Modalitatea de realizare a secțiunii:
În partea teoretică a ghidului dorința a fost să se creeze un interes și o conștientizare că activitatea medicală se bazează pe standarde juridice și etice încorporate organic prin intermediul unui mecanism exterior esenței activității medicale: protecția datelor cu caracter personal.
În această parte a ghidului se impune aprofundarea, în sensul precizării stricte a principiilor în materia protecției datelor cu caracter personal, așa cum acestea figurează în legislația de protecție a datelor. Ca urmare, această parte va avea un caracter și mai accentuat juridic. Din acest motiv, pentru a fi cât mai firesc înțelese, principiile sunt însoțite în mod constant de exemple care nu sunt neapărat prezentate în limbaj juridic, dar sunt realizate după o formulă logică, comună inclusiv domeniului juridic.
Am considerat util să se facă trimitere strict la o legislație corespunzătoare, însă aceste referiri trebuie înțelese doar ca un instrument doveditor al principiilor expuse, util în special atunci când este confruntat cineva cu suportul legal al problematicilor de protecție a datelor medicale.
Referitor la legislația de protecție a datelor, ghidul în mod intenționat nu urmărește să dezvolte problematici extrem de specifice domeniului juridic, cum ar fi relația dintre normele internaționale, normele Uniunii Europene și legislația națională; principii de interpretare a normelor juridice; rolul precedentelor judiciare asupra înțelegerii principiilor etc. Am considerat că acest ghid are ca adresabilitate în special practicienii și profesioniștii din sistemul medical și din sănătate, astfel că o consultanță strictă de specialitate în domeniul protecției datelor trebuie obținută prin a apela la specialiști.
Scopul principal al ghidului este orientarea și încorporarea conștientă a standardului de protecție a datelor în activitatea medicală, astfel încât să fie obținute rezultate, precum: îmbunătățirea cunoștințelor, abilităților și performanțelor în activitatea medicală; îmbunătățirea și garantarea securității și calității profesiei și activității medicale; creșterea nivelului de comunicare, de cooperare și de lucru în echipă; menținerea încrederii în activitatea medicală și în profesioniștii din sectorul medical, atât din partea publicului larg cât și în special în relația dintre medic și pacient. Din perspectiva protecției datelor personale, una dintre consecințele parcurgerii ghidului este ridicarea progresivă dar constantă a conformității cu Regulamentul General privind Protecția Datelor, deoarece acesta stabilește implicit obligația de instruire pentru operatorii de date (ex. unități medicale – spitale, clinici, cabinete medicale ș.a.).
PRINCIPII DE PRELUCRARE A DATELOR MEDICALE
I. Un prim mod de abordare a datelor medicale este acela care ia în considerare contactul direct cu acestea și maniera în care trebuie ele prelucrate. De aceea, într-o activitate medicală, trebuie să identificăm persoanele implicate în colectarea datelor, organizarea lor, valorificarea lor prin toate modalitățile. Medicul rămâne principalul personaj care generează și fructifică aceste date, însă activitatea presupune intervenția multor altor persoane, precum asistenți medicali, personal administrativ etc. Răspunderea pentru aceste date revine operatorului de date (spitalului, cabinetului medical sau oricărei alte forme juridice de organizare a activității), însă persoanele fizice care lucrează cu aceste date în mod direct și palpabil trebuie să cunoască bine regulile de urmat pentru prelucrarea datelor cu caracter medical. Primul principiu a fost dezvoltat și în partea introductivă a ghidului, însă aici este reluat în contextul „arhitecturii” de ansamblu a principiilor de protecție a datelor.
Orice persoană care prelucrează date referitoare la sănătate trebuie să respecte următoarele principii.
Respectarea acestui principiu va asigura medicului stabilirea unei relații de încredere cu pacientul, va asigura calitatea și securitatea datelor medicale și va conduce la rezultate medicale de calitate.
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. a), dar ele este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată. Astfel vorbim despre:
- Articolul 308 al legii 95/2006 stabilește obligația generală de prelucrare a datelor în conformitate cu prevederile legale, obligație care aparține cabinetelor medicale ambulatorii ale medicilor de familie şi de alte specialități, centre de diagnostic și tratament, centre medicale, centre de sănătate, laboratoare, precum și prin alte unități sanitare publice și private, unităților sanitare publice şi private cu paturi.
- Articolul 40 al Legii 95/2006 stabilește temeiul legal al unei situații specifice de prelucrare, precum aceea de păstrare a datelor privind sănătatea de către autoritățile de sănătate publică, cu scopul întocmirii de statistici și limitează utilizarea lor pentru alte scopuri, dacă nu există o dispoziție legală în acest sens, consimțământul persoanei vizate, protejarea unui interes vital sau a unui interes public major, ori necesitatea efectuării urmăririi penale.
- Articolul 108 al Legii 95/2006 are în vedere stabilirea regulilor de înființare și organizare a spitalelor de urgență, context în care stabilește norma de organizare pe linia de colectare a datelor, precizând explicit că modalitățile de colectare se vor stabili cu respectarea prevederilor legale în vigoare privind protecția datelor cu caracter personal.
- Articolul 138 al Legii 95/2006 impune obligații specifice furnizorilor de servicii medicale de specialitate în ceea ce privește utilizarea datelor colectate rezultate din activitatea proprie, raportările de date către autoritățile publice și arhivarea acestora, conform prevederilor legale.
- Articolul 145 al Legii 95/2006 stabilește interdicția generală de prelevare de organe, ţesuturi şi celule de la potenţiali donatori minori în viaţă, cu excepţia cazurilor prevăzute de această lege, stabilind garanții specifice acestei situații, garanții situate la nivelul consimțământului minorilor.
- Articolul 3465 al Legii 95/2006 referitor la DES, stabilește regula că Prelucrarea datelor cu caracter personal în cadrul DES, ca parte componentă a Platformei informatice din asigurările de sănătate, se realizează cu respectarea prevederilor Regulamentului General privind Protecția Datelor.
- Articolul 3466 al Legii 95/2006 cuprinde reguli privind conținutul dosarului medical și condițiile de accesare a acestuia, în special privind echitatea procedurilor bazate pe consimțământul pacientului.
- Articolele 3467, 3468, 3469 ale Legii 95/2006 stabilesc o serie de reguli privind accesul la datele și informațiile din DES, cazuri de acces fără a fi necesar consimțământul persoanei vizate și unele concepte specifice DES. Toate acestea sunt condiționate de respectarea prevederilor RGPD.
- Articolul 34611 al Legii 95/2006 ne indică concret obligația medicilor de a respecta principiile de deontologie și etică medicală, cu respectarea legii și a normelor de protecție a datelor cu caracter personal, ori de câte ori utilizează DES al pacienților. Totodată , se impune obligația asigurării dreptului la informare și a tuturor drepturilor specifice pacienților.
- Articolele 661 și 662 ale Legii 95/2006 stabilesc condițiile pentru exprimarea consimțământului informat, inclusiv situațiile de excepție și răspunderile aferente medicilor, asistenților medicali sau moașelor pentru nerespectarea prevederilor privind consimțământul informat.
- Articolul 696 al Legii 95/2006 evidențiază un caz distinct de prelucrare a datelor medicale, motivat de scopul analizelor și monitorizării serviciilor de sănătate decontate din fondul de asigurări de sănătate. Instituția abilitată prin lege pentru colectarea datelor și prelucrarea lor în scopurile menționate este INMSS.
- Articolul 910 al Legii 95/2006 stabilește principalele obligații de informare a pacienților de către furnizorii de servicii medicale, informații necesare pentru asigurarea consimțământului informat, asigurarea căilor de recuperare a unor prejudicii de către pacienți, să asigure nediscriminatoriu asistență medicală, inclusiv transfrontalieră și să respecte confidențialitatea datelor cu caracter personal în conformitate cu prevederile legale în materie;
- Legea drepturilor pacientului nr. 46/2003, Contractul Cadru și Normele de aplicare ale COCA – pentru contractele realizate de furnizorii de servicii medicale – medicină de familie, ambulatoriu de specialitate, spitale, farmacii, îngrijiri la domiciliu și îngrijiri paliative,
Exemplu de bună practică în respectarea principiului legalității, echității și transparenței prelucrării datelor medicale de către un medic.
Un medic solicită în mod explicit consimțământul pacienților înainte de a utiliza datele lor medicale într-un studiu științific. Medicul ar trebui să informeze pacienții despre scopul studiului, modul în care vor fi utilizate datele lor personale, drepturile lor de acces, rectificare și ștergere a datelor și să le ofere opțiunea de a se retrage din studiu în orice moment.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. b), dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată.
Unul dintre exemplele ilustrative este reglementat de articolul 34612 al Legii 95/2006 și se referă la refuzul expres al pacienților de a li se utiliza dosarul electronic de sănătate, precum și la utilizarea datelor din DES în scopuri de arhivare în interes public, cercetare științifică și scopuri statistice. Potrivit acestui articol pacienții care în mod expres refuză să accepte utilizarea DES, datele acestora nu vor putea fi introduse în DES, iar cele deja introduse pot fi complet anonimizate dacă pacientul solicită acest lucru, ceea ce înseamnă că nu vor mai putea fi corelate electronic cu identitatea pacientului. Această situație, chiar reglementată, evidențiază că natura sensibilă a datelor medicale, justifică necesitatea ca datele să fie anonimizate dacă au fost introduse în DES, deoarece altfel principiul legitimității scopurilor prelucrării datelor nu ar fi respectat, deoarece acordarea îngrijirilor medicale nu poate fi condiționată de „acordul” pacientului de a i se utiliza datele din DES.
Exemplu de bună practică.
O bună practică în colectarea datelor personale în activitatea medicală ar putea fi utilizarea unui sistem de management al pacienților într-un spital. În acest context, scopurile determinate, explicite și legitime ale colectării datelor personale ale pacienților ar putea include:
- Îmbunătățirea calității îngrijirii medicale oferite pacienților.
- Monitorizarea și prevenirea potențialelor riscuri și incidente în domeniul sănătății.
- Ușurarea comunicării între personalul medical și pacienți.
- Managementul eficient al resurselor spitalicești.
Astfel, datele personale colectate ar trebui să fie limitate la informațiile necesare pentru atingerea acestor scopuri, precum numele, adresa, numărul de telefon, data nașterii, istoricul medical și diagnosticul. Datele nu ar trebui să fie prelucrate în moduri care nu sunt compatibile cu aceste scopuri, cum ar fi comercializarea sau utilizarea acestora în cercetări care nu sunt legate de îmbunătățirea sănătății pacienților.
Cu toate acestea, măsurile de siguranță ar trebui să fie sporite, informarea pacienților trebuie să fie extrem de completă și transparentă, iar după atingerea acestui scop principal, acela al îngrijirilor medicale spre exemplu, informațiile ar trebui anonimizate în cel mai scurt timp.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. c) coroborat cu articolul 9, dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată. Astfel, vorbim despre:
- Articolul 309 al Legii 95/2006 reglementează relația dintre ipoteza telemedicinii și drepturile pacientului, impunând garanții de informare a acestuia asupra a serviciilor disponibile, calității actului medical în contextul mijloacelor tehnice utilizate pentru transmisia de date, necesitatea garantării consimțământului liber și informat al pacientului. Pentru mai multe detalii, a se vedea Orientarea nr. 9 cu privire la oferirea de servicii de telemedicină
- Articolul 101 al Legii 95/2006 reglementează asigurarea asistenței medicale private de urgență, pe baza consimțământului beneficiarului, chiar și atunci când aceasta se acordă pe baza unui contract cu asigurătorul privat.
- Articolele 144 – 154 ale Legii 95/2006 stabilesc garanții specifice privind donarea de organe, țesuturi și celule de origine animală, astfel încât să fie asigurat consimțământul informat și liber al donatorului, demonstrarea și asigurarea legalității întregii proceduri. Sunt menționate inclusiv condițiile de prelevare de la persoane decedate.
- Articolul 230 al Legii 95/2006 reglementează relația dintre asigurați, pe de o parte și asigurători și furnizorii de servicii medicale pe de altă parte. Printre drepturile asiguraților se numără și dreptul de a li se garanta confidenţialitatea privind datele, în special în ceea ce priveşte diagnosticul şi tratamentul, precum și dreptul la informaţie în cazul tratamentelor medicale.
- Articolele 3461 și următoarele ale Legii 95/2006 reglementează dosarul electronic de sănătate al pacientului, stabilind că acesta conține date și informații clinice, biologice, diagnostice şi terapeutice, personalizate, acumulate pe tot parcursul vieții pacienților. Se stabilesc situațiile de prelucrare electronică a datelor, când nu este necesar consimțământul pacientului, cum este cazul etapei de constituire a acestuia declarându-se activitate de utilitate publică de interes național, precum și situațiile de utilizare a datelor, bazate pe consimțământul pacientului. Sunt stabilite în detaliu categoriile de date prelucrate, procedurile de prelucrare, răspunderea pentru securitatea și încărcarea datelor în DES.
- Articolele 653 și următoarele ale Legii 95/2006 reglementează problematica răspunderii civile a personalului medical, a psihologilor şi a furnizorilor de servicii conexe actului medical acordate persoanelor diagnosticate cu tulburări din spectrul autist în cadrul programelor naționale de sănătate curative, în toate cazurile această răspundere angajându-se atunci când nu s-au respectat condițiile prevăzute de lege pentru un consimțământ informat, dacă nu ne găsim în situația unor excepții în care consimțământul trebuie acordat de reprezentanții legali ai pacientului.
- Potrivit articolului 661 al Legii 95/2006 vârsta legală pentru exprimarea consimțământului informat este de 18 ani. Minorii își pot exprima consimțământul în absența părinților sau reprezentantului legal, în următoarele cazuri:
- a)situaţii de urgenţă, când părinţii sau reprezentantul legal nu pot fi contactaţi, iar minorul are discernământul necesar pentru a înţelege situaţia medicală în care se află;
- b)situaţii medicale legate de diagnosticul şi/sau tratamentul problemelor sexuale şi reproductive, la solicitarea expresă a minorului în vârstă de peste 16 ani.
În vederea obţinerii acordului scris al pacientului/reprezentantului legal al acestuia, după caz, psihologul are obligaţia să prezinte pacientului/reprezentantului legal al acestuia informaţii la un nivel ştiinţific rezonabil pentru puterea de înţelegere a acestuia.
Informaţiile trebuie să conţină: metodele utilizate, riscuri, alternative, modul de desfăşurare, frecvenţa, modul în care se poate retrage consimţământul dacă se doreşte acest lucru, limitele confidenţialităţii, inclusiv date privind posibilitatea înregistrării audio-video.
Exprimarea acordului informat este condiţionată de existenţa capacităţii depline de exerciţiu a persoanei cu tulburări din spectrul autist. Modelul de formular pentru consimțământ este stabilit prin Ordin al Ministrul Sănătății, tocmai pentru a garanta în mod specific nivelul de obligativitate și natura sensibilă a datelor medicale.
Exemplu de bună practică privind respectarea principiului prelucrării datelor medicale pe baza consimțământului informat, liber și demonstrabil.
Spitalul X implementează un sistem de management al informațiilor medicale pentru a îmbunătăți calitatea serviciilor medicale și a eficientiza procesele interne. Înainte de a prelucra datele medicale ale pacienților, spitalul obține consimțământul scris al pacienților sau al reprezentanților legali ai acestora, în care sunt incluse informații detaliate despre scopul prelucrării datelor, drepturile persoanelor vizate și modalitățile de exercitare a acestor drepturi.
Spitalul limitează accesul la datele medicale doar personalului autorizat și prelucrează datele numai în măsura în care este necesar pentru scopurile medicale stabilite. De asemenea, spitalul implementează măsuri de securitate adecvate pentru a proteja datele pacienților de accesul neautorizat, pierdere sau distrugere.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Aceasta este o regulă care îmbunătățește managementul relației cu beneficiarul serviciilor de îngrijire medicală, dar reprezintă și o garanție a exactității datelor, reducând riscul apariției unor date inexacte și a erorilor medicale. Principiul este asumat la nivel european prin Recomandarea Comitetului de Miniștri a Consiliului Europei privind prelucrarea datelor de sănătate.
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. a) coroborat cu articolul 6 alin. 4, dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată.
- Spre exemplu, potrivit articolului 3461 al Legii 95/2006, Dosarul electronic de sănătate al pacientului se constituie cu ocazia transmiterii primului document medical al acestuia în DES de către medicii care își desfășoară activitatea în unitățile prevăzute la art. 30 alin. (1), fără consimțământul pacientului, realizarea și implementarea acestuia fiind de utilitate publică de interes naţional.
- Potrivit articolului 3462 utilizarea dosarului electronic de sănătate are drept scop prioritar creşterea calităţii şi eficienţei actului medical prin accesul imediat la date şi informaţii medicale, precum şi furnizarea de date şi informaţii statistice necesare politicilor de sănătate, cu implicarea pacientului ca factor activ al protejării şi promovării propriei sănătăţi prin completarea informaţiilor privind antecedentele personalei fiziologice şi patologicei regim de viaţă, precum şi prin consultarea directă a datelor medicale proprii din dosarul său de sănătate.
Exemplu de bună practică
Într-un centru de urgențe medicale, un pacient este adus în stare gravă și nu poate comunica sau furniza informații despre starea sa medicală. În acest caz, medicul de gardă decide să obțină informațiile medicale necesare ale pacientului de la medicul de familie al acestuia, pentru a asigura un tratament adecvat și în conformitate cu principiile de protecție a datelor.
Centrul de urgențe medicale are politici și proceduri clare privind accesarea datelor medicale ale pacienților în astfel de situații și garantează că acestea sunt respectate. De asemenea, centrul păstrează un registru al accesărilor și prelucrărilor efectuate în astfel de cazuri, pentru a putea fi verificate ulterior și a se asigura că datele personale ale pacienților sunt utilizate numai în scopul tratamentului lor medical.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. c) și d), dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată.
- Articolele 280 și 281 ale Legii 95/2006 stabilește printre atribuțiile CNAS actualizarea Registrului unic de evidență a asiguraților, ceea ce dă expresie garantării principiului exactității datelor cuprinse în acest registru. Această atribuție se realizează pe cale ierarhică, pornind de la competențele teritoriale ale caselor de asigurări de a actualiza datele și a le transmite către CNAS.
- Potrivit articolului 322 al Legii 95/2006 stabilirea calității de asigurat de către CNAS se face pe baza unor date puse la dispoziție de autoritățile publice pe baza unui protocol. Același protocol stabilește și termenele la care datele sunt actualizate în Platforma informatică din asigurările de sănătate. Chiar dacă același articol stabilește că responsabilitatea pentru corectitudinea datelor revine autorităților publice care le transmit, realitatea este că în temeiul articolului 5 alin. 2 din RGPD răspunderea aparține și CNAS sau caselor de asigurări de sănătate.
- O situație asemănătoare este prevăzută de articolul 414 al Legii 95/2006, acesta stabilind că printre atribuțiile CMR se numără și aceea de a actualiza permanent Registrul unic al medicilor.
- Totodată, articolul 5121 CMR are atribuția actualizării Registrului unic al medicilor stomatologi din România, informațiile cuprinse în acest titlu fiind colectate, verificate, introduse și actualizate de colegiile teritoriale. Faptul că legea stabilește responsabilitatea pentru realizarea acestor operaţiuni privind membrii înscrişi în colegiul teritorial aparține colegiilor teritoriale, din perspectiva responsabilității față de standardul de protecție a datelor încorporat de RGPD, responsabilitatea revine și CMR.
Exemplu de bună practică în actualizarea datelor medicale:
O clinică medicală privată implementează un sistem de gestionare electronică a fișelor medicale ale pacienților. Acest sistem include un mecanism automat de revizuire și actualizare a informațiilor medicale ale pacienților. De exemplu, atunci când un pacient își efectuează analizele de sânge în laborator, rezultatele sunt transmise direct în sistemul informatic al clinicii și sunt adăugate automat la fișa medicală electronică a pacientului.
Clinica are politici și proceduri clare pentru personalul medical, care detaliază pașii necesari pentru a actualiza informațiile medicale ale pacienților. Aceste politici includ instrucțiuni cu privire la revizuirea periodică a informațiilor, verificarea acurateței și corectarea oricăror erori. În plus, clinica instruiește în mod regulat personalul medical în ceea ce privește aceste proceduri, pentru a se asigura că datele medicale ale pacienților sunt actualizate și gestionate corespunzător.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. f), dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată.
- Articolul 30 al Legii 95/2006, referitor la asistența medicală, stabilește în mod specific pentru cabinete medicale ambulatorii ale medicilor de familie şi de alte specialităţi, centrele de diagnostic şi tratament, centrele medicale, centrele de sănătate, laboratoare, precum şi pentru alte unităţi sanitare publice şi private obligația asigurării condiţiilor de securitate şi confidenţialitate în procesul de transmitere a datelor medicale care urmează a fi introduse în dosarul electronic de sănătate a pacientului. Potrivit articolului 308 această obligație este pe tot parcursul procedurilor de colectare, prelucrare, utilizare şi stocare a datelor personale.
- Potrivit articolului 3464 al Legii 95/2006, sistemul DES poate face obiectul interoperabiIităţii cu registrele naționale de sănătate, în condiţiile legii.
- Potrivit articolului 3465 al Legii 95/2006, în ceea ce privește prelucrarea datelor în sistemul DES, CNAS are obligația de a adopta măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel corespunzător de securitate şi confidenţialitate a datelor, în acord cu prevederile art. 32 din Regulamentul general privind protecţia datelor.
- Importanța asigurării securității sistemului DES este reflectată prin aceea că, potrivit articolului 3466 al Legii 95/2006, datele, informaţiile şi procedurile operaţionale necesare utilizării şi funcţionării DES se aprobă prin ordin al ministrului sănătăţii şi al preşedintelui CNAS, cu avizul ministerelor şi instituţiilor din sistemul naţional de apărare, ordine publică şi siguranţă naţională, respectiv Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Ministerul Justiţiei, Serviciul Român de Informaţii, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie şi Pază, în conformitate cu prevederile prezentei legi.
- La articolul 3467 al Legii 95/2006 sunt detaliate următoarele măsuri de securitate privind accesul pacienților sau al reprezentanților legali ai acestora la datele şi informaţiile din DES: stabilirea unei matrici de securitate şi a parolei de acces; exclusiv prin intermediul cardului naţional de asigurări sociale de sănătate cu codul PIN asociat acestuia şi a parolei de acces; eliberarea matricei de securitate se face, pe baza solicitării pacienților, de către medicii care deţin un certificat calificat eliberat în condiţiile prevăzute de lege; parola de acces este personalizată de fiecare pacient, este strict confidenţială, fiind un element de securitate cunoscut numai de pacient, şi se utilizează în cadrul DES atât pentru cardul naţional de asigurări de sănătate, cât şi pentru matricea de securitate.
- Articolul 933 al Legii 95/2006 cuprinde referințe specifice asigurării securității dispozitivelor medicale și prelucării datelor în conformitate cu RGPD. Astfel, acest articol stabilește pentru utilizatorii dispozitivelor medicale următoarele obligații: de a utiliza dispozitivele medicale numai în scopul pentru care au fost realizate; de a se asigura că dispozitivele medicale sunt utilizate numai în perioada de valabilitate a acestora, când este cazul, şi că nu prezintă abateri de la performanţele funcţionale şi de la cerinţele de securitate aplicabile;
Exemplu de bună practică privind măsurile de securitate adecvate pentru protecția datelor medicale:
Un spital implementează un sistem de management electronic al fișelor medicale ale pacienților și pune în aplicare următoarele măsuri de securitate pentru a proteja datele cu caracter personal și pentru a preveni accesul accidental sau neautorizat, distrugerea, pierderea, utilizarea, indisponibilitatea, inaccesibilitatea, modificarea sau divulgarea:
- Criptare: Datele medicale ale pacienților sunt criptate în repaus și în tranzit, utilizând tehnologii de criptare moderne și puternice. Acest lucru asigură că informațiile rămân confidențiale și inaccesibile pentru persoanele neautorizate.
- Controlul accesului: Spitalul implementează o politică strictă de control al accesului, care prevede autentificarea cu doi factori pentru a accesa fișele medicale ale pacienților. Personalul medical are acces doar la informațiile necesare îndeplinirii responsabilităților lor profesionale și în conformitate cu principiul accesului minim.
- Audit și monitorizare: Sistemul de management al fișelor medicale include funcționalități de audit și monitorizare care înregistrează toate accesările și modificările fișelor medicale. Acest lucru permite identificarea rapidă a oricăror incidente de securitate și a oricăror încălcări ale politicilor de protecție a datelor.
- Copii de rezervă și planuri de recuperare: Spitalul efectuează copii de rezervă regulate ale datelor medicale ale pacienților și păstrează aceste copii într-o locație sigură și separată. Spitalul are, de asemenea, un plan de recuperare în caz de dezastre care asigură restaurarea rapidă și sigură a datelor în cazul pierderii sau distrugerii acestora.
- Pregătirea personalului și actualizarea politicilor: Spitalul asigură instruirea continuă a personalului medical în ceea ce privește politicile și procedurile de protecție a datelor și de securitate informatică. Aceste politici și proceduri sunt revizuite și actualizate periodic pentru a ține pasul cu evoluțiile tehnologice și pentru a aborda riscurile emergente.
- Evaluarea riscurilor și testarea de penetrare: Spitalul efectuează evaluări periodice ale riscurilor în ceea ce privește securitatea datelor medicale și utilizează teste de penetrare realizate de terți independenți pentru a identifica și remedia vulnerabilitățile în sistemul său de management al fișelor medicale.
Prin punerea în aplicare a acestor măsuri, spitalul se asigură că datele medicale ale pacienților sunt protejate în mod adecvat, în conformitate cu principiul menționat.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
Texte legale aplicabile. RGPD impune respectarea și aplicabilitatea acestui principiu la articolul 5 alin. 1 lit. f), dar și acesta este precizat în mod specific în numeroase secvențe și ipoteze avute în vedere de legislația națională, în special de Legea 95/2006 privind reforma în domeniul sănătății, republicată.
- Articolul 309 al Legii 95/2006 stabilește obligația unităților din sistemul de sănătate de a respecta drepturile pacienților, în special dreptul la informare, de a-şi exprima consimţământul în mod liber şi informat, dreptul la confidențialitate, garantarea securității sistemelor.
- În plus, drepturile pacienților sunt reglementate distinct de Legea drepturilor pacientului nr. 46/2003, cu modificările şi completările ulterioare.
- În mod detaliat Legea 95/2006, la articolul 89, enumeră categoriile de obligații care revin personalului şi cabinetelor de medicină de familie, o categorie distinctă fiind aceea a obligaţiilor faţă de pacienţi – prin îndeplinirea prevederilor specifice din actele normative care reglementează obligaţiile de etică şi deontologie profesională, precum şi din legislaţia privind drepturile pacientului, obligaţiile faţă de sistemul asigurărilor sociale de sănătate.
- Potrivit articolului 146 al Legii 95/2006 în cazul prelevării de organe, ţesuturi sau celule, drepturile pacienților sunt configurate distinct, demonstrarea respectării acestora fiind obligație concretizată prin întocmirea unui formular specific aprobat prin ordin al ministrului sănătăţii.
- În mod distinct, la articolul 165, sunt avute în vedere drepturile pacienților în contextul desfăşurării activităţilor de învăţământ medico-farmaceutic, postliceal, universitar şi postuniversitar, precum şi al activităţilor de cercetare ştiinţifică medicală.
- Printre drepturile pe care le au asigurații, articolul 230, enumeră dreptul la confidențialitate privind datele, în special în ceea ce priveşte diagnosticul şi tratamentul; dreptul la informaţie în cazul tratamentelor medicale.
- Articolul 234 stabilește dreptul fiecărui asigurat de a fi informat cel puţin o dată pe an, prin casele de asigurări, asupra serviciilor de care beneficiază, precum şi asupra drepturilor şi obligaţiilor sale.
- Articolul 421 al Legii 95/2006 stabilește obligaţiile membrilor CMR, ce decurg din calitatea lor specială de medici, printre care figurează și aceea de a respecta drepturile pacienților.
Exemplu de bună practică în prelucrarea datelor medicale, respectând drepturile persoanei ale cărei date sunt prelucrate:
O policlinică implementează un portal online securizat pentru pacienți, care le permite acestora să își gestioneze propriile date medicale și să își exercite drepturile în conformitate cu principiile protecției datelor. Următoarele măsuri sunt luate pentru a asigura respectarea drepturilor pacienților:
- Accesul la date: Pacienții se pot autentifica în portalul online securizat, utilizând un sistem de autentificare cu doi factori, pentru a accesa și vizualiza propriile lor fișe medicale.
- Dreptul la informare: La prima vizită a unui pacient în clinică, acesta primește un document informativ care explică în detaliu modul în care datele sale medicale vor fi prelucrate, scopul prelucrării, drepturile pe care le are și cum să le exercite.
- Rectificarea datelor: Pacienții pot solicita rectificarea oricăror date incorecte sau incomplete prin portalul online sau prin contactarea directă a clinicii. Personalul clinic este instruit să se asigure că astfel de solicitări sunt tratate în mod corespunzător și în timp util.
- Opoziție: Pacienții au dreptul să se opună prelucrării datelor lor medicale în anumite circumstanțe, cum ar fi atunci când datele sunt utilizate în scopuri de marketing. Policlinica respectă aceste solicitări și își actualizează politica de confidențialitate pentru a reflecta dreptul pacienților de a se opune.
- Ștergerea datelor: Pacienții pot solicita ștergerea datelor lor medicale în anumite situații, cum ar fi atunci când nu mai este necesară păstrarea datelor în scopul pentru care au fost colectate. Clinica se asigură că astfel de solicitări sunt tratate în conformitate cu legislația aplicabilă și într-un mod transparent.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
II. Principiile privind protecția datelor cu caracter personal (enumerate mai sus) ar trebui să fie luate în considerare implicit (privacy by default) și încorporate încă de la proiectarea sistemelor informatice care prelucrează date referitoare la sănătate (privacy by design). Conformitatea cu aceste principii ar trebui să fie revizuită periodic pe tot parcursul ciclului de viață al prelucrării. Operatorul ar trebui să efectueze, înainte de a începe prelucrarea și la intervale regulate, o evaluare a impactului potențial al prelucrării preconizate a datelor în ceea ce privește protecția datelor și respectarea drepturilor omului, inclusiv a măsurilor care vizează reducerea riscului.
Exemplu de bună practică privind respectarea principiilor “privacy by default” și “privacy by design”:
O companie care dezvoltă software pentru spitale și alte instituții medicale, să numim această companie “MediTech”, a creat un sistem de management electronic al fișelor medicale (EMR) care încorporează principiile de protecție a datelor personale încă de la proiectare. Acest sistem include următoarele caracteristici și măsuri de securitate:
- Criptarea implicită: Sistemul utilizează criptarea atât pentru datele aflate în repaus, cât și pentru datele în tranzit, asigurând confidențialitatea și integritatea datelor medicale.
- Controlul accesului: Accesul la datele medicale este strict limitat la personalul autorizat, în conformitate cu principiul accesului minim. Acest lucru este realizat prin implementarea unui sistem de autentificare cu doi factori și a unei politici de gestionare a permisiunilor bazată pe roluri.
- Protecție încorporată: Sistemul include măsuri de protecție încorporate, cum ar fi protecția împotriva atacurilor de tip SQL injection și protecția împotriva accesului neautorizat prin intermediul API-urilor.
- Evaluarea impactului asupra protecției datelor: MediTech efectuează evaluări regulate ale impactului asupra protecției datelor pentru a identifica riscurile potențiale și pentru a implementa măsuri de reducere a riscului.
- Revizuirea periodică a conformității: MediTech revizuiește periodic conformitatea cu principiile privind protecția datelor și efectuează actualizări ale sistemului EMR pentru a se asigura că rămâne în conformitate cu legislația și reglementările aplicabile.
- Formarea și informarea utilizatorilor: MediTech oferă instruire și suport pentru personalul medical care utilizează sistemul EMR, subliniind importanța protecției datelor personale și explicând modul în care sistemul asigură respectarea acestor principii.
Prin implementarea acestor măsuri și caracteristici în sistemul său de management electronic al fișelor medicale, MediTech asigură respectarea principiilor “privacy by default” și “privacy by design” și protejează datele medicale ale pacienților în conformitate cu legislația și reglementările privind protecția datelor.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
- Orientarea nr. 10 cu privire la gestionarea cererilor persoanelor vizate (pacienți / aparținători) cu privire la propriile informații
- Orientarea nr. 11 cu privire la gestionarea reclamațiilor angajaților respectiv pacienților
III. Operatorii de date și persoanele împuternicite care acționează sub responsabilitatea acestora ar trebui să ia toate măsurile adecvate pentru a-și îndeplini obligațiile în ceea ce privește protecția datelor și ar trebui să fie în măsură să demonstreze în special pentru autoritatea de supraveghere competentă că prelucrarea este în conformitate cu aceste obligații.
Exemplu de bună practică privind respectarea obligațiilor de protecție a datelor de către un spital:
Spitalul “XYZ” a implementat un program cuprinzător de conformitate cu protecția datelor pentru a se asigura că prelucrarea datelor personale, inclusiv a datelor medicale sensibile, este în conformitate cu legislația aplicabilă și cu GDPR. Acest program include următoarele componente:
- Desemnarea unui responsabil cu protecția datelor (DPO): Spitalul a numit un DPO care supraveghează toate activitățile legate de protecția datelor și asigură conformitatea cu GDPR.
- Politici și proceduri interne: Spitalul a elaborat politici și proceduri clare și detaliate privind prelucrarea datelor personale, care sunt puse la dispoziția tuturor angajaților și colaboratorilor.
- Formare și conștientizare: Spitalul oferă instruire periodică angajaților și colaboratorilor cu privire la protecția datelor și responsabilitățile lor în cadrul programului de conformitate.
- Controlul accesului și securitatea datelor: Spitalul a implementat măsuri tehnice și organizatorice adecvate pentru a proteja datele personale, cum ar fi controlul accesului bazat pe roluri, criptarea datelor și monitorizarea activității în sistemele informatice.
- Evaluarea impactului asupra protecției datelor (DPIA): Spitalul efectuează evaluări ale impactului asupra protecției datelor pentru orice prelucrare de date care prezintă un risc înalt pentru drepturile și libertățile persoanelor fizice.
- Înregistrarea activităților de prelucrare: Spitalul menține un registru al activităților de prelucrare a datelor, care include detalii despre scopul, natura și categoriile de date personale prelucrate.
- Notificarea încălcărilor de securitate: Spitalul a stabilit proceduri pentru notificarea promptă a încălcărilor de securitate către autoritatea de supraveghere competentă și persoanele vizate, conform cerințelor GDPR.
- Monitorizarea și revizuirea periodică: Spitalul efectuează revizuiri și audituri periodice ale programului său de conformitate cu protecția datelor pentru a identifica și aborda eventualele deficiențe și a se asigura că rămâne în conformitate cu legislația și reglementările aplicabile.
Prin implementarea acestui program cuprinzător de conformitate cu protecția datelor, spitalul “XYZ” își îndeplinește obligațiile în ceea ce privește protecția datelor și poate demonstra autorității de supraveghere competente că prelucrarea datelor personale este în conformitate cu aceste obligații.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți:
IV. Operatorii de date și persoanele împuternicite de către aceștia care nu sunt profesioniști din domeniul sănătății ar trebui să prelucreze datele referitoare la sănătate numai în conformitate cu normele de confidențialitate și măsurile de securitate care asigură un nivel de protecție echivalent celui impus profesioniștilor din domeniul sănătății.
Exemplu de bună practică privind respectarea normelor de confidențialitate și măsurile de securitate de către spitale pentru operatorii de date și persoanele împuternicite care nu sunt profesioniști din domeniul sănătății:
Spitalul “ABC” lucrează cu o companie externă de facturare și procesare a plăților, care are acces la anumite date referitoare la sănătate ale pacienților în scopul facturării serviciilor medicale. Pentru a asigura respectarea normelor de confidențialitate și a măsurilor de securitate, spitalul “ABC” și compania de facturare au implementat următoarele măsuri:
- Acord de confidențialitate: Spitalul “ABC” și compania de facturare au încheiat un acord de confidențialitate care prevede obligațiile părților în ceea ce privește protecția datelor referitoare la sănătate și responsabilitățile legate de păstrarea confidențialității acestor date.
- Controlul accesului: Compania de facturare are acces limitat la datele referitoare la sănătate ale pacienților și poate prelucra aceste date numai în scopurile prealabile stabilite, cum ar fi facturarea și procesarea plăților. Accesul la date este restricționat în funcție de rolurile angajaților și necesitățile legitime de a accesa aceste informații.
- Formare și conștientizare: Spitalul “ABC” și compania de facturare oferă instruire periodică angajaților care lucrează cu date referitoare la sănătate în ceea ce privește normele de confidențialitate, măsurile de securitate și responsabilitățile lor în cadrul GDPR și a legislației naționale privind protecția datelor.
- Măsuri tehnice și organizatorice de securitate: Compania de facturare implementează măsuri de securitate adecvate pentru a proteja datele referitoare la sănătate, cum ar fi criptarea datelor în tranzit și la repaus, monitorizarea activității în sistemele informatice și protejarea fizică a serverelor și echipamentelor.
- Audituri și revizuiri periodice: Spitalul “ABC” efectuează audituri și revizuiri periodice ale măsurilor de confidențialitate și securitate implementate de compania de facturare pentru a se asigura că acestea respectă normele și măsurile de protecție adecvate.
Pentru a ilustra pe larg diverse situații relevante specifice acestui principiu, vă rugăm parcurgeți: