Wyciek danych medycznych może powodować szkody
Rozmowa z dr Ewą Butkiewicz, wspólnikiem kancelarii Wardyński i Wspólnicy odpowiedzialnym za Zespół Life Science i Postępowań Regulacyjnych, o szansach i zagrożeniach, jakie wiążą się z powstaniem centralnego systemu informacji medycznej.
Portal Procesowy: Od 1 sierpnia 2014 roku cała dokumentacja medyczna ma być prowadzona w wersji elektronicznej. Będzie lepiej?
Ewa Butkiewicz: Zgodnie z założeniami – oczywiście. Centralna baza medyczna, której stworzenie przewiduje ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, będzie gromadzić i przetwarzać m.in. dane o udzielaniu przez poszczególnych świadczeniodawców świadczeń zdrowotnych konkretnym świadczeniobiorcom. Taki scentralizowany i spójny system informacji ma umożliwić podejmowanie optymalnych decyzji na różnych szczeblach w zakresie polityki zdrowotnej. Obecnie istniejące bazy danych gromadzące dane o udzielaniu świadczeń zdrowotnych nie stanowią bowiem uporządkowanego ani kompletnego systemu, a wymiana informacji pomiędzy nimi jest niewystarczająca. W systemie opieki zdrowotnej panuje wręcz chaos, który, jak stwierdziła ostatnio rzecznik praw obywatelskich, stanowi zagrożenie dla bezpieczeństwa zdrowotnego obywateli i praw pacjentów.
Centralny system informacji medycznej pozwoli monitorować koszty leczenia i sytuację ekonomiczną zakładów, albowiem umożliwi on analizę przepływu środków publicznych przeznaczonych na finansowanie świadczeń opieki zdrowotnej. Istotnym usprawnieniem dla lekarzy będzie możliwość wymiany danych niezbędnych do zapewnienia ciągłości leczenia. Lekarz będzie wiedział, gdzie pacjent leczył się dotychczas, jakie przeszedł zabiegi, jakie są jego wyniki badań oraz jakie leki miał przepisywane. System poprawi też dostęp do świadczeń zdrowotnych finansowanych lub współfinansowanych ze środków publicznych. Dzięki transparentności i kompleksowości systemu możliwe będzie wyeliminowanie praktyki zapisywania się pacjentów do kolejek oczekiwania na konkretne świadczenia zdrowotne w różnych placówkach, co dotąd zafałszowywało stosowne statystyki. Ponadto pacjenci będą mogli sprawdzać swoją pozycję w kolejce oczekiwania na konkretne świadczenia i czas tego oczekiwania.
Założenia są więc szczytne, ale ich realizacja wcale nie będzie prosta. Zbudowanie takiego systemu to ogromne wyzwanie. Przede wszystkim wszyscy usługodawcy, niezależnie od rozmiaru ich działalności, będą mieli obowiązek prowadzić dokumentację medyczną w formie elektronicznej spełniającej wymogi ustanowione dla systemu. Ustawa przewiduje wydanie 17 rozporządzeń wykonawczych, które doprecyzują funkcjonalności i zasady działania systemu, z czego dotychczas wydano dwa, a kolejne dwa są w fazie procedowania. Tymczasem cały system ma być gotowy za niespełna półtora roku. Trzeba zdać sobie sprawę, że będzie to największy zbiór danych osobowych w Polsce, większy nawet od zbioru PESEL. Jakie kłopoty mogą się wiązać z wdrożeniem takiego systemu i jego dalszym funkcjonowaniem, świadczy uruchomiony z początkiem 2013 roku tzw. system eWUŚ, czyli system elektronicznej Weryfikacji Uprawnień Świadczeniobiorców. Jest on znacznie mniejszy, ale i jego wdrożenie nie przebiegało bez zakłóceń choćby dlatego, że w wielu placówkach opieki zdrowotnej nadal nie ma stałego dostępu do internetu. W wielu przypadkach doszło też do ujawnienia danych osobowych wrażliwych.
W planowanym centralnym systemie informacji medycznej takich danych osobowych wrażliwych będzie jeszcze więcej.
Zgadza się. Poza danymi osobowymi usługobiorców, czyli pacjentów, znajdą się w nim ich jednostkowe dane medyczne. Są to m.in. informacje o przebiegu leczenia, opinie lekarskie, informacje o skierowaniach do szpitala lub na badania diagnostyczne. W głównej części systemu, czyli w systemie informacji medycznej, znajdą się też dane o usługodawcach, o pracownikach medycznych czy o cenach udzielonych świadczeń opieki zdrowotnej. Poza systemem głównym mają też powstać tzw. dziedzinowe systemy teleinformatyczne: system rejestru usług medycznych NFZ, system statystyki w ochronie zdrowia, system ewidencji zasobów ochrony zdrowia, system monitorowania zagrożeń itd. Wiele danych zawartych w tych systemach to również dane wrażliwe.
Wyciek takich danych może narażać usługobiorców będących podmiotami danych osobowych na bardzo konkretne szkody. Przykładowo pracodawca posiadający wiedzę o chorobie przewlekłej potencjalnego pracownika może nie zdecydować się na jego zatrudnienie, uznając, że zbyt często będzie brać zwolnienia lekarskie. Podobnie ubezpieczyciel mógłby odmówić ubezpieczenia osobie, która przeszła np. zawał serca, albo też „adekwatnie” wysoko kształtować składkę ubezpieczeniową z tytułu ubezpieczenia ryzyk związanych ze zdrowiem i życiem, udzielając ochrony ubezpieczeniowej osobom, co do których ma informację o podwyższonym ryzyku zachorowania tych osób na określone choroby.
W jaki sposób dochodzi zwykle do wycieku danych?
Najbardziej spektakularne są oczywiście przypadki szpiegostwa przemysłowego czy cyberterroryzmu. Z reguły jednak przyczyny wycieku są banalne: są nimi błędy ludzkie i niedociągnięcia organizacyjne.
Pracownicy podmiotów leczniczych, firm ubezpieczeniowych czy też podmiotów świadczących usługi na rzecz wyżej wymienionych, posiadający dostęp do danych osobowych wrażliwych osób trzecich, nie zawsze zdają sobie sprawę z wagi tych danych i szczególnych obowiązków ich ochrony. Zdarza się, że nie wylogują się, odchodząc od komputera, albo podzielą się z kolegą dostępem do komputera, co umożliwi osobie nieprzeszkolonej i niedopuszczonej do obsługi takiego systemu dostęp do danych zawartych w systemie. Dlatego poza niezbędnym zabezpieczeniem systemu przed celowymi naruszeniami bardzo ważne jest przeszkolenie pracowników i budowanie ich świadomości, że pracują z danymi szczególnie chronionymi. Konieczna jest też okresowa weryfikacja znajomości i przestrzegania stosownych procedur.
O ochronie informacji należy pamiętać na każdym etapie istnienia bazy danych, włączając etap usuwania danych z systemu. Dokumentację papierową wystarczy włożyć do niszczarki, ale nieodwracalne usunięcie danych z nośnika elektronicznego nie jest takie proste. Z punktu widzenia bezpieczeństwa informacji zakończenie okresu przetwarzania danych jest więc bardzo wrażliwym momentem.
Trzeba też pamiętać, że ustawa dopuszcza możliwość outsourcingu zarządzania danymi. To z jednej strony ułatwia pracę podmiotów medycznych, ale powiększa obszar ryzyka, gdyż dopuszcza do danych więcej osób. Trzeba zadbać o to, żeby czuły się one związane zasadą poufności, która wiąże ich mocodawcę, czyli zakład udzielający świadczeń zdrowotnych.
Co należy zrobić, jeśli faktycznie doszło do wycieku danych?
I w tym zakresie podmioty lecznicze powinny opracować szczegółowe procedury. Przede wszystkim trzeba powiadomić osoby odpowiedzialne wewnątrz organizacji, w tym administratora bezpieczeństwa informacji. Następnie należy zbadać sytuację, zebrać dowody, zidentyfikować przyczynę wycieku i osobę odpowiedzialną, co posłuży do podjęcia kroków mających na celu eliminację tych samych błędów w przyszłości. W zależności od okoliczności rozważenia wymagać będzie złożenie do prokuratury zawiadomienia o popełnieniu przestępstwa przez osobę, która wbrew ciążącym na niej obowiązkom dopuściła do wycieku danych. Obecnie regulacja nie nakłada obowiązku powiadomienia o wycieku Głównego Inspektora Ochrony Danych Osobowych ani osób, których dane dotyczą, jednakże kwestie te mogą ulec zmianie wraz z wejściem w życie rozporządzenia unijnego, które zastąpi obecną ustawę o ochronie danych osobowych.
Jak zminimalizować ryzyko wycieku danych?
Wydaje się, że zapewnieniu bezpieczeństwa danych służy przede wszystkim staranny wybór rzetelnego i sprawdzonego dostawcy systemu, który zarówno zapewni dobrze zaprojektowany system, jak i pomoże w należytej jego implementacji. Do tego konieczne będzie dokładne przeszkolenie pracowników oraz uwrażliwienie ich na niebezpieczeństwa płynące z niezgodnego z prawem ujawnienia danych.
Trzeba też opracować dobre procedury, dobry system compliance i regularnie sprawdzać, czy wszystko działa prawidłowo. Wzmożona kontrola, ustanowienie procedur i bezwzględne ich przestrzeganie pozwolą zminimalizować ryzyka wycieku.
Kto odpowiada za ujawnienie danych medycznych?
Trzeba pamiętać, że za szkody wyrządzone przez pracownika odpowiada pracodawca. Pracownik odpowiada wobec pracodawcy tylko do wysokości trzymiesięcznego wynagrodzenia, i to wyłącznie za rzeczywiste udokumentowane straty, z wyłączeniem utraconych korzyści. Zwiększona odpowiedzialność jest możliwa tylko wtedy, gdy pracownik wyrządził szkodę umyślnie. Na tych samych zasadach odpowiada tzw. administrator bezpieczeństwa informacji, jeżeli jest pracownikiem. Tymczasem wyrządzone szkody mogą znacząco przewyższać wyżej wskazane wartości. Pracodawca co do zasady nie może zatem liczyć na to, że pokryje je osoba, która faktycznie dopuściła się naruszenia.
Osobie, której dobra osobiste zostały naruszone poprzez ujawnienie danych osobowych, przysługują roszczenia o zaniechanie dalszych naruszeń, o podjęcie odpowiednich czynności w celu usunięcia skutków (np. opublikowanie oświadczenia) oraz o zadośćuczynienie lub zapłatę określonej sumy na cel społeczny. Warto pamiętać, że przy powództwie o naruszenie dóbr osobistych to pozwany musi wykazać, że naruszenie nie nastąpiło.
Administratorowi danych grożą też sankcje administracyjne nakładane przez GIODO. Dysponuje on całym instrumentarium środków służących zarówno doprowadzeniu zaistniałego stanu do zgodności z prawem (decyzje administracyjne nakazujące m.in. usunięcie uchybień, zastosowanie dodatkowych środków zabezpieczających lub usunięcie danych), jak i zdyscyplinowaniu administratora danych (osobista odpowiedzialność karna, włącznie z karami grzywny i pozbawienia wolności).
Koszty wycieku danych medycznych mogą być więc dotkliwe, włączając w to koszty społeczne i finansowe dla bezpośrednio zainteresowanych, jak też finansowe i wizerunkowe koszty dla podmiotów leczniczych. Z tych względów przygotowanie do wdrożenia systemu wymaga od uczestników systemu ochrony zdrowia jak najdalej idącej staranności.
Rozmawiała Justyna Zandberg-Malec