Dane związane ze zdrowiem określa się mianem wrażliwych nie tylko ze względu na ochronę prywatności danej osoby, ale również dlatego, że w nieodpowiednich rękach mogą stać się niebezpieczną bronią. Oszuści mogą wykorzystać je chociażby w celu wyłudzenia pieniędzy. Zdecydowanie warto dokładnie sprawdzać, komu udostępniamy takie informacje.
Rozwój technologiczny nie spowalnia, a pandemia znacznie przyspieszyła cyfryzację różnych procesów medycznych. Mowa nie tylko o zwykłych teleporadach, ale również o możliwości uzyskania wyników badań w aplikacji lub na adres e-mail już po kilku godzinach od ich wykonania lub o dostępie do konsultacji z najlepszymi specjalistami z całej Polski.
W Polsce zdarzały się już jednak oszustwa polegające na podszywaniu się np. pod pracowników NFZ wyłudzających informacje zdrowotne. Tym bardziej zalecana jest uważność odnośnie tego, komu przekazujemy swoje dane medyczne oraz upewnienie się, że podmioty przetwarzające takie dane zabezpieczają się przed ich wyciekiem.
Bezpieczeństwo danych medycznych w internecie
Dokumentacja medyczna, zarówno w formie elektronicznej, jak i papierowej, to rodzaj dokumentów, które wymagają szczególnej ostrożności w kwestii bezpieczeństwa. Ogólną definicję ochrony zawiera rozporządzenie MZ z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Prawo wymaga, by zapewnić dostęp wyłącznie dla osób uprawnionych oraz stosować metody i środki ochrony dokumentacji, których skuteczność danym w czasie jest powszechnie uznawana.
– W zależności od tego, czy mówimy o placówce medycznej, czy niemedycznej, obowiązki podmiotów różnią się. Podmioty medyczne są zobowiązane m.in. do podejmowania działań w celu minimalizacji zagrożeń, opracowywania i stosowania procedur zabezpieczania dokumentacji oraz systemów służących do ich przetwarzania czy dbałości o aktualizację stosowanego w placówce oprogramowania. Placówki związane ze zdrowiem, ale nie podlegające pod definicję podmiotów medycznych, są związane przepisami RODO. W praktyce oznacza to, że one również ponoszą odpowiedzialność odpowiedniego zabezpieczenia danych osobowych, do których należy nie tylko imię, nazwisko czy wizerunek, ale także np. dane genetyczne. Mają one charakter unikalny, a więc są charakterystyczne tylko dla konkretnej osoby fizycznej i nie są powtarzalne. Tak samo jest z danymi o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – informuje Paweł Turczyn, koordynator medyczny w Fundacji Saventic, zajmującej się pomocą w diagnostyce chorób rzadkich.
Zgodnie z art. 24 i 25 ustawy o ochronie danych osobowych, na administratorze danych spoczywa również obowiązek informacyjny. Został on stworzony po to, aby na podstawie uzyskanych informacji każda osoba miała możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do udostępnienia swoich danych. Do obowiązków informacyjnych, przewidzianych w art. 24 ustawy należą m.in. poinformowanie o adresie swojej siedziby i pełnej nazwie, poinformowanie o celu zbierania danych, a w szczególności o znanych administratorowi danych osobowych, w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, poinformowanie o prawie dostępu do treści swoich danych oraz ich poprawiania, poinformowanie o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
– Podanie danych umożliwiających zidentyfikowanie administratora danych osobowych jest kluczowe. Jeśli mamy jakiekolwiek wątpliwości, szybko możemy sprawdzić daną organizację w odpowiednim rejestrze, a czasem również zapoznać się z opiniami na jej temat. W polityce prywatności powinny znajdować się ponadto informacje o tym, jakie dokładnie dane będą przetwarzane. Jeśli dane, których oczekuje administrator, są nieadekwatne do wskazywanego przez niego celu, np. prośba o numer konta bankowego w sytuacji, kiedy usługa ma być bezpłatna, w naszej głowie powinna zapalić się lampka.
Prawa pacjenta w internecie i nie tylko
W ramach usług teleinformatycznych, zarówno zdrowotnych jak i wszelkich innych, obowiązuje szereg praw związanych z udostępnianiem danych osobowych. Jest to m.in. prawo do uzyskania informacji, dostępu do danych oraz do otrzymania kopii danych. Możemy w każdym czasie zażądać podania informacji o naszych danych osobowych, które są przechowywane, lub do których organizacja ma dostęp. Na żądanie powinna zostać przedstawiona nieodpłatna kopia danych osobowych podlegających przetwarzaniu.
Innym z praw konsumentów, w tym również pacjentów, jest prawo do wycofania zgody. Za każdym razem, gdy dane są przetwarzane w oparciu o udzielone pozwolenie, mamy prawo je wycofać.