Choć obowiązujące przepisy prawne nie zakazują przetwarzania danych medycznych na zasadach outsourcingu, niemożność powierzenia tego zadania podmiotom zewnętrznym bez zgody pacjenta oraz konieczność zastosowania zaawansowanych rozwiązań szyfrujących dokumentację w archiwum zewnętrznym stanowią poważną barierę w jego stosowaniu.

Jedną z kluczowych zmian, którą przyniosło rozporządzenie Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania jest liberalizacja zasad przetwarzania elektronicznych danych medycznych (EDM) poza siedzibą świadczeniodawcy.

Zapisy poprzednio obowiązującego rozporządzenia z 2006 r. w tej kwestii były dość restrykcyjne i większość ekspertów nie miała wątpliwości, że sformułowanie zawarte w rozporządzeniu „Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona” oznaczało, iż dokumentacja medyczna nie mogła być archiwizowana poza terenem zakładu. W przypadku elektronicznej dokumentacji medycznej, której samodzielne wdrożenie i utrzymanie jest dość kosztowne, takie uwarunkowania były poważnym ograniczeniem, zwłaszcza w przypadku mniejszych placówek opieki zdrowotnej.

Nowe rozporządzenie zliberalizowało te przepisy, m.in. poprzez zastąpienie słów „w” na „przez” oraz zamianie słów „zakład” na „podmiot”. Obecnie zapis brzmi: „dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził" (§ 72 rozporządzenia Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania). Nie oznacza to, że miejsce położenia podmiotu oraz miejsce lokalizacji składowania dokumentacji medycznej musi być tożsame.

Przepisy odnoszące się wprost do możliwości przechowywania dokumentacji medycznej poza podmiotami udzielającymi świadczeń zdrowotnych, czy powierzenia archiwizacji dokumentów osobom trzecim zawiera nowe rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych.

W tym przypadku dotychczasowy zapis „dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona” pozostawiono niezmieniony, jednak dodano inny w brzmieniu „Dopuszcza się archiwizację dokumentacji przez inny podmiot, pod warunkiem zabezpieczenia jej przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieuprawnionych”.

Rozwiązanie przyjęte przez Ministra Spraw Wewnętrznych i Administracji oddaje w pełni istotę problemu outsourcingu przetwarzania elektronicznej dokumentacji medycznej. Liberalizacja zasad dotyczących miejsca przetwarzania danych medycznych, nie może oznaczać liberalizacji zasad dostępu do danych. Pozostają one nadal na bardzo restrykcyjnym poziomie.

Zasady dostępu do danych przez pracowników firmy zewnętrznej, jako administratorów danych 

Świadczeniodawca, który zdecyduje się na powierzenie przetwarzania osobowych danych medycznych firmie zewnętrznej musi mieć świadomość, że na gruncie obowiązujących przepisów, tj. ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty oraz ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, pracownicy firmy zewnętrznej, jako administratorzy danych nie są osobami uprawnionymi do dostępu do danych medycznych. Wprowadza to szczególne uwarunkowania w zakresie zastosowania outsourcingu.

Przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach (art. 27 ust. 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych):

  • w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub
  • w celu zarządzania udzielaniem usług medycznych

przy czym muszą być stworzone pełne gwarancje ochrony danych osobowych.

W kontekście rozstrzygnięcia dotyczącego możliwości powierzenia przetwarzania osobowych danych medycznych podmiotowi zewnętrznemu specjalizującemu się w przetwarzaniu danych, kluczowe jest wyjaśnienie czy administrowanie bazą danych zawierającą osobowe dane medyczne można zaklasyfikować jako „zarządzenie usługami medycznymi”.

Osoby pełniące kierownicze funkcje w placówce medycznej mogą przetwarzać dane medyczne ze względu na cel, którym jest zarządzanie usługami medycznymi, natomiast dużo trudniej jest znaleźć podstawy prawne umożliwiające przetwarzanie osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia, tj.: statystyków, pracowników rejestracji, administratorów IT. Jeszcze trudniej jest uzasadnić umożliwienie przetwarzania osobowych danych medycznych osobom, które formalnie nie są nawet pracownikami placówki.

Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych. W związku z tym, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy.

Osobowe dane medyczne powinny być przetwarzane „wyłącznie przez osoby zobowiązane do zachowania tajemnicy” (art. 8 ust. 3 Dyrektywy 95/46 WE). W związku z tym, poza przedstawicielami zawodów medycznych, trudno jest znaleźć inną grupę zawodową, która byłaby zobowiązana do tajemnicy w stopniu równorzędnym. W odniesieniu do personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można tę kwestię próbować rozwiązać przez odpowiednie zapisy w umowie o pracę, w których osoby niewykonujące zawodu medycznego byłyby zobowiązane do zachowania tajemnicy w stopniu równym jak pracownicy medyczni. W takim przypadku przesłanka „stworzenia pełnych gwarancji ochrony” będzie spełniona, gdyż placówka opieki zdrowotnej poprzez sam fakt zatrudnienia takiej osoby na bazie umowy o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych.

Zakres kontroli podmiotu zlecającego nad pracownikami firmy zewnętrznej

W przypadku powierzenia przetwarzania medycznych danych osobowych firmie zewnętrznej pojawiają się duże wątpliwości. Bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie jest możliwa w ramach tradycyjnego stosunku służbowego. Trudno jest więc w takiej sytuacji mówić o „stworzeniu pełnych gwarancji”. Byłaby ona możliwa, gdyby placówki ochrony zdrowia podlegały rygorom rejestracji zbiorów danych osobowych w GIODO, a co się z tym wiąże, wchodziłyby w reżim procedur kontrolnych ze strony tego urzędu. Wtedy firmy przetwarzające medyczne dane osobowe na podstawie umowy powierzenia podlegałyby również procedurom kontrolnym ze strony GIODO. Ustawa o ochronie danych osobowych zwolniła jednak placówki ochrony zdrowia z obowiązku rejestracji zbiorów danych osobowych.

Powierzenie przetwarzania danych osobowych danych medycznych firmom specjalizującym się w przetwarzaniu danych, chociaż już nie zakazane, nadal jest problematyczne. Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Od strony praktycznej jednak przyjęcie takiego rozwiązania jest bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać takie zgody za każdym razem. Brak zgody choćby w jednym przypadku przekreśla sens wdrażania takiego rozwiązania.

Innym rozwiązaniem, które wydaje się być najbardziej odpowiednie, to przyjęcie założenia, że w firmie zewnętrznej archiwizowane będą tylko dane medyczne, które zostały zaszyfrowane przez pracowników medycznych przy wykorzystaniu kryptografii asymetrycznej. Wtedy przesłanka „stworzenia pełnych gwarancji” byłaby spełniona. Tak więc, jeśli stosowanie infrastruktury PKI podczas procesu tworzenia dokumentacji medycznej nie jest już obowiązkowe, jego zastosowanie w zakresie szyfrowania dokumentów medycznych archiwizowanych w podmiocie zewnętrznym to najskuteczniejszy sposób zabezpieczenia dokumentacji przed dostępem osób nieuprawnionych.

Tekst opublikowany przez autora bloga  "Serwisie Kadry Zarządzającej ZOZ" nr 22 Wrzesień 2011