Prawo
Nie bój się outsourcingu danych medycznych
Michał Czarnuch1
Piotr Najbuk2
Nowelizacja ustawy o prawach pacjenta z grudnia 2015 roku rozwiała ostatecznie wątpliwości dotyczące dopuszczalności stosowania outsourcingu danych medycznych. Podmioty udzielające świadczeń zdrowotnych mogą teraz w pełni legalnie zlecać przetwarzanie informacji o stanie zdrowia pacjentów zewnętrznym firmom. Otwiera to w Polsce całkiem nowy rynek usług, który podążając za światowym trendem, może zwiększać corocznie swą wartość o ponad 10 proc. Mimo to wielu świadczeniodawców wciąż z wyraźną niechęcią podchodzi do możliwości transferowania wrażliwych danych do zewnętrznych podmiotów. Czy słusznie?
Znowelizowany art. 24 ustawy o prawach pacjenta jednoznacznie wskazuje, że podmiot udzielający świadczeń zdrowotnych może zawrzeć umowę powierzenia przetwarzania danych. Stanowi to odpowiedź na uwagi dotyczące możliwości stosowania tego rozwiązania, które zgłaszał m.in. Główny Inspektor Ochrony Danych Osobowych. Również w obowiązującym rozporządzeniu dotyczącym dokumentacji medycznej, którego nowa wersja weszła w życie 23 grudnia 2015 roku, istotnie zmodyfikowano przepisy dotyczące miejsca przechowywania dokumentacji medycznej, wyraźnie dopuszczając możliwość korzystania z zasobów zewnętrznych podmiotów. W ten sposób prawodawca otwiera furtkę dla nowych technologii informacyjnych w obszarze ochrony zdrowia. Nie bez przyczyny. Outsourcing danych dotyczących pacjentów poza podmioty medyczne pozwala wykorzystać narzędzia informatyczne, które optymalizują proces zarządzania informacją. W ten sposób, m.in. dzięki wykorzystaniu technologii chmury, obieg danych stanie się nie tylko sprawniejszy, ale i tańszy w utrzymaniu. Co również istotne, dzięki coraz lepszej technologii chmurowej dane w chmurze są bezpieczniejsze niż np. dane przechowywane w przedsiębiorstwie podmiotu leczniczego.
Chmura obliczeniowa (ang. cloud computing) jest narzędziem informatycznym służącym do sprawnego przetwarzania danych. Biznesowy model wykorzystania chmury działa na zasadzie przeniesienia głównego ciężaru usług informatycznych (w tym m.in. przechowywania dużych zbiorów danych) na serwery wyspecjalizowanej firmy zewnętrznej i umożliwienie klientowi stałego dostępu do nich poprzez własne komputery. Dzięki temu rozwiązaniu korzystający z chmury nie ponosi dodatkowych nakładów na infrastrukturę, lecz korzysta z gotowych zasobów technicznych i programowych znajdujących się w dyspozycji zleceniobiorcy. Koncepcja ta, ze względu na swą prostotę, wydajność i rentowność jest powszechnie wykorzystywana na rynku – w Polsce korzysta z niej już ponad 40 proc. korporacji. W związku z licznymi zaletami cloud computing cieszy się stale rosnącą popularnością. Znowelizowane przepisy umożliwiają zaadaptowanie tego modelu także w obszarze ochrony zdrowia.
Najczęściej wyróżnia się dwa rodzaje chmur – publiczną oraz prywatną. Istotą tej pierwszej jest korzystanie z infrastruktury udostępnionej przez podmioty zewnętrzne za pośrednictwem internetu. W tym przypadku przydzielanie zasobów odbywa się w sposób dynamiczny na wielu funkcjonujących jednocześnie komputerach. Chmura prywatna jest projektowana dla danej organizacji. Infrastruktura informatyczna jest dedykowana na potrzeby jednego określonego podmiotu i wyłączona ze współdzielenia z innymi. Rozwiązanie to jest jednak mniej efektywne i bywa droższe.
Podmiot leczniczy, który zamierza skorzystać z rozwiązań chmurowych do przetwarzania danych medycznych, powinien przede wszystkim przeanalizować umowę opisującą zasady przetwarzania danych w chmurze obliczeniowej oraz stosowane zabezpieczenia (np. wdrożone normy ISO, zabezpieczenie danych zgodne z przepisami UE), miejsce (kraj) przetwarzania danych.
Chmury obliczeniowe są już wykorzystywane w zachodnich systemach opieki zdrowotnej, również niektóre polskie podmioty lecznicze wykorzystują rozwiązania chmurowe. Warto dodać, że np. dane medyczne przechowywane w wielu wyrobach medycznych (np. w tomografach komputerowych i aparatach rezonansu magnetycznego) rejestrowane w podmiotach leczniczych już teraz przechowywane są w chmurze. Dotychczasowe doświadczenia potwierdzają główne zalety tego rozwiązania – informacje przetwarzane są szybciej i sprawniej, specjalistyczne oprogramowanie zapewnia wyższy poziom bezpieczeństwa obiegu danych, a przeniesienie ciężaru utrzymywania gigantycznych baz danych na podmioty zewnętrzne odciąża placówki medyczne, wyraźnie redukując koszty.
Każde poszerzenie kręgu obiegu informacji potęguje ryzyko ich utraty lub udostępnienia niepowołanym osobom. Wiele placówek zdrowotnych sceptycznie odnosi się więc do powierzania danych podmiotom zewnętrznym właśnie z powodu obawy o bezpieczeństwo niezwykle istotnych, a zarazem ściśle osobistych informacji o stanie zdrowia pacjentów. Również ustawodawca dostrzegł to ryzyko. W celu zapewnienia odpowiedniego poziomu ochrony swobodny outsourcing danych medycznych został ograniczony wymogiem spełnienia ściśle określonych warunków bezpieczeństwa.
Podstawowym wymogiem w tym obszarze jest zapewnienie, że podmiot przetwarzający informacje o stanie zdrowia pacjentów będzie gwarantował odpowiedni poziom ochrony danych osobowych. Zasadniczych norm bezpieczeństwa należy więc szukać w ustawie o ochronie danych osobowych. Po pierwsze więc, zgodnie z art. 31 wspomnianej ustawy, podmiot uzyskujący dane pacjentów może je przetwarzać wyłącznie w zakresie i celu wyraźnie przewidzianym w umowie ze świadczeniodawcą. Niedopuszczalna jest więc sytuacja, w której firma outsourcingowa dowolnie wykorzystywałaby powierzone jej informacje o pacjentach np. do celów marketingowych lub odsprzedawała je dalszym podmiotom.
Firma outsourcingowa ma obowiązek, jeszcze przed rozpoczęciem przetwarzania informacji o pacjentach, podjąć odpowiednie środki zabezpieczające przekazany jej zbiór danych. Oznacza to konieczność zapewnienia narzędzi technicznych i rozwiązań organizacyjnych gwarantujących ochronę odpowiednią do zagrożeń. Ustawodawca nakazuje zwrócić szczególną uwagę na ryzyko związane z udostępnianiem danych medycznych osobom nieupoważnionym, zabraniem ich przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, a także ryzyko przypadkowej zmiany, utraty, uszkodzenia lub zniszczenia niezwykle ważnych dla procesu leczenia pacjenta informacji.
Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, opisane zostały w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia, przewidziano trzy poziomy zabezpieczeń – podstawowy, podwyższony i wysoki. W każdym przypadku operacji na danych medycznych obligatoryjne jest stosowanie tego ostatniego. Oznacza to, że system informatyczny musi być zabezpieczony m.in. hasłami, których zmiana następuje nie rzadziej niż co miesiąc, oraz rozwiązaniami zapewniającymi ochronę przesyłanych danych (np. protokół szyfrowania danych SSL, kryptografia klucza publicznego).
Przepis art. 24 ustawy o prawach pacjenta przewiduje też inne wymogi służące zapewnieniu bezpieczeństwa outsourcingu danych. Wskazać można m.in., że podmiot udzielający świadczeń zdrowotnych musi mieć zapewnione prawo kontroli zgodności przetwarzania danych z umową, realizacja umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, a w sytuacji, w której firma posiadająca dane osobowe pacjentów zawarte w dokumentacji medycznej zaprzestanie ich przetwarzania, ma obowiązek zwrócić je podmiotowi zlecającemu outsourcing. Podmiot przetwarzający dane jest ponadto obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy outsourcingu. Tajemnica ta obowiązuje także po śmierci pacjenta.
Należy też zwrócić uwagę, że administrator danych, którym jest podmiot wykonujący działalność leczniczą, może powierzyć przetwarzanie danych innemu podmiotowi tylko w drodze umowy zawartej na piśmie. Zachowanie tej formy ma gwarantować pewność wzajemnych praw i obowiązków.
Ustawa o systemie informacji w ochronie zdrowia przewiduje, że od 1 stycznia 2018 roku prowadzenie dokumentacji medycznej w formie elektronicznej będzie obowiązkowe. W tym samym momencie obowiązkowy stanie się także system elektronicznej recepty – szacuje się, że rocznie wystawianych będzie 200 mln e-recept w Polsce.
Zgodnie z rozporządzeniem ministra zdrowia prowadzenie elektronicznej dokumentacji medycznej wymaga zastosowania odpowiednich do ilości danych i zastosowanej technologii rozwiązań technicznych zapewniających przechowywanie, używalność i wiarygodność dokumentacji znajdującej się w systemie informatycznym. Efektywnym narzędziem zapewniającym spełnienie powyższych wymogów jest właśnie chmura obliczeniowa. Bardzo prawdopodobne, że w obliczu problemów z wyposażeniem informatycznym większości podmiotów leczniczych (np. w związku z wyczerpaniem środków z funduszy unijnych) wykorzystywanie technologii cloud computingu stanie się niebawem nie tyle możliwością, ile prawdziwą koniecznością.