GDPR a magánegészségügyben: gyengélkedő adatkezelés
Blogcikkeinkben számtalan nézőpontból próbáltuk már megközelíteni az adatvédelem szerteágazó kérdéseit; legutóbb a kisvállalkozások, egyéni vállalkozók szemszögéből mutattuk be a tőlük is elvárt teendőket, intézkedéseket. Alábbi írásunk célja utóbbiak egy speciális csoportja, a legkülönfélébb magánpraxist üzemeltető orvosok, terapeuták, egészségügyi szolgáltatók figyelmének felkeltése, annak tudatosítása, hogy ők sem kerülhetik ki a foglalkozást az adatvédelemmel, a GDPR-megfeleléssel.
Személyes tapasztalatok alapján is mondhatom, hogy az egészségügyben a személyes adatok kezelésének GDPR-kompatibilitása legalábbis kétséges. Magánklinikán már találkoztam adatkezelési tájékoztatóval, hozzájáruló nyilatkozatot is kértek, viszont egyéni praxisok esetén a helyzet még inkább problémás. Fogorvos, pszichiáter, pszichológus, terapeuta, nőgyógyász…, egyikük-másikuk honlapján találunk elvétve adatkezelési tájékoztatót (vagy valamiféle kísérletet erre), de sok esetben csak a cookie-k vagy az időpontfoglalási adataink okán. Ám szó sem esik arról, hogy mi történik az adatvédelmi rendelet által különleges kategóriába sorolt egészségügyi adatainkkal.
Miközben talán éppen itt, az egészségügyben kellene leginkább törekedni erre, a magán (fizetős)szolgáltatások esetén pedig a páciensek még inkább elvárhatnák, hogy ne csak őket, hanem adataikat is megfelelően kezeljék.
Az interneten már szinte nem tudunk megnyitni egy honlapot, vagy elolvasni egy érdekes cikket a különböző adatkezelési feltételek megismerése nélkül, miközben át kell jutnunk a cookie-falakon és így tovább. Pedig mi történhet? Megismerik az IP címemet vagy kapok néhány kéretlen remarketing levelet?
De mi történik, amikor elmegyünk egy magánpszichológushoz vagy orvoshoz? A fél életünket kitárjuk előtte, miközben ő jegyzetel, betegkartont készít, gyakran komplett profilt állít fel a megfelelő kezelés érdekében. Ez eddig rendben is van, hiszen a beteg önként keresi fel az orvost a segítség reményében, de ez nem jelenti azt, hogy nem kötelező tájékoztatni az adatok kezeléséről, vagy, hogy az orvos mentesül a kifejezett hozzájárulás begyűjtése alól.
A pácienst az adatkezelés megkezdése előtt tájékoztatni kell legalább arról, hogy milyen adatokat gyűjt és tárol az orvos, milyen célból, milyen jogalapon, meddig őrzi meg ezeket, ki férhet hozzá, hova továbbítja, illetve, hogy neki milyen jogai vannak az adatkezeléssel kapcsolatban. Mindezt bárki számára érthető módon.
Az orvosok, terapeuták, de akár természetgyógyászok vagy gyógytornászok is, a diagnózis felállítása során gyűjtött adatokat a legkülönbözőbb módokon tárolják. Lehet ez egy közönséges papír adatlap, betegkarton, vagy kifejezetten orvosi célra készített szoftver, adatbázis, egyéb táblázat, a lényeg nem változik: a begyűjtött személyes adatok valamely nyilvántartási rendszer részei, így a GDPR kötelezi az adatkezelőket, vagyis a magánegészségügyi vállalkozót, hogy foglalkozzon az adatvédelemmel.
Nagyon fontos azonban, hogy nem vehető egy kalap alá a különleges, egészségügyi, illetve az egyéb, például az időpontfoglaláshoz, vagy a pénzügyi műveletekhez szükséges adatok kezelése.
Az egészségügyi adatoknál általánosan alkalmazott jogalap az érintett hozzájárulása, bár bizonyos esetekben megkérdőjelezhető, hogy a hozzájárulás visszavonásával törölnie-kell-e az orvosnak, egészségügyi szolgáltatónak a páciens adatait. Arra az esetre ugyanis, ha jövőben valamilyen egészségügyi következmény alakulna ki és a beteg az orvost akarná felelősségre vonni, biztosítani kell a bizonyító erejű dokumentumokat. Ez azonban már a vállalkozó jogos érdeke, illetve bizonyos egészségügyi adatok, dokumentumok esetében jogszabály is meghatározza a tárolási kötelezettséget és megőrzési időket.
Visszatérve az egyéb adatokra, az időpontfoglaláshoz, kapcsolattartáshoz szükséges elérhetőségek kezeléséhez is alkalmazható a hozzájárulás, ilyen esetben pedig a törlési kérelemnek sincsenek egyéb akadályai. A pénzügyi műveletekhez, számlázáshoz, a számla teljesítéséhez, könyveléshez kapcsolódó adatok kezelése pedig már jogi kötelezettség teljesítése alapján történhet, hiszen ezekre vonatkozóan a számviteli törvény egyértelműen meghatározza a megőrzési időt.
Az adatkezelési tájékoztatókon túl más egyéb feladat is adódik, ha egy adatkezelő meg akar felelni a rendelet elvárásainak. Az ő szemszögéből indokolt enyhítés, hogy egy háziorvos, vagy magánpraxist folytató orvos nem köteles adatvédelmi tisztviselőt kijelölni, illetve adatvédelmi hatásvizsgálatot sem kötelező végeznie, mivel a személyes adatok kezelése esetükben nem tekinthető nagymértékűnek.
Kicsit visszatéve a „magánszemély-kalapomat”, elvárható azonban, hogy az egészségügyi adatok tárolására alkalmazott eszközök, szoftverek, helyiségek megfelelőségét megvizsgálják. Ha nem is nevezzük adatvédelmi hatásvizsgálatnak, az elméletileg „különleges” adatok biztosan érdemelnek annyi kiváltságot, hogy a magánegészségügyi szakemberek is felmérjék az adatok védelme érdekében alkalmazott intézkedéseket. Nem kell túlmisztifikálni ezt sem. Zárja a betegkartonok tárolására használt szekrényeket? Van biztonsági kamera? Milyen módon védi a számítógépet és/vagy a tárhelyet, ahol az elektronikus adatokat őrzi? Jelszavas védelem, merevlemez-titkosítás, tűzfal, vírusírtó stb. Hétköznapi dolgok, amelyek mind-mind az adatok védelmét szolgálják. Érdemes megvizsgálni, hogy valóban megfelelő védelmet nyújtanak-e. Ha nem, akkor milyen módon lehet fokozni az adatok biztonságát.
Az egészségügy és a magánegészségügyi szektor sem kerülheti el a 16 éven aluliak adatainak kezelését. Itt válik igazán érdekessé a kérdés, mert a kiskorúak adatkezelését is kiemelten tárgyalja a GDPR, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményekkel és a jogaikkal. Ha a kiskorúak adatkezelése összeadódik az egészségügyi adatok kezelésével, akkor magánszemélyként és szülőként különösen elvárhatónak tűnik, hogy az adatkezelő intézkedéseket tegyen ezek megfelelő kezelése érdekében. A gyakorlatban szerencsére egyszerűbb a képlet, mint amilyennek tűnik. Ha megoldottuk az egészségügyi adatok kezelésével kapcsolatos elvárásokat, már „csak” a szülő vagy felügyeleti jogot gyakorló felnőtt beleegyezése szükséges, természetesen igazolható módon. Sőt, az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, a hozzájárulást valóban az arra jogosult adta meg, illetve engedélyezte. Egy rendelőben ez egyszerűen megoldható, de online konzultációk esetén már bonyolódhat a kérdés.
Az egészségügyi adatok kezelése kétségtelenül egy ingoványos terület, ahol egy egészségügyi szakember önállóan nem feltétlenül tudja megtalálni és kialakítani a megfelelő gyakorlatot. Munkatársainkkal ugyanakkor szeretnénk hatékony segítséget nyújtani a magánegészségügyi szolgáltatóknak, orvosoknak is, hogy a lehető legkevesebb időráfordítás mellett megfelelhessenek a GDPR elvárásainak, biztosíthassák az adatok védelmét, a páciensek megfelelő tájékoztatását és az egészségi állapot javítására koncentrálhassanak – ki-ki a saját területén.