Ο Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων, γνωστός πλέον σε όλους ως “GDPR”, έχει ήδη πάνω από 6 μήνες ζωή (από 25 Μάϊου 2018) ενώ ακόμα αναμένεται και η ψήφιση του εθνικού νόμου για την προστασία προσωπικών δεδομένων που θα εξειδικεύει περαιτέρω το νέο πλαίσιο. Τι έχει αλλάξει στην ζωή των παρόχων υπηρεσιών υγείας το τελευταίο εξάμηνο; Η αλήθεια είναι ότι έχουν αλλάξει πολλά.
Κατ’ αρχήν δεν υπάρχει η ανεμελιά σε σχέση με την διαχείριση των προσωπικών δεδομένων που ήταν χαρακτηριστική στους μικρούς Παρόχους ή στην επαρχία. Οι ασθενείς (και κυρίως αυτοί που ανήκουν στις μέσες ηλικίες) είναι πολύ πιο ενημερωμένοι για τα δικαιώματά τους και απαιτούν πλέον την ιδιωτικότητά τους.
Τέλος, έχουν ήδη κάνει την εμφάνισή τους οι πρώτες απαιτήσεις για αποζημίωση βασιζόμενες στο νέο νομικό πλαίσιο, αν και ο σημαντικότερος κίνδυνος για μια επιχείρηση που διαχειρίζεται ευαίσθητά δεδομένα είναι πλέον η κακή φήμη (κάτι ιδιαίτερα εύκολο στην εποχή των social media).
Αυτό που ξεχνιέται συνήθως στην χώρα μας είναι ότι το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα. Παρότι οι περισσότερες ιδιωτικές εταιρείες κάτι έκαναν (ή τουλάχιστον νομίζουν ότι έκαναν) για να προσαρμοστούν στο αυστηρότερο πλαίσιο, εν τούτοις το Ελληνικό Δημόσιο φαίνεται ότι ζει ήδη στην εποχή των open data!
Με ελάχιστες φωτεινές εξαιρέσεις δεν ενδιαφέρεται να προσαρμοστεί και κυρίως δεν θέλει να προσαρμοστεί.
H μεγαλύτερη όμως πρόκληση για την εφαρμογή του GDPR συναντάται αναμφίβολα στον χώρο της Υγείας αφού αφορά την διαχείριση ευαίσθητων δεδομένων.
Τα δεδομένα υγείας ανήκουν στην κατηγορία των ευαίσθητων προσωπικών δεδομένων ή όπως ορίζει και ο νέος Κανονισμός στο άρθρο 9, πρόκεται για ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα η οποία μάλιστα έχει ιδιαίτερη βαρύτητα κάτι που δεν προκύπτει μόνο από τη λέξη «ειδική».
Στην ουσία τα δεδομένα υγείας χαίρουν αυξημένης προστασίας σε σχέση με τα απλά προσωπικά δεδομένα λόγω της ιδιαίτερης φύσης τους. Οι οργανισμοί παροχής υγειονομικής περίθαλψης χειρίζονται ένα πολύ ευρύ φάσμα δεδομένων – από τα οικονομικά αρχεία και τις πληροφορίες ασφάλισης υγείας έως τα αποτελέσματα των εξετάσεων ασθενών.
Μερικοί από αυτούς τους τύπους δεδομένων είναι πιο ευαίσθητοι από τις τυπικές πληροφορίες που συλλέγουν οι οργανισμοί που δεν ανήκουν στον κλάδο υγείας. Τα δεδομένα αυτά είναι μοναδικά συνδεδεμένα με ένα άτομο και είναι ως επί το πλείστον αμετάβλητα.
Για παράδειγμα, ένα φυσικό πρόσωπο μπορεί να δημιουργήσει μια νέα διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά δεν μπορεί να αλλάξει το ιατρικό ιστορικό του, καθιστώντας το θέμα προστασίας της προστασίας των δεδομένων του σε περίπτωση κλοπής ιδιαιτέρως σοβαρό και επικίνδυνο.
Τι άλλαξε ο Κανονισμός στην Υγεία 6 μήνες μετά την εφαρμογή του;
Όπως αποδείχθηκε ήδη από την πρώτη μέρα εφαρμόγής του Κανονισμού, τα νέα δεδομένα του νόμου που προσθέτουν στους Υπεύθυνους επεξεργασίας (νοσοκομεία, κλινικές, διαγνωστικά κέντρα) αυξημένες υποχρεώσεις και στα υποκείμενα των δεδομένων (εργαζόμενοι, εξεταζόμενοι, ασθενείς), αυξημένα δικαιώματα προκάλεσαν σειρά αντιδράσεων, παρεξηγήσεων και λανθασμένων εφαρμογών του νόμου, καθώς κανένας δημόσιος και ιδιωτικός φορέας παροχής υπηρεσιών υγείας δεν ήταν έτοιμος να αντιμετωπίσει τις νέες αυτές απαιτήσεις του GDPR.
Μάλιστα οι συγκρούσεις του Κανονισμού και του εθνικού νόμου σε συνδυασμό με τον Κώδικα Ιατρικής Δεοντολογίας δημιούργησαν πεδίο παρερμηνειών και προκάλεσαν σκάνδαλα που έβλαψαν ανεπανόρθωτα την φήμη πολλών ιατρικών κέντρων.
Σίγουρα τα αυξημένα πρόστιμα που επιβάλλει ο Κανονισμός σε όλους τους φορείς που επεξεργάζονται προσωπικά δεδομένα επιτάχυναν την λήψη μέτρων απο τους παρόχους υγείας όμως στην πράξη και στην καθημερίνη τους λειτουργία φάνηκε η δυσκολία της χώρας μας όσον αφορά την υιοθέτηση νέων πρότυπων διαδικασιών.
ΠΡΟΚΛΗΣΗ 1: ΟΙ ΝΕΕΣ ΠΟΛΙΤΙΚΕΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ Η ΓΝΩΣΤΟΠΟΙΗΣΗ ΤΟΥΣ
Ο GDPR επιβάλλει στους Υπεύθυνους επεξεργασίας την τήρηση διαδικασιών και μέτρων που παρέχουν στο υποκειμένο των δεδομένων πλήρη διαφάνεια σχετικά με την ταυτότητα τους ως Υπεύθυνοι Επεξεργασίας, τα είδη προσωπικών δεδομένων που συλλέγουν, τους σκοπούς για τους οποίους τα συλλέγουν, τον τρόπο με τον οποίο τα συλλέγουν, με ποιους ενδέχεται να τα μοιράζονται, για πόσο καιρό διατηρούνται κτλ.
Όλες αυτές τις πληροφορίες οφείλουν να τις γνωστοποιούν στο φυσικό πρόσωπο με απλό και κατανοητό τρόπο και ως εκ τούτου όλοι οι φορείς παροχής υπηρεσίων υγειας και αυτοί που συνεργάζονται με αυτούς όπως π.χ ασφαλιστικές εταιρείες εφοδιάστηκαν με πλήθος εντύπων ούτως ώστε το υποκείμενο να λαμβάνει γνώση για τις πρακτικές του οργανισμού σε συμμορφωση με τις επιταγές του GDPR.
Για την παροχή ιατρικών υπηρεσιών δεν απαιτείται συγκατάθεση του εξεταζόμενου, κάτι που λανθασμένα επέβαλλαν ιατρικά κέντρα στους εισερχόμενους ασθενείς παρερμηνεύοντας τον νόμο και προκαλώντας θύελλα αντιδράσεων. Τα έντυπα πολιτικών απορρήτου ανταποκρίνονται στις απαιτήσεις διαφάνειας που εισάγει ο GDPR και οι μονάδες υγείας οφείλουν να τα διαθέτουν στους εξεταζόμενους στην γραμματεία αλλά και στην ιστοσελίδα τους.
ΠΡΟΚΛΗΣΗ 2: Η ΣΥΛΛΟΓΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΣΥΝΑΙΝΕΣΕΩΝ
H πραγματική δυσκολία που αντιμετώπισαν και συνεχίζουν να αντιμετωπίζουν οι παραπάνω φορείς όμως είναι η συγκέντρωση και διαχείριση των συγκαταθέσεων από το υποκείμενο των δεδομένων που απαιτεί ο νόμος.
Μπορεί όπως προαναφέραμε σύμφωνα με τον εθνικό νόμο και ειδικότερα τον Κώδικα Ιατρικής Δεοντολογίας για την παροχή ιατρικών υπηρεσιών να μην απαιτείται συναίνεση του υποκειμένου, ο GDPR ωστόσο ορίζει ότι για την εξυπηρέτηση κάθε ξεχωριστού σκοπού, διαφορετικού από την παροχή φροντίδας υγείας, απαιτείται ξεχωριστή, έγγραφη, ρητή, ειδική και ελέυθερη συγκατάθεση.
Σε περίπτωση που ο ασθενής δώσει τα στοιχεία του στο πλαίσιο εκτέλεσης ιατρικών εξετάσεων δεν σημαίνει ότι ο Υπεύθυνος επεξεργασίας έχει δικαίωμα να τα χρησιμοποιήσει για την αποστολή διαφημιστικών μηνυμάτων. Το ίδιο ισχύει και για τους υπαλλήλους της εκάστοτε επιχείρησης ή οργανισμού υγείας, τα στοιχεία του οποίου είναι γνωστά στο πλαίσιο εκτέλεσης των όρων της σύμβασης εργασίας, ωστόσο δεν τεκμαίρεται ότι επιτρέπει την αποδοχή email marketing!
Όλα αυτά κατέστησαν επιβεβλημένη την ανάγκη εγκατάστασης εξειδικευμένων προγραμμάτων και λογισμικών εφαρμογών εφόσον ο όγκος των δεδομένων που χειρίζονται οι φορείς παροχών υγείας είναι τεράστιος και δύσκολα διαχειρίσιμος.
Εξαπλώνεται δε σε πολλά επίπεδα εφόσον οι συγκαταθέσεις που καλούνται να συλλέξουν μπορεί να είναι διαφορετικές (αν εξυπηρετούν διαφορετικούς κάθε φορά σκοπούς), και άρα έχουν κληθεί να υιοθετήσουν συστήματα εξελιγμένης τεχνολογίας που ξεπερνά τα παραδοσιακά πεδία εφαρμογής τα οποία θα μπορούν να αποθηκεύουν τις δοθείσες συναινέσεις και θα μπορούν παράλληλα να τις διαγράφουν όποτε ζητηθεί.
ΠΡΟΚΛΗΣΗ 3: Η Αλλαγή στον τρόπο λήψης αποτελεσμάτων ιατρικών πράξεων
Ο GDPR είναι ιδιαίτερα αυστηρός όσον αφορά την επεξεργασία των ευαίσθητων προσωπικών δεδομένων, δηλαδή των δεδομένων υγείας και επισημαίνει ότι καταρχήν απαγορεύεται η επεξεργασία τους και ότι επιτρέπεται μόνο κατ’ εξαίρεση, για λόγους που περιοριστικά προβλέπει ο νόμος.
Αυτό πρακτικά άλλαξε τον τρόπο λειτουργίας των παρόχων φροντίδας υγείας οι οποίοι καλούνται να επιδέιξουν ιδιαίτερη προσοχή στον τρόπο που χειρίζονται τη μετάδοση των ιατρικών αποτελεσμάτων σε εξεταζόμενους.
Για παράδειγμα, απαγορεύτηκε η μετάδοση αποτελεσμάτων μέσω τηλεφωνικών απαντήσεων εκτός από εξαιρετικές περιπτώσεις που δεν μπορούσε να αποφευχθεί ο συγκεκριμένος τρόπος ανακοίνωσης. Επιπλέον, τα αποτελέσματα των εξετάσεων επιβάλλεται να τα παραλαμβάνει καταρχήν αυτοπρoσώπως ο ασθενής και σε περίπτωση που αδυνατεί, να εξουσιοδοτεί τρίτο πρόσωπο. Η γραμματεία του εκάστοτε νοσοκομείου, διαγνωστικού κέντρου ή κλινικής δηλαδή οφείλει να κάνει ταυτοπροσωπία του εξουσιοδοτούμενου μόλις προσέρχεται να παραλάβει τα αποτελέσματα.
Αναφορικά με τους τρόπους αποστολής των αποτελεσμάτων που μπορεί να επιλέξει ο εξεταζόμενος, μεταξύ των αλλαγών που επιβάλλει ο νόμος, και εφόσον επιλεχθεί σαν επιθυμητός τρόπος αποστολής αποτελεσμάτων από τον ασθενή η ηλεκτρονική αποστολή, αυτό θα πρέπει να γίνεται με κρυπτογραφημένο email και το «κλειδί» να το έχει μόνο ο ασθενής.
ΠΡΟΚΛΗΣΗ 4: ΑΔΥΝΑΜΙΑ ΕΝΤΟΠΙΣΗΣ ΤΩΝ ΣΤΟΙΧΕΙΩΝ ΤΟΥ ΑΣΘΕΝΟΥΣ ΚΑΙ ΑΠΑΝΤΗΣΗΣ ΣΤΑ ΑΙΤΗΜΑΤΑ ΠΡΟΣΒΑΣΗΣ
Ολοένα και αυξάνεται ο αριθμός των ατόμων που αποκτούν γνώση των δικαιωμάτων τους βάσει του GDPR μέσω των μέσων μαζικής ενημέρωσης και κοινωνικής δικτύωσης. Τα αιτήματα πρόσβασης (SAR’s-Subject Access Requests) υποβάλλoνται όλο και πιο συχνά και οι οργανισμοί του κλάδου υγείας καλούνται να εντοπίσουν πού ακριβώς βρίσκονται τα δεδομένα των αιτούντων, σε πόσες διαφορετικές βάσεις δεδομένων, πόσα είδη δεδομένων τηρούν ενώ το διάστημα των 30 ημερών που τους παρέχει ο νόμος για να απαντήσουν δεν φαίνεται να είναι επαρκές.
Είναι σημαντικό οι οργανισμοί να αποκτήσουν πλήρη έλεγχο και κατανόηση σχετικά με τα δεδομένα που τηρούν σε όλο το φάσμα της δραστηριότητάς τους για να μπορέσουν να ανταπεξέλθουν αποτελεσματικά στα εν λόγω αιτήματα.
ΠΡΟΚΛΗΣΗ 5: ΕΚΠΑΙΔΕΥΣΗ ΤΟΥ ΠΡΟΣΩΠΙΚΟΥ
Μπορεί το μεγαλύτερο μέρος των μονάδων υγείας να έχει προβεί σε διοργανώσεις εκπαιδευτικών σεμιναρίων για τους υπαλλήλους της σχετικά με τον Γενικό Κανονισμό όμως το θέμα συμμόρφωσης με τον Κανονισμό δεν δύναται να μένει σε μια επιφανειακή γνώση της θεωρίας της νομοθεσίας.
Το σύνολο των εργαζόμενων σε μονάδες υγείας, ιδιωτικές και δημόσιες, από το προσωπικό της γραμματείας μέχρι και τους ΙΤ οφείλουν να είναι ενήμεροι σχετικά με τις πολιτικές απορρήτου και ασφάλειας των δεδομένων που εφαρμόζεται στον χώρο τους. Είναι απαραίτητο να βρίσκονται σε συνεχή επαγρύπνηση για την ορθή εφαρμογή των κανόνων και αυτό διότι το μεγαλύτερο ποσοστό των περιστατικών παραβίασης προσωπικών δεδομένων οφείλεται σε λάθη ανθρώπινου παράγοντα είτε λόγω αμελούς ή και δόλιας συμπεριφοράς.
Χαρακτηριστικό παράδειγμα συνήθους παραβίασης αποτελεί η γνωστή πρακτική στους χώρους αναμονής των ασθενών, να καλούνται «φωναχτά» τα ονόματα τους από τους γραμματείς για την παραλαβή των αποτελεσμάτων τους και πολλές φορές να γνωστοποιείται και το είδος των εξετάσεων που πρόκειται να πραγματοποιήσουν σε όλους τους παρευρισκόμενους στο χώρο αναμονής!
Αυτό αναμφίβολα αποκαλύπτει ότι η συμμόρφωση με τον GDPR δεν είναι μόνο ζήτημα ύπαρξης νομικών κανόνων, αλλά θέμα νοοτροπίας που φανερώνει την ανάγκη διαμόρφωσης μιας κουλτούρας ουσιαστικής προστασίας των προσωπικών δεδομένων στο χώρο της Υγείας.
Πώς μπορούν να επωφεληθούν οι οργανισμοί από τον GDPR από εδώ και πέρα;
Οι οργανισμοί υγειονομικής περίθαλψης πρέπει να επενδύσουν χρόνο και κεφάλαιο για να αλλάξουν την προοπτική και την προσέγγισή τους, όχι μόνο προς το GDPR, αλλά και για την ασφάλεια του κυβερνοχώρου. Υπάρχουν μοναδικές προκλήσεις που αντιμετωπίζει ο κλάδος της υγειονομικής περίθαλψης, αλλά υπάρχουν και αποτελεσματικές λύσεις ασφάλειας που θα ωφελήσουν μακροπρόθεσμα τον κάθε οργανισμό.
Ο GDPR ορίζει ότι τα περιστατικά παραβίασης πρέπει να γνωστοποιούνται στην Αρχή σε 72 ώρες, γεγονός που αυτόματα οδηγεί τους οργανισμού στην ανάγκη λήψης τεχνολογικών μέτρων αντιμετώπισης. Ο κλάδος της υγειονομικής περίθαλψης υπήρξε πρωταρχικός στόχος για τους εγκληματίες του κυβερνοχώρου για χρόνια.
Ο GDPR ορίζει κάποιες γενικές βέλτιστες πρακτικές που θα βοηθήσουν στη διασφάλιση των δεδομένων των δικτύων του κλάδου υγείας και περιλαμβάνουν τα εξής: διαχωρισμό συστημάτων δικτύου, firewalls, συστήματα ασφαλείας που εντοπίζουν και αποτρέπουν επιθέσεις δικτύου και τεχνολογίες κρυπτογράφησης.
Οι συσκευές που χρησιμοποιούν οι μονάδες υγείας πρέπει να αξιολογούνται κατά τη φάση σχεδιασμού και κατασκευής και να διαθέτουν τις κατάλληλες λύσεις ασφάλειας.
Η συμμόρφωση με τον κανονισμό είναι μια ευκαιρία για τους οργανισμούς υγειονομικής περίθαλψης να αποδείξουν τη δέσμευση τους και την αφοσίωση τους απέναντι στην ασφάλεια δεδομένων των ασθενών τους.
Με την χρήση συστημάτων τελευταίας τεχνολογίας, θα αποφύγουν τα πρόστιμα μη συμμόρφωσης, θα προστατεύονται καλύτερα από τους χάκερ, και βέβαια θα έχουν πλεονέκτημα έναντι άλλων οργανισμών που δεν προσφέρουν το ίδιο επίπεδο ασφάλειας στους πελάτες τους.
Η υπεροχή κάθε οργανισμού έναντι των υπολοίπων με την χρήση των εξελιγμένων ΙΤ συστημάτων θα προκύπτει και μέσα από την σωστή διαχείριση άσκησης των δικαιωμάτων των υποκειμένων που τους παρέχει ο Κανονισμός.
Ο οργανισμός υγείας που υποδεικνύει με ευκολία, ταχύτητα και ασφάλεια τον τρόπο στα υποκείμενα να ασκήσουν τα δικαιώματα τους δίνοντας τους να καταλαβαίνουν ότι έχουν τον πλήρη έλεγχο των δεδομένων τους, οικοδομεί μια σχέση εμπιστοσύνης μεταξύ τους που ευνοεί την φήμη και υπόληψη του οργανισμού. Επομένως η εγκατάσταση ενός αποτελεσματικού συστήματος άσκησης δικαιωμάτων είναι απαραίτητη.
Eίναι σχεδόν βέβαιο ότι με την πάροδο του χρόνου όλο και περισσότεροι κερδοσκόποι γνώστες του GDPR, των δικαιωμάτων που παρέχει και των προστίμων που επιβάλλει θα προσπαθήσουν να εκμεταλλευτούν τα δεδομένα τους για να αποκομίσουν οφέλη. Ένας λόγος παραπάνω λοιπόν για τους οργανισμούς μονάδων υγείας να είναι σε ετοιμότητα και να μπορούν να επιδείξουν τάχιστα και με ευκρίνεια τη συμμόρφωση.
Ο δρόμος του GDPR , είναι ένα ταξίδι χωρίς σταματημό που όμως προσφέρει στους οργανισμούς την ευκαιρία να εξελιχθούν, να αναδεικνύουν την ποιότητα τους και να αποδείξουν ότι αντιμετωπίζουν σοβαρά και με συνέπεια τους ασθενείς και τους συνεργάτες τους.
*Η Χριστίνα Μαντά είναι δικηγόρος Αθηνών με μεταπτυχιακές σπουδές στις ΗΠΑ (Cardozo Law School) εξειδικευμένη σε θέματα ιδιωτικότητας (privacy law) ειδικός συνεργάτης της Privacy Advocate.
