Polityka i prawo
Czy dane pacjentów są bezpieczne? „Ostatnie wydarzenia nie są jedynie incydentem”
„Tylko lekarz sprawujący opiekę nad pacjentem może mieć dostęp do jego danych medycznych” - stwierdza w rozmowie z CyberDefence24.pl adwokat Konrad Korbiński. Zdaniem prawnika, specjalizującego się w prawie medycznym: „ujawnienie danych wrażliwych przez MZ nie jest jedynie incydentem”.
Na początku tego tygodnia opisywaliśmy problem dotyczący funkcjonowania systemu gabinet.gov.pl. Przyjrzeliśmy się nieprawidłowościom, które pojawiły się w związku z jego wykorzystywaniem.
Zainterweniował Prezes Naczelnej Izby Lekarskiej, który z kolei powiadomił ministrów odpowiadających za e-zdrowie. Kilka godzin po wtorkowej publikacji komentarzem podzielił się minister cyfryzacji, Janusz Cieszyński. "System e-zdrowie jest zbudowany w taki sposób, że każda operacja, która dzieje się na naszych danych jest ewidencjonowana. Wszelkie operacje związane z uzyskiwaniem danych pacjenta są związane z tym, że niezbędna jest jego zgoda" – podkreślił w TVN minister Cieszyński. „To właśnie zgoda pacjenta jest w tym przypadku kwestią fundamentalną. Dlatego, że w ochronie zdrowia większość rzeczy dzieje się właśnie po wyrażeniu przez nas, pacjentów, zgody" – stwierdził Cieszyński.
Minister zapytany o to, co w momencie, gdy pacjent nie wyraża zgody na sprawdzenie danych przez lekarza, a ten - mimo wszystko - robi to, odpowiedział:
„Jest to sytuacja, w której lekarz popełnia przestępstwo" - potwierdził polityk.
Czytaj też
„To nie jest incydent"
Zdaniem Konrada Korbińskiego, adwokata z HMA POLAND specjalizującego się w prawie medycznym, nie można mówić o tym, że ujawnienie danych wrażliwych przez MZ jest jedynie incydentem. „Naruszenie przez MZ przepisów RODO dotyczących danych wrażliwych (w celach politycznych, a więc innych niż ustawowe) oraz udostępnienie tych danych Ministrowi Zdrowia podważa główne filary bezpieczeństwa danych medycznych, które są zbierane przez państwo" – stwierdza prawnik w rozmowie z nami.
Jego zdaniem jest to o tyle niebezpieczne, że świadczy o tym, że „nie istnieją żadne procedury zabezpieczające przed nieprawidłowym wykorzystaniem tych danych oraz przed dostępem do tych danych osób, które takiego dostępu mieć nie powinny".
Czy każdy lekarz po wpisaniu dowolnego numeru PESEL dowolnego pacjenta może uzyskać informacje o przyjmowanych przez niego lekach? Jak wskazuje ekspert, „tylko lekarz sprawujący opiekę nad pacjentem może mieć dostęp do jego danych medycznych". „Każdy lekarz ma także dostęp do danych, które sam wprowadził w ramach wizyty pacjenta" – dodaje.
Oznacza to, że jeśli lekarz nie sprawuje opieki nad pacjentem, to nie powinien mieć możliwości sprawdzenia danych medycznych tego pacjenta po wpisaniu w system jego numeru PESEL.
„Założenia zasad bezpieczeństwa dostępu do danych medycznych wskazane w IKP (Internetowe Konto Pacjenta) są prawidłowe. Każdy dostęp do danych w IKP powinien być jednak odnotowywany i widoczny dla pacjenta (w tym dostęp lekarza Podstawowej Opieki Zdrowotnej), abyśmy mogli samodzielnie zweryfikować podstawę prawną dostępu do naszych danych" - mówi CyberDefence24.pl Konrad Korbiński.
"Dane medyczne są bowiem danymi wrażliwymi i nie mogą być wykorzystywane w innych celach niż ściśle związanych z procesem leczenia pacjenta i wyłącznie za jego zgodą" – podkreśla.
Czytaj też
Cyberbezpieczeństwo nie jest jedynym problemem
Zdaniem naszego rozmówcy, ostatnie wydarzenia pokazują, że brak wdrożenia odpowiednich standardów bezpieczeństwa danych w podmiotach leczniczych (np. skutecznego zabezpieczania się przed ewentualnymi cyberatakami) nie jest jedynym problemem dotyczącym bezpieczeństwa danych pacjentów. „Najważniejszym problemem jest świadomość decydentów, co do wagi danych medycznych" – podkreśla prawnik.
„Zarówno ujawnienie danych przez MZ, jak i późniejsze wdrożenie wadliwego rozwiązania świadczą o tym, że osoby odpowiadające za system bezpieczeństwa danych na poziomie centralnym nie są w tym zakresie kompetentne i nie mają świadomości wagi tych danych i niebezpieczeństwa związanego z naruszeniem procedur" – stwierdza.
Według Korbińskiego, w zaistniałej sytuacji potrzebna jest stanowcza reakcja instytucji zajmujących się ochroną danych osobowych w Polsce. „UODO powinno wyciągnąć surowe konsekwencje prawne i dać jasny sygnał, że bezpieczeństwo danych medycznych znajduje się pod szczególną ochroną prawną" - podsumował.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].