Prístupové práva k údajom o zdraví
Neoddeliteľnou súčasťou vyšetrenia u lekára je získavanie osobných údajov o zdraví pacienta. Od anamnézy, cez aktuálny stav až po odporúčanú liečbu. Súčasne je každý poskytovateľ zdravotnej starostlivosti, ktorý poskytuje zdravotnú starostlivosť pacientom, podľa zákona o zdravotnej starostlivosti povinný viesť zdravotnú dokumentáciu. Údaje o zdraví pritom podľa GDPR patria medzi osobitnú kategóriu osobných údajov. Viac o tejto téme napísala Paula Babicová, Risk manažérka zo zdravotnej poisťovne Dôvera.
Osobitosť tehto kategórie GDPR spočíva v povinnosťi mať menovanú osobu zodpovednú za ochranu osobných údajov pri spracúvaní tohto typu údajov vo veľkom rozsahu, výkone posúdenia vplyvu pri rizikových operáciách, vedenie a aktualizácia záznamov o spracovateľských operáciách a prispôsobovanie primeraných bezpečnostno-technických opatrení rizikovým operáciám.
Okrem iného GDPR umožňuje spracúvať tieto údaje len pokiaľ ich spracúva odborník (zdravotnícky pracovník), resp. iná osoba, ktorá podlieha povinnosti mlčanlivosti. Od tejto dôležitej povinnosti sa totiž následne odvíja aj povolený rozsah prístupov k osobným údajom pacientov.
Pri prideľovaní prístupových práv do informačných systémov by malo platiť pravidlo „need to know“. Každý by mal mať len taký prístup, ktorý nevyhnutne potrebuje k svojej práci. Ruka v ruke s tým je požiadavka na minimalizáciu spracúvania údajov. Nemalo by sa preto stávať to, čo sa, žiaľ, bežne deje, že si prihlasovacie údaje do systémov „požičiavajú“ medzi sebou lekári na oddeleniach, že zdravotná sestra sa prihlasuje cez údaje lekára, alebo že sa k údajom o zdraví v nemocnici dostane „kde-kto“, t.j. aj administratívny pracovník.
V Európe už za podobné „prešľapy“ padli nemalé pokuty. Táto téma bola aj predmetom rozhodnutia portugalského dozorujúceho orgánu (CNPD), ktorý uložil pokutu nemocnici za to, že všeobecným prístupom k záznamom o pacientoch v rámci nemocnice, porušila zásady minimalizácie, integrity a dôvernosti. Ak stručne zhrnieme tento prípad, tak môžeme konštatovať, že v nemocnici mali k zdravotným záznamom pacientov prístup všetky profily, t.j. okrem lekárov aj iný personál nemocnice. Súčasne nemocnici dozorujúci orgán vytkol, že všetci lekári mali neobmedzený prístup ku všetkým súborom pacientov, bez ohľadu na odbornosť lekárov.
Zdajú sa vám po prečítaní tohto prípadu vaše nastavenia prístupov „povedomé“? Vedzte, že za toto porušenie dostala nemocnica v Portugalsku pokutu 400 000 eur. Mať správne nastavené oprávnenia prístupov k údajom v informačných systémoch vás môže od takejto vysokej pokuty ochrániť.