Jaké osobní údaje o nás mají naši lékaři a jak se data chrání

30. 4. 2018

Víte, jaké všechny osobní údaje o vás má váš lékař či zdravotnické zařízení? A jste si jistí, že jsou bezpečně uchovány a nedostane se k nim nikdo nepovolaný? To jsou otázky, které si se zavedením nového evropského nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation) musí položit každý pacient. A každý lékař by na ně měl umět odpovědět.

Údaje o zdravotním stavu jsou jedněmi z vůbec nejcitlivějších osobních dat jednotlivce, a vyžadují proto maximální kontrolu a ochranu před zneužitím. Tomu má napomoci právě GDPR, které s účinností od 25. května 2018 v celé EU nahrazuje a zpřísňuje dosavadní legislativu v oblasti ochrany osobních údajů. Týká se všech podniků a firem, které v rámci své činnosti zpracovávají osobní data – tedy i lékařských ordinací, ambulancí či nemocnic.

Pacienti, lékaři i zdravotnické instituce by měli nové legislativě věnovat velkou pozornost už proto, že informace o zdraví spadají v rámci GDPR do tzv. zvláštní kategorie osobních údajů, jejichž zpracování by mělo být s ohledem na jejich zásadní povahu zabezpečeno zvlášť důkladně. Jestliže například únik informací o vašem bankovním účtu může způsobit jistě závažné, ale nikoli nenapravitelné škody (protože banky jsou proti většině rizik pojištěny), taková ztráta (či krádež) citlivých údajů o zdravotním stavu pacienta může mít důsledky fatální.

GDPR proto dává pacientům větší právo kontrolovat, jak se s jejich citlivými údaji v rámci ordinace či nemocnice nakládá. Každý bude mít právo zjistit, jaká data o něm lékař či zdravotnické zařízení má, komu všemu je poskytuje či poskytl, kde a jakým způsobem je ukládá a zpracovává a jakým způsobem jsou zabezpečena a archivována.

GDPR v českých ordinacích

To samozřejmě přinese větší nároky na zdravotnická zařízení i samotné lékaře. V Česku dosud problematiku citlivých dat o zdravotním stavu upravuje zákon 101 o ochraně osobních údajů, v praxi ale není vždy důsledně dodržován. Dodnes se lze setkat s kartotékami pacientů na chodbách, elektronická podoba zdravotní dokumentace také není vždy pravidlem a o předávání informací o léčbě mezi různými lékaři také mnohý pacient ví své.

Příklady povinností a doporučení, které GDPR přináší lékařům
• zrevidovat způsob souhlasu pacientů se zpracováváním údajů • analyzovat a zdůvodnit rozsah zpracovávaných údajů o pacientovi • na žádost pacienta uvést, kdo a jak jeho údaje zpracovává, za jakým účelem a po jakou dobu • zabezpečit data před neautorizovaným přístupem • zajistit bezpečnou přenositelnost údajů k jinému správci či zpracovateli • zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů zpracování údajů • pravidelně testovat zabezpečení osobních údajů

Příklady povinností a doporučení, které GDPR přináší lékařům

• zrevidovat způsob souhlasu pacientů se zpracováváním údajů
• analyzovat a zdůvodnit rozsah zpracovávaných údajů o pacientovi
• na žádost pacienta uvést, kdo a jak jeho údaje zpracovává, za jakým účelem a po jakou dobu
• zabezpečit data před neautorizovaným přístupem
• zajistit bezpečnou přenositelnost údajů k jinému správci či zpracovateli
• zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů zpracování údajů
• pravidelně testovat zabezpečení osobních údajů

Málokterá ordinace se tak vyhne tomu, aby nakládání s citlivými údaji o zdraví pacientů požadavkům nařízení GDPR přizpůsobila. V případě nedodržení pravidel totiž těm, kdo s daty pacientů chybně operují, hrozí pokuta až do výše 20 milionů eur nebo čtyř procent ročního obratu firmy.

Je tedy české zdravotnictví na přísnější požadavky na práci s citlivými osobními daty pacientů dobře připraveno? Například podle průzkumu společnosti CompuGroup Medical Česká republika (CGM) z února 2018 téměř 62 procent ambulantních lékařů vůbec nevědělo, co nařízení GDPR obnáší (Graf 1), a necelých 67 procent se na něj zatím ani nijak nepřipravovalo (Graf 2).

Graf 1: Vím, co nařízení GDPR obnáší

Graf 2: Již jsem s přípravami na GDPR začal/a

Přitom právě pro menší ambulantní ordinace může být přizpůsobení se přísnějším požadavkům GDPR časově i technologicky náročnou záležitostí. Nutnost kompletní revize zdravotních údajů všech pacientů v kartotéce a souhlasu s nakládáním s jejich údaji, aktualizace počítačové techniky a bezpečnostního softwaru, požadavky na pseudonymizaci a archivaci údajů o pacientovi či šifrování a ochranu dat při jejich posílání dalším lékařům, to vše může kapacitu malé ordinace velmi zatížit.

Lékařům mnohé z toho pomůže vyřešit nástroj CGM eAUDIT, který speciálně pro zavádění GDPR v ambulantních ordinacích vyvinula společnost CGM, lídr na trhu lékařských softwarů. CGM eAUDIT lékařům pomůže nastavit proces ochrany osobních údajů v ordinaci, zorientovat se v osobních údajích pacientů a ukáže jim, jak s nimi mají zacházet, aby je ochránili.

GDPR by pro lékaře rozhodně nemělo být strašákem a další administrativní zbytečností s vysokými náklady. Spíše se jedná o příležitost, jak si udělat si pořádek ve zdravotní dokumentaci a poskytnout tak pacientům takovou míru ochrany, jakou si zaslouží.