Prawo pacjenta do zachowania w tajemnicy informacji z nim związanych

NRL-ZRP.0212..2021.ES
NRL-ZRP.KW-00.2021

 

Warszawa,  28.07.2021 r.

                                                              Pan

                                                               Bartłomiej  Chmielowiec      

                                                               Rzecznik Praw Pacjenta     

 

Szanowny Panie Ministrze,

 

 Od 1 lipca 2021 r. na mocy art. 56 ust. 4 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2021 r. poz. 666) - dalej u.s.i.o.z. na placówki medyczne został nałożony obowiązek rozpoczęcia  wymiany elektronicznej dokumentacji medycznej (EDM). Aby obowiązek ten mógł być właściwie zrealizowany niezbędne jest istnienie niezbędnych narzędzi, w szczególności repozytoriów, w których  wytworzona EDM będzie przechowywana  i z których będzie pobierana przez uprawnione podmioty udzielające świadczeń zdrowotnych. Samorząd lekarski wielokrotnie postulował konieczność stworzenia dla zainteresowanych placówek medycznych możliwości korzystania z repozytoriów zbudowanych ze środków publicznych. Takie repozytoria jednak dotąd nie powstały. Mimo to, Ministerstwo Zdrowia nie podjęło decyzji o przesunięciu w czasie obowiązku wymiany EDM, pozostawiając w gestii 200 tysięcy usługodawców organizację repozytoriów elektronicznej dokumentacji medycznej. Zaistniały stan budzi zaniepokojenie Naczelnej Rady Lekarskiej o bezpieczeństwo informacji o pacjentach przetwarzanych w związku koniecznością realizowania obowiązków wprowadzonych wskazanymi przepisami u.s.i.o.z i potencjalne ryzyko naruszenia jednego z podstawowych praw pacjenta - do zachowania w tajemnicy informacji z nim związanych. Dlatego też zwracam się do Pana Ministra o zbadanie zagadnienia  bezpieczeństwa procesu wymiany EDM i zajęcie stanowiska w sprawie czy wprowadzone rozwiązania prawne i organizacyjne w zakresie wymiany EDM, a w szczególności przyjęty model budowy Systemu Informacji Medycznej (SIM),  oparty o rozproszoną i ogromną liczbę (blisko 200 tysięcy) miejsc udostępniania danych nie stwarzają ryzyka  naruszenia prawa pacjentów do zachowania w tajemnicy informacji dotyczących ich stanu zdrowia.

Rodzaj danych osobowych, które są przetwarzane w związku z obowiązkiem wymiany EDM oraz masowa skala ich przetwarzania wskazują, że jest to sprawa niezwykłej wagi, a obawy o bezpieczeństwo tych danych są całkowicie uzasadnione.

Naczelna Rada Lekarska od niemal 4 lat przy każdej okazji sygnalizuje o powinności władz publicznych zorganizowania usługi, do której placówki medyczne przekazywałaby wygenerowane dokumenty EDM i z której upoważnieni przez pacjenta pracownicy medyczni pobieraliby je. Co więcej, sprawa repozytoriów wydawała się być uzgodniona. Od jesieni ubiegłego roku do stycznia br. trwały prace prowadzone przez Centrum e-Zdrowia nad dokumentem „Strategia dla eZdrowia na lata 2021-2025”. Toczyły się z one szerokim gronem zaproszonych interesariuszy i ekspertów. W ramach prac nad pierwszym strumieniem tematycznym „Diagnoza i cele” zapisano w projekcie tego dokumentu, że standardowym produktem platform regionalnych powinno być repozytorium dokumentacji dla podmiotów z terenu województwa. Niestety dokument ten, pomimo upływu 6 miesięcy od zakończenia prac, ma cały czas status projektu.

            Tymczasem media co jakiś czas informują  o atakach hakerskich na duże podmioty zarówno gospodarcze, jak i publiczne. Nie omija to również opieki zdrowotnej. Najgorszą rzeczą, jak może się zdarzyć to wywołanie trwałej obawy pacjentów o niezachowanie informacji o ich chorobie w tajemnicy. Nie musi to być obawa realna, tzn. nie musi wiązać się z działalnością konkretnej placówki, w której pacjent się leczył lub do której planował się zgłosić. Wystarczy, że pewność zachowania tajemnicy lekarskiej zostanie podważona choćby kilkoma spektakularnymi przypadkami nieautoryzowanego dostępu do danych pacjenta. Pewność poszanowania praw pacjenta jest rzeczą niesłychanie ważną, budującą autorytet i wizerunek całego systemu ochrony zdrowia. Coś, co łatwo utracić lub nadwątlić, a bardzo trudno odbudować. Utrata przez pacjentów zaufania, że informacje o nich nie znajdą się w posiadaniu osób nieuprawnionych może skutkować obawami przed podejmowaniem leczenia, czy też diagnostyki. Nie można również wykluczyć podejmowania prób dokonywania przestępstw w postaci wyłudzeń okupu za zwrócenie wykradzionych danych lub za odblokowanie systemu.

Dlatego też nie można też wykluczyć, że w przypadku choćby kilku w skali kraju nagłośnionych w mediach epizodów wycieku danych medycznych naturalnym zachowaniem kierowników podmiotów wykonujących działalność leczniczą będzie zamiana trybu udostępniania dokumentacji z trybu online na tryb offline (§2 ust.1 pkt.6 lit.d rozporządzenia Ministra Zdrowia z dnia 26 czerwca 2020 r.  w sprawie szczegółowego zakresu danych zdarzenia medycznego przetwarzanego w systemie informacji oraz sposobu i terminów przekazywania tych danych do Systemu Informacji Medycznej ( Dz. U. poz.1235) zobowiązuje usługodawcę do przekazania do SIM informacji o trybie udostępniania dokumentacji medycznej prowadzonej w postaci elektronicznej). Postawi to pod znakiem zapytania osiągnięcie celów wprowadzonych obowiązków, w tym również ułatwienia pacjentom korzystania z  innego podstawowego ich prawa  - dostępu do dokumentacji medycznej.

Z wprowadzaniem dokumentacji medycznej w formacie elektronicznym wiąże się jeszcze jeden problem - dostęp do dokumentacji likwidowanych podmiotów niebędącej w rozumieniu u.s.i.o.z. elektroniczną dokumentacją medyczną, a będącej  dokumentacją prowadzoną w formacie elektronicznym. Zgodnie z ustawą dokumentację EDM w przypadku likwidacji podmiotu przejmuje SIM, zaś dokumentacja nie-EDM wytworzona w formacie elektronicznym podlega takim samym zasadom przechowywania po likwidacji podmiotu, jak dokumentacja papierowa. Problem w tym, że powinien istnieć jeden uniwersalny format eksportu danych z programu obsługującego system likwidowanego podmiotu i najlepiej jeden centralny program archiwizacyjny. Zabezpieczy to prawo pacjentów będących niegdyś pod opieką zlikwidowanego podmiotu do dostępu do swojej dokumentacji medycznej. Problemy z tym, co zrobić z elektroniczną kartoteką likwidowanego podmiotu lub elektroniczną kartoteką lekarza po jego śmierci zaczynają się już pojawiać i będą narastać w związku z masowym wprowadzaniem do użytkowania dokumentacji w postaci elektronicznej. Format eksportu tych danych na podstawie §1 ust.6 pkt 6 i pkt 8 rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzoru dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. poz.666) również określić powinno Ministerstwo Zdrowia.

Z tych też względów kierując się przede wszystkim troską o bezpieczeństwo dokumentacji medycznej, która od 1 lipca br. podlega elektronicznej wymianie oraz poszanowanie praw pacjentów uprzejmie proszę o zajecie stanowiska w tej sprawie.

 

  Z poważaniem,

Prezes Naczelnej Rady Lekarskiej

prof.dr hab.med. Andrzej Matyja