Oglasno sporočilo

Spremembe, ki jih prinaša GDPR v zdravstvo

Čas branja: 4 min
01.03.2018  11:41  Dopolnjeno: 01.03.2018 11:44
Matija Ravnikar je strokovnjak za varstvo podatkov v podjetju SRC Infonet, vodilnem slovenskem ponudniku IT za zdravstvene ustanove. Z njim smo se pogovarjali o tem, kako bosta nova uredba GDPR in prihajajoči ZVOP-2 vplivala na delo bolnišnic, zdravstvenih domov in zasebnih ambulant.
Spremembe, ki jih prinaša GDPR v zdravstvo

Čeprav smo o GDPR v zadnjem času že veliko prebrali, me zanima, ali bi nam lahko za začetek na kratko pojasnili, kaj prinaša GDPR in zakaj v zadnjem času vzbuja toliko pozornosti.

GDPR ali General Data Protection Regulation je splošna uredba o varstvu podatkov, ki stopa v veljavo 25. maja letos. Največja sprememba, ki jo prinaša, je prav gotovo močnejši poudarek na zaščiti pravic posameznikov. Uredba želi posameznikom omogočiti učinkovit in predvsem enostaven dostop do osebnih podatkov, ki jih organizacije hranijo in obdelujejo. Tako bo lahko posameznik pridobil res dober vpogled v to, katere njegove osebne podatke hranijo, kje poteka hramba, kdo ima do podatkov dostop in za kakšne namene jih uporablja. Poseben poudarek je tudi na potencialni izmenjavi osebnih podatkov med različnimi upravljavci, ki se po novi zakonodaji ne sme več zgoditi brez vednosti posameznika, iznos teh podatkov v tretje države pa je dovoljen le v izjemnih primerih.

Torej se uredba dotika takorekoč vseh podjetij v Sloveniji?

Tako je, dotika se prav vseh. Dejstvo pa je, da ima Slovenija že sedaj bolj restriktivno ureditev varstva osebnih podatkov kot nekatere druge države EU. Posledično spremembe, ki jih prinaša uredba GDPR za podjetja, ki delujejo na domačem trgu, niti ne bodo tako drastične. Potrebno pa je seveda upoštevati tako vsa določila veljavne področne zakonodaje kot tudi obstoječega ZVOP, Zakona o varstvu osebnih podatkov.

Če se nekoliko bolj osredotočim na zdravstvene ustanove, s katerimi ima največ opravka SRC Infonet, morajo te upoštevati določila tako pri obdelavi podatkov pacientov kot pri upravljanju z lastnimi zbirkami podatkov, ki jih vodijo interno. Ena od pomembnih novosti, ki jih uredba prinaša, je tudi imenovanje pooblaščene osebe za varstvo podatkov, ki je za vse upravljavce ali obdelovalce podatkov v javnem sektorju obvezno.

Kdo mora torej imenovati pooblaščeno osebo za varstvo osebnih podatkov?

Poenostavljeno lahko zapišemo, da ustanove v javnem sektorju vsekakor, zasebne ambulante pa načeloma ne, razen v redkih primerih. Zdravniki zasebniki so, vsaj po priporočilih zadevne delovne skupine, ki deluje pod okriljem Evropske komisije, iz te obveze lahko izvzeti. Kar pa seveda ne pomeni, da ni treba tudi njim preveriti, kako potekajo procesi obdelave osebnih podatkov v njihovih ambulantah in po potrebi to obdelavo prilagoditi dopolnjenim smernicam, ki jih nalaga nova zakonodaja, ter se tako izogniti morebitnim nevšečnostim. Pri tem pa jim seveda lahko pomaga prav pooblaščena oseba za varstvo podatkov.

Torej so prihajajoče spremembe predvsem povezane z informacijskimi sistemi, ki te podatke hranijo? Bodo zato ravno informacijski sistemi tisti, kjer bo potrebnih največ sprememb?

Kot vodilni ponudnik zdravstvenih informacijskih sistemov v Sloveniji se dobro zavedamo, kako pomembno je, da našim strankam omogočimo kar najbolj varno delo s podatki pacientov. Zato že sedaj zagotavljamo skladnost z nacionalno zakonodajo in mednarodnimi standardi. Nova zakonodaja, kot rečeno, zaostruje pogoje za obdelavo občutljivih osebnih podatkov, zato bodo seveda tudi v naših informacijskih rešitvah potrebne določene spremembe oziroma dopolnitve.

Tako je npr. v novi zakonodaji poudarjena t.i. pravica do vpogleda. V preprostem jeziku to pomeni, da ima vsak posameznik, v tem primeru pacient, pravico, da zahteva vpogled v vse osebne podatke, ki jih ustanova hrani in obdeluje, ustanova pa mu mora te podatke zagotoviti v pregledni obliki. Poleg teh podatkov mora ustanova tudi jasno določiti, kdo vse do teh podatkov dostopa in s kakšnim namenom.

Torej bo za zagotovitev skladnosti zdravstvenih ustanov z GDPR potrebno ne le tehnično poznavanje informacijskih sistemov, temveč tudi dobro razumevanje pravnih podlag?

V veliko pomoč je, če imaš kot vodilni ponudnik IT v zdravstvu izkušnje z delovnimi procesi v ustanovah. Naš širok spekter izkušenj, povezanih s procesi v zdravstvu, je seveda ključen za razumevanje, kje so vrzeli, do katerih lahko pride pri obdelavi osebnih podatkov v zdravstvu. Poznavanje zakonodaje pa služi kot opomnik, kje moramo biti pri razvoju in dopolnitvah naših obstoječih rešitev še posebej pozorni.

Ali razmišljate o novih zahtevah v GDPR tudi pri razvoju novih rešitev?

Vsekakor. Pri razvoju naše trenutno najbolj sveže rešitve, spletne aplikacije za naročanje terminov doZdravnika.si, smo se že v sami zasnovi držali principa privacy by design. Zato smo jasno določili, katere osebne podatke hranimo in za kakšen namen jih obdelujemo. O tem obvestimo uporabnike že pred prvo prijavo, osebnih podatkov pa ne uporabljamo za namene, ki niso striktno nujni za zagotavljanje ključnih storitev. Pod nobenim pogojem pa jih ne posredujemo tretjim podjetjem. Če pa pacient želi, lahko na željo vse njegove podatke trajno izbrišemo, kar je tudi skladno s prihajajočo pravico do pozabe.

Lahko poveste še kaj več o t.i. pravici do pozabe?

Upravljavec je pod določenimi pogoji dolžan brez nepotrebnega odlašanja na zahtevo posameznika izbrisati vse osebne podatke v zvezi njim. Je pa glavni pravni temelj za obravnavo podatkov v zdravstvu Zakon o zbirkah podatkov v zdravstvu, ZZPPZ, ki je nadrejen GDPR in prihajajočemu ZVOP-2. To pomeni, da v zdravstvu posamezniki pravice do pozabe, ki jo določa GDPR, ne morejo uveljavljati v celoti.

Zakonodaja namreč izvajalcem zdravstvenih storitev točno določa, katere podatke morajo hraniti in koliko časa je ta hramba obvezna. Po poteku zakonskih rokov pa bo izbris podatkov seveda treba omogočiti tudi v zbirkah podatkov zdravstvenih ustanov.

Ali lahko pacient poleg izbrisa zahteva tudi spremembo lastnih podatkov?

Seveda, temu rečemo pravica do ugovora obdelave osebnih podatkov. V zdravstvu je, podobno kot pravica do pozabe, pravica do ugovora obdelave omejena, ko je govora o ključnih podatkih o zdravstvenem stanju pacienta. Slednji ne more pričakovati, da zdravniki ne bodo dostopali do podatkov, ki so lahko ključni za postavitev prave diagnoze ali za uspešno zdravljenje stanja, oziroma da bodo slednje spreminjali v neskladju z zdravniško prakso. Lahko pa postavi določene omejitve glede podatkov, ki niso ključni za zdravljenje.

Pa lahko pacient svoje podatke prenese drugam?

Pri prenosu podatkov gre za nekoliko trši oreh. Zdravstveni podatki so namreč zelo specifični, trenutno pa ne obstaja točno predpisana oblika za prenos. Poleg tega je nabor tovrstnih podatkov zelo raznolik in praviloma vsaj malenkostno drugačen od ustanove do ustanove.

V podjetju SRC Infonet se trudimo, da bomo razvili takšno rešitev, ki bo omogočala vpogled v nabor podatkov, ki bo hkrati smiseln in berljiv posamezniku, prav tako pa bo to tudi podlaga za prenos osebnih podatkov med različnimi ustanovami. Prenos podatkov bomo implementirali skladno z zakonodajo in z obzirom na preprostost postopka, ki ne bo zahteval nesorazmerno zahtevnih ravnanj ob vsaki zahtevi za prenos podatkov. S tem bomo tudi posameznikom olajšali dostop do njihovih osebnih podatkov in jim omogočili kar največjo svobodo pri upravljanju slednjih.

Kakšne kazni pa so predvidene za kršitve novih zahtev?

Čeprav je uredba GDPR v slovenski zakonodaji neposredno uporabna, obstajajo določene razlike med to direktivo EU in prihajajočem ZVOP-2, ki je trenutno še v fazi osnutka. To pomeni, da bo neizogibno prišlo do sivih območij pri razlagi zakonodaje v praksi in prav gotovo bodo nekateri od teh sporov prešli v domeno sodišč, ki bodo odločila, kako točno je potrebno slediti novim predpisom.

Lahko pa predpostavljamo, da bo Urad Informacijskega pooblaščenca do konca leta 2018 deloval predvsem preventivno in večinoma opozarjal na morebitne nepravilnosti, da jih lahko učinkovito odpravite in se s tem izognete težavam v bodoče. Glede na predvideno višino predpisanih kazni pa ni pričakovati, da bi upravljavci zbirk osebnih podatkov novo zakonodajo preprosto prezrli.