Προστασία προσωπικών δεδομένων κατά την παροχή υπηρεσιών υγείας

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc*

Σε μια εποχή που κρίνεται παραπάνω από επιτακτική η προστασία των προσωπικών δεδομένων, τίθεται το ερώτημα ποιος είναι ο ορθός τρόπος επεξεργασίας των δεδομένων των επισκεπτών σε μονάδες παροχής υπηρεσιών υγείας (πχ. νοσηλευόμενων σε Νοσοκομεία ή Κλινικές, επισκέπτες σε διαγνωστικά εργαστήρια κλπ.) και ποια είναι τα δικαιώματα τους, σύμφωνα και με τον ευρωπαϊκό Κανονισμό 679/2016 και την κείμενη νομοθεσία.

Λαμβάνοντας υπόψη ότι στην περίπτωση αυτή διακινούνται «ειδικές κατηγορίες δεδομένων», όπως ενδεικτικά δεδομένα που αφορούν την υγεία, γενετικά δεδομένα ή/και βιομετρικά δεδομένα του λήπτη των υπηρεσιών υγείας, είναι κρίσιμης σημασίας ο τρόπος της συνολικής επεξεργασίας των δεδομένων από τον πάροχο των υπηρεσιών, από την αρχική τους συλλογή, έως και την μετέπειτα διαχείριση και τήρηση τους στον ιατρικό φάκελο.

Ακεραιότητα και εμπιστευτικότητα δεδομένων

Σύμφωνα με την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, ο επισκέπτης σε μονάδα παροχής υπηρεσιών υγείας θα αναμένει από την μονάδα να προστατεύσει τα προσωπικά του δεδομένα μέσω κατάλληλων οργανωτικών και τεχνικών μέτρων προστασίας, τόσο σε φυσικό επίπεδο (έντυπη πληροφορία) και ηλεκτρονικό επίπεδο (ηλεκτρονική πληροφορία), όσο και σε  επίπεδο προφορικής διαχείρισης της πληροφορίας.

Η παραπάνω υποχρέωση της μονάδας υγείας, με την ιδιότητα του «υπευθύνου επεξεργασίας» των δεδομένων, προκύπτει από το άρθρο 32 του ΓΚΠΔ, σχετικά με την διασφάλιση του απορρήτου και την ασφάλεια της επεξεργασίας των προσωπικών δεδομένων.

Τα κατάλληλα οργανωτικά και τεχνικά μέτρα αφορούν την γενικότερη οργάνωση και λειτουργία της μονάδας σχετικά με θέματα προστασίας δεδομένων, όπως ενδεικτικά την ύπαρξη σχετικών διαδικασιών και εσωτερικών δικλείδων ασφαλείας, την ύπαρξη ρητρών εμπιστευτικότητας προσωπικού καθώς και την εκπαίδευση του, την συνολική συμμόρφωση της μονάδας υγείας με τον ΓΚΠΔ κλπ. Με αυτόν τον τρόπο, μπορούν να ελαχιστοποιηθούν οι πιθανότητες μιας «μη εξουσιοδοτημένης πρόσβασης ή τυχαίας αποκάλυψης δεδομένων», όπως και μιας «μη εξουσιοδοτημένης ή τυχαίας αλλαγής δεδομένων», σύμφωνα με το άρθρο 5 του ΓΚΠΔ.

Ορισμένα από τα σημαντικότερα δικαιώματα του λήπτη υπηρεσιών υγείας

Ο λήπτης υπηρεσιών υγείας θα πρέπει να γνωρίζει ποια είναι τα δικαιώματα του  σύμφωνα με τον ΓΚΠΔ και να αναμένει από την μονάδα υγείας να είναι σε θέση να τα εξυπηρετήσει, όποτε προκύψει η ανάγκη:

Ενημέρωση σχετικά με την προστασία δεδομένων

Η επεξεργασία των δεδομένων συνήθως ξεκινάει από την επίσκεψη του ασθενή ή εξεταζόμενου στην μονάδα παροχής υπηρεσιών υγείας και, συγκεκριμένα, κατά την εισαγωγή των στοιχείων του στο ηλεκτρονικό πρόγραμμα της μονάδας από την γραμματεία υποδοχής ή το γραφείο κίνησης. Σε ορισμένες περιπτώσεις, η επεξεργασία μπορεί να έχει ήδη ξεκινήσει πριν από την πρώτη επίσκεψη, όπως για παράδειγμα στην περίπτωση ασφαλισμένων σε ιδιωτικές ασφαλιστικές εταιρίες, όπου προηγούνται επικοινωνίες μεταξύ της μονάδας, του ασθενή και της ασφαλιστικής του εταιρίας.

Λαμβάνοντας υπόψη την αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας (άρθρο 5 του ΓΚΠΔ), ο ασθενής / επισκέπτης, με την ιδιότητα του «υποκειμένου των δεδομένων», θα πρέπει κατά την φάση της εισαγωγής και πριν την έναρξη παροχής της υπηρεσίας, να ενημερώνεται από την μονάδα υγείας για την επικείμενη επεξεργασία προσωπικών δεδομένων.

Η ενημέρωση θα πρέπει:

– να πραγματοποιείται με απλό, σαφή και κατανοητό τρόπο, μέσω σχετικού ενημερωτικού εντύπου και

-να περιλαμβάνει όλες τις απαραίτητες πληροφορίες για την ταυτότητα και τα στοιχεία επικοινωνίας της μονάδας υγείας, τις σχετικές κατηγορίες δεδομένων, τους τρόπους και τους σκοπούς της επεξεργασίας των δεδομένων, τους πιθανούς αποδέκτες των δεδομένων, τα δικαιώματα του ασθενή / επισκέπτη, τις υποχρεώσεις της μονάδας υγείας, το χρονικό διάστημα στο οποίο θα αποθηκευτούν τα δεδομένα κλπ.

Δεδομένου ότι η νομική βάση για την επεξεργασία των προσωπικών δεδομένων στην εξεταζόμενη περίπτωση είναι η παροχή ιατρικών υπηρεσιών, η εν λόγω ενημέρωση δεν συνιστά λήψη συγκατάθεσης από τον επισκέπτη (άρθρο 9.2 του ΓΚΠΔ).

Ωστόσο, απαιτείται ξεχωριστή λήψη συγκατάθεσης σε περίπτωση περαιτέρω επεξεργασίας των δεδομένων για ειδικούς σκοπούς (πχ. λήψη προσωπικής ηλεκτρονικής διεύθυνσης για μελλοντική αποστολή Newsletter κλπ.).

Πρόσβαση στον ιατρικό φάκελο

Μετά την παροχή της υπηρεσίας, ο λήπτης της υπηρεσίας έχει το δικαίωμα να αιτηθεί αντίγραφα των δεδομένων του που σχετίζονται με την πορεία της υγείας του, όπως ενδεικτικά πρακτικό ιατρικής επέμβασης, αποτελέσματα ιατρικών εξετάσεων κλπ. Η πρόσβαση στα δεδομένα θα πρέπει να είναι απρόσκοπτη, χωρίς χρέωση και κατόπιν έγγραφης αίτησης του αιτούντα προς την μονάδα υγείας. Πολύ σημαντική είναι η ταυτοπροσωπία, τόσο κατά την διάρκεια της παραλαβής του αιτήματος, όσο και κατά την παράδοση των αντιγράφων από το ιατρικό αρχείο.

Δικαίωμα  στη Λήθη (διαγραφή)

Ο λήπτης των υπηρεσιών υγείας έχει το δικαίωμα να ζητήσει από την μονάδα υγείας τη διαγραφή των προσωπικών του δεδομένων, αλλά, σε κάθε περίπτωση, όχι πριν τα 10 χρόνια για την πρωτοβάθμια περίθαλψη ή 20 χρόνια για την δευτεροβάθμια περίθαλψη, από την τελευταία του επίσκεψη (άρθρο14 Ν.3418/2005 – Κώδικας Ιατρικής Δεοντολογίας).

Περιορισμός της επεξεργασίας

Ο λήπτης των υπηρεσιών υγείας θα αναμένει από την μονάδα υγείας να τηρεί την αρχή της ελαχιστοποίησης και του περιορισμού της επεξεργασίας των δεδομένων, συλλέγοντας και αποθηκεύοντας τα απολύτως απαραίτητα δεδομένα που απαιτούνται για την επιτυχή έκβαση της θεραπείας ή ιατρικής εξέτασης και τίποτα παραπάνω.

Παραδείγματα κατά την εξυπηρέτηση ασθενή / εξεταζόμενου

Η υλοποίηση όλων των απαραίτητων οργανωτικών και τεχνικών μέτρων από την μονάδα υγείας, θα πρέπει να εφαρμόζονται πριν την έναρξη της παροχής υπηρεσίας υγείας, κατά την διάρκεια αυτής, αλλά και μετά την λήξη της παροχής υπηρεσίας.

-Πριν την νοσηλεία

Για παράδειγμα, πριν μια από νοσηλεία σε Νοσοκομείο ή Κλινική, μπορεί να έχουν προηγηθεί επικοινωνίες και ενημερώσεις μεταξύ του «υποκειμένου» και της μονάδας υγείας, να έχουν πραγματοποιηθεί προεγχειρητικοί έλεγχοι ή/και υπογραφεί έντυπα (πχ. συγκατάθεση για ιατρική πράξη), να εμπλέκεται ασφαλιστική εταιρία ή λοιποί διαμεσολαβητές κλπ. Καθότι το «ταξίδι» των προσωπικών δεδομένων του επικείμενου πελάτη (απλές και ειδικές κατηγορίες δεδομένων) έχει ήδη ξεκινήσει, προκύπτει λοιπόν από τα πρώτα κιόλας στάδια η ανάγκη προσεκτικής φύλαξης από την μεριά του Νοσοκομείου / Κλινικής των δεδομένων σε φυσική ή /και ηλεκτρονική μορφή, η προσοχή κατά την πιθανή επανάκληση στο τηλέφωνο για παροχή πληροφοριών (προς τον αιτούντα), γενικότερη μέριμνα για ασφαλείς  επικοινωνίες  (ηλεκτρονικά, τηλεφωνικά, έντυπα, fax), καθώς και τήρηση όλων των κανόνων ασφαλείας κατά την πιθανή επικοινωνία με τρίτα μέρη ή/και διαμεσολαβητές (ασφαλιστικές εταιρίες, εξουσιοδοτημένοι εκπρόσωποι του επικείμενου πελάτη κλπ.).

-Κατά την διάρκεια της νοσηλείας

Από την φάση της εισαγωγής και της ενημέρωσης του νοσηλευόμενου, την προετοιμασία για ιατρική πράξη / επέμβαση και την υλοποίηση αυτής, την ανάνηψη του και την μετέπειτα μεταφορά του σε θάλαμο νοσηλείας, την γενικότερη «εξυπηρέτηση» του νοσηλευόμενου κατά την περίοδο της ανάρρωσης του έως και το εξιτήριο του,  το Νοσοκομείο / η Κλινική πρέπει να μεριμνά διαρκώς για την προστασία κάθε μορφής προσωπικών δεδομένων του νοσηλευόμενου, όπως αυτά συλλέγονται σε κάθε στάδιο.

Ενδεικτικά και όχι περιοριστικά, αποφυγή προσφώνησης του σε κοινόχρηστους χώρους με το ονοματεπώνυμο του, προσεκτική διαχείριση των έντυπων και ηλεκτρονικών του δεδομένων σε κάθε φάση της νοσηλείας του (πχ. προσεκτικός τρόπος μετακίνησης φακέλου ασθενή από τμήμα σε τμήμα, προστασία υπηρεσιακών βιβλίων και εντύπων στις στάσεις νοσηλείας, προσεκτική τήρηση και διαβίβαση ηλεκτρονικών δεδομένων μέσω του συστήματος ή/και με e-mail κλπ.), αποτελεσματική αντιμετώπιση ιδιαιτεροτήτων κατά την νοσηλεία και το επισκεπτήριο (με την παρουσία κόσμου), προσεκτική αποστολή βιολογικών δειγμάτων σε τρίτα εργαστήρια, προσεκτική αποστολή δεδομένων σε ασφαλιστικά ταμεία και άλλες δημόσιες υπηρεσίες (πχ. ληξιαρχεία, ινστιτούτο υγείας του παιδιού κλπ.),προσεκτική αποστολή δεδομένων σε άλλα νοσηλευτικά ιδρύματα ή/και ιατρούς (εφόσον κριθεί αναγκαίο για την υγεία του νοσηλευόμενου), ενημέρωση για ύπαρξη και λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) για την προστασία προσώπων και αγαθών κλπ.

-Μετά το εξιτήριο

Όπως αναφέρθηκε, θα πρέπει η μονάδα υγείας να μπορέσει να εξυπηρετήσει το «υποκείμενο» και μετά την νοσηλεία του, όπως να του προσκομίζει αντίγραφα από τον ιατρικό του φάκελο, κατόπιν αιτήματος του. Η υποχρέωση τήρησης ιατρικού αρχείου και τα κατάλληλα μέτρα φύλαξης του, αλλά και η ενδεδειγμένη καταστροφή του μετά την απαιτούμενη περίοδο διακράτησης (πχ. καταστροφή φυσικού αρχείο σε καταστροφέα εγγράφων, διαγραφή ηλεκτρονικού αρχείου και κάθε αντίγραφου σε άλλα ηλεκτρονικά μέσα αποθήκευσης κλπ.), θα πρέπει να θεωρούνται αυτονόητα από την μεριά της μονάδας υγείας, σύμφωνα και με τις αρχές της ακεραιότητας, της εμπιστευτικότητας και της απαίτησης για διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO στην Κλινική ΓΕΝΕΣΙΣ στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

    • Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
    • Υπουργείο Υγείας της Ελληνικής Δημοκρατίας (Ιούλιος 2018), Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις, Αθήνα, 1η Έκδοση
    • https://www.moh.gov.gr/articles/gdpr/5667-syxnes-erwthseis
    • https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL