18 maja 2011

Ochrona danych o naszym zdrowiu

Sejm przyjął ustawę o systemie informacji w ochronie zdrowia. Pojawiły się głosy, w tym m.in. Generalnego Inspektora Ochrony Danych Osobowych, podające w wątpliwość zgodność niektórych jej zapisów z innymi aktami prawnymi. Wyjaśnienia przedstawia Leszek Sikorski, dyrektor Centrum Systemów Informacyjnych Ochrony Zdrowia, w rozmowie z Małgorzatą Skarbek.

Ustawa nie precyzuje, czy tworzymy jeden system gromadzenia danych, czy wiele mniejszych, np. w każdej placówce. Jeśli będzie istnieć wiele systemów, to czy będą one interoperacyjne?
Nieporozumienie wokół tego zagadnienia wynika z nie do końca właściwego interpretowania i rozróżniania dwóch pojęć: system informatyczny i system informacyjny.
Wszyscy usługodawcy w ochronie zdrowia korzystają z systemów informatycznych, tworzonych w różny sposób. Nie zamierzaliśmy i nie będziemy tworzyć wielkiego systemu informatycznego, zbierającego wszystkie dane rozproszone w setkach placówek.
Pojęcie system informacyjny oznacza wzajemne powiązania różnych systemów informatycznych tak, aby możliwe było przekazywanie danych. Takie systemy istnieją w wielu dziedzinach, w kraju i poza nim. Rozróżnienie tych pojęć pozwala na zrozumienie sedna naszej ustawy.
Komunikowanie się, przekazywanie danych jest możliwe tylko dzięki interoperacyjności. System informacyjny będzie maksymalnie spójny, aby dostęp do informacji był jak najłatwiejszy, oczywiście dla tych, którzy mają do niego prawo. Każdy świadczeniodawca w ochronie zdrowia zamawiający system informatyczny w dowolnej firmie musi się kierować jedną zasadą – system ten ma mu umożliwić uczestnictwo we wszystkich usługach dla innych instytucji, a zatem powinien być zbudowany według określonych reguł i odpowiadający określonym standardom.
Te same reguły i standardy obowiązują w całym systemie informacyjnym, pozwala to na zachowanie ładu informacyjnego. Posługując się odpowiednimi słownikami i rejestrami, zyskujemy gwarancję, że wszystkie dane, cała zebrana wiedza dotycząca zdrowia i niepełnosprawności, są rozumiane tak samo (interoperacyjność semantyczna).

Pojawił się zarzut, że nie ustawa, lecz rozporządzenie będzie określać, jakie dane powinny być gromadzone.
Zgodnie z konstytucją władze publiczne mają prawo do gromadzenia danych osobowych obywateli na potrzeby określone w akcie prawnym w randze ustawy.
Ustawa o ochronie danych osobowych stwierdza, że sensytywne (wrażliwe) dane medyczne nie są w ogóle, z zasady, przetwarzane. W art. 27, ust. 2. określono, w jakich przypadkach dane te – podkreślmy – sensytywne dane medyczne – mogą być przetwarzane. Można to robić przede wszystkim w celach ratowania życia lub zdrowia. I tylko w przypadkach określonych w art. 27, ust. 2 ustawy gromadzone są dane w systemach ochrony zdrowia.
Art. 4 ustawy o systemie informacji w ochronie zdrowia zawiera zamknięty katalog danych, które mogą być gromadzone, przetwarzane i przekazywane za zgodą pacjenta (w wyjątkowych sytuacjach, określonych ustawami, np. ratowania życia – bez jego zgody) w systemach informatycznych, a zatem i w systemie informacyjnym w ochronie zdrowia.
Przygotowana dla posłów opinia prawna potwierdza prawidłowość zapisów ustawy.

Co zatem będzie określać rozporządzenie?
Gdybyśmy przyjęli, że zakres informacji zawartych w rejestrze, obejmujących dane osobowe musi być określany tylko ustawą, to mielibyśmy do czynienia z permanentną jej nowelizacją albo z dziesiątkami nowych ustaw, które trzeba by przygotowywać, gdy tylko pojawi się potrzeba stworzenia nowego rejestru. A są one potrzebne za każdym razem, gdy placówki nawiązują współpracę w świadczeniu sobie nawzajem usługi, gdy podpisują umowy z NFZ itp. I tylko tych rejestrów dotyczyć będzie rozporządzenie.

Podmiotem tych wszystkich działań jest pacjent. Jakie ma prawa w kwestii zbieranych o nim informacji?
Dane z dokumentacji medycznej są własnością pacjenta, on wyraża zgodę na ich udostępnianie. Musi być przekonany o użyteczności gromadzonych informacji o jego stanie zdrowia i korzyści, jakie wynikają z możliwości ich przekazywania. A są one wielkie: usprawnienie procesu diagnostycznego i jego przyspieszenie, nie mówiąc już o obniżeniu kosztów diagnostyki. Jeśli pacjent chce np., aby te dane były dostępne tylko jednemu, zaufanemu lekarzowi, ma do tego prawo.
Pacjent, który ufa swojemu lekarzowi i placówkom ochrony zdrowia, a także zna cel gromadzenia danych, będzie otwarty na propozycje ich przekazywania.
Dokumentacje medyczne w większości przypadków pozostają w miejscu ich powstania i tam są gromadzone w postaci elektronicznej, tzn. w gabinetach lekarzy rodzinnych, w szpitalach. Przekazywane są tylko wtedy, gdy np. pacjent trafia do innej placówki.
Musimy pamiętać o tym, że w systemie informacyjnym informacja raz wprowadzona do rejestru internetowego jest niewymazywalna. Bezpieczeństwo prawne i technologiczne systemu trzeba budować ze świadomością, że istnieją zagrożenia – możliwość ujawnienia zebranych danych. Dlatego stosujemy wszystkie technologie ograniczające dostęp, kody zabezpieczające, autoryzację itp. Ponadto trzeba gromadzić tylko dane niezbędne.

Archiwum