eHealth…trochu iný pohľad…

V poslednej dobe sa na internete (vlastne aj v printových médiách) objavilo viacero článkov o pripravovanej koncepcii elektronických služieb v oblasti zdravotníctva. Viacerí s hrôzou zistili, že čo všetko by malo byť online v rámci „eZdravotnej knižky“, kým iní sa zaoberali otázkami informačnej bezpečnosti alebo rozmýšľali či je to fakt taký dobrý nápad ako na prvý (či skôr nultý) pohľad zdá. Týmto článkom však nezamierim do radov technikov, lebo medzi nimi sa aj ja občas cítim ako Alenka v krajine zázrakov a nepokúsim sa ani vniesť žiadne filozofické myšlienky do svetonázoru ohľadom zhromažďovania údajov štátnou mocou. Pozriem sa na to trošičku z pohľadu zásad ochrany osobných údajov.

1.

Prvoradou otázkou pri spracúvaní osobných údajov (a pri takto citlivých dátach ani nehovorím) je právny titul spracúvania (teda dôvod spracúvania) ako niečo čo oprávni niekoho zhromažďovať údaje o inom človeku. Takýmto právnym titulom môže byť súhlas daný dotknutou osobou (ten, koho údaje sa spracúvajú), zmluva, ale aj zákon, ktorí niekomu určí oprávnenie spracúvať údaje osôb, ktoré takéto spracúvanie v konečnom dôsledku musia strpieť (bez ohľadu či s nim súhlasia alebo nie). V prípade eHealth služieb by bolo neúčelné uzatváranie zmlúv a tiež naháňanie súhlasov, ktoré okrem iného nemožno ani vynucovať. Takže jediným, a teda aj očakávaným právnym titulom, bude ustanovenie  oprávnení a k nim relevantných povinností práve zákonom. Čo má taký zákon s ambíciou upraviť otázky ochrany osobných údajov obsahovať nájdu prípadný záujemcovia vo wiki webu www.oou.sk.

2.

Ďalším dôležitým aspektom je určenie prevádzkovateľa. Základné zásady ochrany osobných údajov (reprezentované zákonom o ochrane osobných údajov) kladú bremeno zodpovednosti za spracúvanie osobných údajov na prevádzkovateľa informačného systému. Prevádzkovateľom je ten, kto osobné údaje spracúva, pričom určil účel a prostriedky spracovania, pokiaľ mu neboli určené zákonom. Pre zdravotnú dokumentáciu je takýmto zákonom práve zákon o zdravotnej starostlivosti (nehanebne som skrátil jeho názov, ale podľa čísla 576/2004 si ho nájde každý, kto bude mať záujem). Zodpovednosť za vedenie zdravotnej dokumentácie a teda aj status prevádzkovateľa informačného systému má na krku poskytovateľ zdravotnej starostlivosti (lekár alebo zdravotnícke zariadenie). Tento subjekt (poskytovateľ zdravotnej starostlivosti alias prevádzkovateľ informačného systému) zodpovedá nielen za bezpečnosť spracúvaných osobných údajov, ale aj za plnenie ostatných povinností, ktoré mu „naordinoval“ zákon o ochrane osobných údajov. Aj keď si to možno nie každý lekár uvedomuje, povinne má viesť evidenciu, ustanoviť zodpovednú osobu (ak má viac ako 5 zamestnancov) a spracovať bezpečnostný projekt alebo bezpečnostné smernice (podľa toho či má PC s údajmi pacientov pripojené na internet).

3.

Bezpečnosť spracúvaných osobných údajov je zrejme najdôležitejším pojmom, aký náš právny systém v oblasti ochrany osobných údajov pozná. Je to požiadavka kladená na prevádzkovateľa a sprostredkovateľa (v mene prevádzkovateľa spracúva údaje v prevádzkovateľovom informačnom systéme – outsourcingové služby), avšak sprostredkovateľa si vyberá sám prevádzkovateľ a za svoj výber nesie zodpovednosť. Čo sa týka zdravotnej dokumentácie, za súčasného stavu nie je možné hovoriť o centrálnom (hoci decentralizovanom) informačnom systéme. Každý poskytovateľ zdravotnej starostlivosti zodpovedá za bezpečnosť citlivých údajov svojich pacientov (dotknutých osôb), ktoré spracúva v zdravotnej dokumentácii. Každý poskytovateľ zdravotnej starostlivosti je teda prevádzkovateľ informačného systému s údajmi svojich pacientov.

Čo by znamenal eHealth zhmotnený v Elektronickej zdravotnej knižke a online prístupe k elektronickej zdravotnej dokumentácii vo vzťahu k týmto trom bodom?

Ad 1) Radikálnu novelizáciu zákona o zdravotnej starostlivosti. Konkrétny popis všetkých spracúvaných údajov, účelu spracúvania, vzťahov medzi subjektmi s prístupom k dokumentácii (poskytovanie/sprístupňovanie), prostriedky spracúvania, prevádzkovateľov (poskytovateľ starostlivosti v tom už nebude sám)… Toto všetko a celý rad ďalších „drobností“ bude potrebné premietnuť do legislatívy.

Ad 2 a 3) Prevádzkovateľ v tom nebude môcť byť sám. Zodpovednosť za zdravotnú dokumentáciu (hlavne bezpečnosť spracúvaných osobných údajov) a všetko čo súvisí so statusom prevádzkovateľa nebude môcť byť ponechané na rozkúskovanej báze (každý poskytovateľ len za svojich pacientov), keď má systém dostať centralizovaný rámec, najskôr pod hlavičkou NCZI. Momentálne zodpovedá každý poskytovateľ za dáta svojich pacientov a je povinný prijať primerané technické, organizačné a personálne opatrenia na ich ochranu. Nie je to až taký problém keďže ich má spravidla v papierovej podobe pod zámkom a nejde o 5 miliónov osôb. Keď však budú údaje posielané (nevedno či pôjde o poskytovanie údajov, keďže má ísť stále o jeden a ten istý systém zdravotnej dokumentácie tak nemôže ísť o poskytovanie inému prevádzkovateľovi) do centrály, dôjde k zmätku v zodpovednostných vzťahoch. Lekár predsa nemôže niesť zodpovednosť za dokumentáciu svojich pacientov spracúvanú v elektronickej podobe subjektom, na ktorého nemá dosah (napr. NCZI). Technicky a aj právne bude takto zdravotná dokumentácia rozdelená na separátne informačné systémy s rôznymi prevádzkovateľmi čo však prináša nielen po právnej stránke ďalšie a ďalšie otázky.

Pravdu-povediac nemám zatiaľ predstavu ako to plánuje zákonodarca ošetriť po zodpovednostnej a bezpečnostnej stránke, keď bezpečnosť už stihli spochybniť tak laici ako experti v tejto oblasti a zodpovednosť nebude jednoduché ošetriť.  Kým pri roztrúsenej dokumentácii nie je možné získať naraz prístup k celému obyvateľstvu, centrálny systém to dokáže. Rovnako je takmer nemožné v reálnom čase vyhotoviť kópiu papierovej zdravotnej dokumentácie všetkých ľudí, no pri elektronickej verzii môže ísť len o zlomok tohto času. Nehovoriac o tom, že nás ešte stále straší NBUSR123. Okrem perfektnej legislatívy musia byť v takomto prípade implementované najmodernejšie technológie, ktoré zaručia najvyšší možný level informačnej bezpečnosti. Hoci však v technickej oblasti existuje možnosť uspokojivého riešenia, ľudský faktor bude stále hrozbou (prípad úniku dát z NBÚ SR bohužiaľ nie je jediný). Informácie o zdravotnom stave môžu byť zaujímavé pre rôzne skupiny s pochybnými cieľmi, no nepochybnými ekonomickými možnosťami, ktoré v prípade zlyhania moci peňazí nezaváhajú použiť iné nástroje.