podział obowiązków, działania podnoszące poziom wiedzy, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty),

> udzielanie na żądanie zaleceń dotyczących sposobu oceny skutków ochrony danych oraz monitorowanie jej wykonania,

> współpraca z organem nadzorczym, czyli Urzędem Ochrony Danych Osobowych.

 

POWIERZENIE PRZETWARZANIA DANYCH

Placówka medyczna może powierzyć przetwarzanie wrażliwych danych osobowych firmie trzeciej. Powierzenie musi być potwierdzone pisemną umową lub aneksem do podpisanej wcześniej umowy o współpracy. Umowa musi stanowić, że podmiot, któremu powierzone zostało przetwarzanie danych:

> dokonuje tego wyłącznie na udokumentowane polecenie administratora,

> zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

> podejmuje wszelkie niezbędne środki bezpieczeństwa w celu ochrony przetwarzanych danych,

> przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o ile dysponuje szczegółową i pisemną zgodą administratora danych na dalsze powierzenie,

> w miarę możliwości wspiera administratora w zakresie wywiązywania się przez niego z obowiązków związanych z ochroną danych osobowych, nałożonych treścią rozporządzenia, a także udostępnia mu wszelkie informacje niezbędne do wykazania spełnienia wymienionych obowiązków,

> po zakończeniu świadczenia usług związanych z przetwarzaniem danych usuwa lub zwraca administratorowi, zależnie od jego wymagań, wszelkie dane osobowe oraz usuwa wszystkie istniejące kopie, chyba że prawo nakazuje przechowywanie danych osobowych,

> umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji.

OBOWIĄZKI PLACóWKI MEDYCZNEJ JAKO ADMINISTRATORA DANYCH

> Udostępnianie informacji o placówce (m.in. danych kontaktowych, danych inspektora ochrony danych osobowych), danych osobowych i ich kategoriach, celu przetwarzania tych danych oraz ich odbiorcach.

> Informowanie o prawach pacjenta w związku z przetwarzaniem danych osobowych: prawie dostępu do danych oraz prawie sprostowania danych (wyłączenie prawa do „bycia zapomnianym”).

> Reagowanie na każde żądanie dostępu do danych czy ich sprostowania, nie dłużej niż w ciągu miesiąca od otrzymania żądania, a w przypadkach szczególnie skomplikowanych  nie dłużej niż w ciągu łącznie trzech miesięcy.

> Wdrożenie wszelkich niezbędnych środków technicznych i organizacyjnych w celu zapewnienia przetwarzania danych zgodnie z rozporządzeniem (upoważnienia do dostępu, ewidencji osób mających dostęp, polityki ochrony danych).

 

ZASADY PRZETWARZANIA DANYCH DOTYCZĄCYCH ZDROWIA

RODO definiuje dwa rodzaje danych: identyfikujące (pozwalają na ustalenie tożsamości pacjenta) oraz wrażliwe (o stanie zdrowia pacjenta). Pracownik, który bierze bezpośrednią odpowiedzialność za przetwarzanie medycznych danych osobowych, podlega obowiązkowi zachowania tajemnicy zawodowej. Generalnie rozporządzenie zakazuje przetwarzania danych wrażliwych, ale wskazuje wiele wyjątków dotyczących danych medycznych. Przetwarzanie zatem jest dopuszczalne pod warunkiem, że jest niezbędne m.in. do:

> celów profilaktyki zdrowotnej lub medycyny pracy,

> oceny zdolności pracownika do pracy,

> diagnozy medycznej,

> zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,

> leczenia,

> zarządzania systemami i usługami opieki zdrowotnej,

> zabezpieczenia społecznego w związku z interesem publicznym w dziedzinie zdrowia publicznego, takim jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi,

> zapewnienia wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych.

ZGŁOSZENIE NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH

W przypadku stwierdzenia naruszenia zasad ochrony danych w placówce medycznej, jeżeli istnieje wysokie prawdopodobieństwo, że skutkuje ono naruszeniem praw lub wolności osób fizycznych, inspektor ochrony danych osobowych ma bezwzględny obowiązek poinformowania o tym fakcie Urzędu Ochrony Danych Osobowych (w ciągu 72 godzin) oraz osób, których te dane dotyczą (bez zbędnej zwłoki).