Ο Νέος Ευρωπαϊκός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) είναι προ των πυλών καθώς θα εφαρμοσθεί άμεσα στις 25 Μαΐου του 2018 σε όλα τα Κράτη Μέλη της ΕΕ (χωρίς να απαιτείται εσωτερική νομοθετική εναρμόνιση), αντικαθιστώντας τους υφιστάμενους νόμους για την προστασία των δεδομένων.
Αυτό σημαίνει ότι από την Παρασκευή κάθε επιχείρηση/οργανισμός που επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών θα πρέπει να είναι σε θέση να αποδείξει ότι έχει συμμορφωθεί πλήρως με τις επιταγές του νέου Κανονισμού, σε διαφορετική περίπτωση θα πρέπει να αναλάβει στο ακέραιο την ευθύνη που απορρέει τόσο από την μη τήρησή του, όσο και από την πλημμελή εφαρμογή του και φυσικά να υποβληθεί στα σοβαρότατα πρόστιμα που προβλέπονται.
Ο νέος κανονισμός περιέχει περισσότερες ειδικές αναφορές στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας και υπογραμμίζει ότι το σύνολο των διατάξεων του εφαρμόζεται στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας.
Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία συμπεριλαμβάνονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δηλαδή στα λεγόμενα ευαίσθητα δεδομένα προσωπικού, τα οποία χαίρουν αυξημένης προστασίας σε σχέση με τα απλά δεδομένα προσωπικού χαρακτήρα.
Επισημαίνει ότι για τα ευαίσθητα δεδομένα ισχύει η αρχή ότι απαγορεύεται καταρχήν η επεξεργασία τους και επιτρέπεται μόνο κατ’ εξαίρεση, για λόγους που περιοριστικά προβλέπει ο νόμος.
Μπαίνει τέλος σε τηλεφωνικές απαντήσεις για τα αποτελέσματα ιατρικών εξετάσεων, αποτελέσματα εξετάσεων ασθενών που αποστέλλονται με email χωρίς να είναι κρυπτογραφημένα, ή παραλαμβάνονται από συγγενείς ασθενών χωρίς αυτοί να είναι εξουσιοδοτημένοι.
Ο ειδικός επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Χ. Ζωγραφόπουλος ανέφερε πρόσφατα στο Αθηναϊκό Πρακτορείο Ειδήσεων ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θεωρείται ότι έχουν «υψηλή εμπορική αξία» για πολλούς υπευθύνους επεξεργασίας (ως εργοδότες, ως φαρμακευτικές εταιρείες, ως ασφαλιστικές εταιρείες, κλπ) γιατί μπορούν να επηρεάσουν την ικανότητα του προσώπου για εργασία, για ασφάλιση, κλπ. Μπορούν, ακόμα, σε μαζική μορφή (big data) να χρησιμεύσουν σε τομείς όπως οι κλινικές μελέτες και η παραγωγή φαρμάκων.
«Υπάρχουν κατηγορίες επιχειρήσεων που ενδιαφέρονται ιδιαίτερα για τη γνώση ιατρικών δεδομένων πολιτών. Για παράδειγμα ασφαλιστικές εταιρείες, τράπεζες (γι’ αυτό έχουν αυξηθεί οι ασφαλίσεις δανειοληπτών), αλλά και πολλοί εργοδότες. Χρειάζεται να διασφαλιστεί η προστασία των προσωπικών δεδομένων, η αποκάλυψη να γίνεται μόνο όταν υπάρχει έννομο συμφέρον, ώστε να μην καταλήγουμε σε ιατρικό φακέλωμα του πληθυσμού και παράλληλα, να αποφευχθούν ευγονικού τύπου πρακτικές (πχ να ασφαλίζονται, να δανείζονται ή να εργάζονται οι απολύτως υγιείς)».
Όπως αναφέρει ο κ. Ζωγραφόπουλος, μέχρι τώρα οι παρανομούντες έμπαιναν σε μια λογική στάθμισης κόστους ζημίας. «Εφόσον πίστευαν ότι τα πρόστιμα που θα τους επιβληθούν θα είναι χαμηλά, η κύρωση δεν λειτουργούσε αποτρεπτικά. Τώρα με την αύξηση των προστίμων θα επιδιωχθεί να παταχθούν τα φαινόμενα παρανομίας».
Αλλαγή στον τρόπο λήψης αποτελεσμάτων ιατρικών πράξεων
Μεταξύ των αλλαγών που θα επιφέρει η εφαρμογή του νέου κανονισμού, είναι και η διαδικασία λήψης αποτελεσμάτων ιατρικών εξετάσεων. Ήδη, αρκετές Μονάδες Υγείας, στον ιδιωτικό και δημόσιο τομέα, σταμάτησαν να αποστέλλουν ηλεκτρονικά τα αποτελέσματα εξετάσεων, ενώ για την παραλαβή τους από τρίτο πρόσωπο, ζητούν εξουσιοδότηση.
Τα αποτελέσματα ιατρικών εξετάσεων καταρχήν, πρέπει να παραλαμβάνονται αυτοπροσώπως από τον ασθενή και εάν το ζητήσει ο ίδιος είναι δυνατή και η αποστολή με ηλεκτρονικό ταχυδρομείο. Η ορθή πρακτική για να αποφεύγονται διαρροές είναι να αποστέλλονται κρυπτογραφημένα (κλειδώνεις με τη χρήση λογισμικού, το «κλειδί» να το έχει ο ασθενής).
«Από τις 25 Μαΐου του 2018 που θα εφαρμοστεί ο κανονισμός, αν ένα ιδιωτικό κέντρο υγείας ή ένας γιατρός ή ένα νοσοκομείο χάσει ιατρικά δεδομένα ή περιέλθουν σε μη δικαιούμενα πρόσωπα, γίνονται βαρύτερες οι διοικητικές κυρώσεις (ιδίως πρόστιμα). Αυτό μπορεί να έχει ως συνέπεια να αυξηθούν και τα ποσά που επιδικάζουν τα δικαστήρια στους θιγόμενους (είτε ως χρηματική αποζημίωση για τη ζημία που υπέστησαν ή και χρηματική ικανοποίηση για την ηθική βλάβη που υπέστησαν)».
Τι πρέπει να κάνουν τα ιατρεία
Σύμφωνα με τον Ιατρικό Σύλλογο Αθηνών ο ιατρός οφείλει:
Να τηρεί Αρχείο Επεξεργασίας για τα ευαίσθητα δεδομένα υγείας των ασθενών του.
Να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει:
α) να ενημερώσει με σαφήνεια τον ασθενή για την περαιτέρω χρήση των δεδομένων του και για το σκοπό αυτής και
β) να μην προχωρήσει στην περαιτέρω χρήση τους αν δεν λάβει τη συναίνεση του ασθενούς για κάθε σκοπό ξεχωριστά.
Να αναγνωρίζει και να σέβεται δικαιώματα των Ασθενών:
Ο ασθενής, αναφορικά με τα προσωπικά του δεδομένα, έχει τα εξής δικαιώματα
Δικαίωμα πρόσβασης στα δεδομένα του: Το δικαίωμα να γνωρίζει αν τα δεδομένα του υφίστανται επεξεργασία, πώς και για ποιο σκοπό.
Δικαίωμα διόρθωσης των δεδομένων του: Το δικαίωμα να ζητήσει διόρθωση των προσωπικών του δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.
Δικαίωμα διαγραφής των δεδομένων του: Το δικαίωμα να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων υπό ορισμένες προϋποθέσεις. Προσοχή: Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.
Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του: Το δικαίωμα να ζητάει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν συντρέχουν ορισμένες προϋποθέσεις.
Δικαίωμα στη φορητότητα των δεδομένων του: Το δικαίωμα του ασθενή να ζητήσει να αποσταλούν τα στοιχεία του σε τρίτο (π.χ. άλλο γιατρό).
Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το δικαίωμα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας αιτιολογημένα το αίτημα (π.χ. αρνούμενος αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.
Να εφαρμόζει τεχνικά μέτρα ασφαλείας:
Να χρησιμοποιεί ισχυρό – δύσκολο password (π.χ. όχι «1234») για την είσοδο στα συστήματα και στις εφαρμογές και ανά τακτά χρονικά διαστήματα αλλαγή τους.
Απενεργοποίηση λειτουργίας μέσων αποθήκευσης (π.χ. USB) όπου αυτή δεν χρειάζεται (π.χ. PC γραμματείας).
Χρήση μοντέρνων λειτουργικών συστημάτων υπολογιστή και συνεχόμενη ενημέρωσή τους.
Χρήση λογισμικού προστασίας από κακόβουλο λογισμικό (antivirus).
Ενεργοποίηση Τείχους Προστασίας (Firewall) στον υπολογιστή.
Αποφυγή χρήσης λογισμικού ελεύθερης χρήσης.
Αποφυγή χρήσης και παραχώρησης προνομιακών δικαιωμάτων πρόσβασης στον απλό χρήστη (δικαιώματα Local Administrator).
Λήψη αντιγράφων ασφάλειας σε τακτά χρονικά διαστήματα.
Αποφυγή χρήσης ελευθέρων e-mail, π.χ. Yahoo, για αποστολή και λήψη ευαίσθητων δεδομένων, π.χ. ιατρικών εξετάσεων.
Κρυπτογράφηση τοπικού δίσκου υπολογιστή μέσω του λειτουργικού συστήματος.
Κρυπτογράφηση εξωτερικών μονάδων αποθήκευσης (π.χ. εξωτερικός σκληρός δίσκος, USB κ.ο.κ.).