Holenderski Urząd Ochrony Danych Osobowych (CBP) przeprowadził dochodzenie w sprawie wymaganej zgody na wymianę medycznych danych osobowych przez Krajowy Punkt Wymiany (LSP). LSP umożliwia podmiotom świadczącym opiekę zdrowotną, takim jak lekarze i farmaceuci, dostęp do aktualnych danych medycznych pacjentów za pomocą tzw. numeru BSN. Utworzenie LSP w zeszłym roku wywołało kontrowersje z powodu obaw o bezpieczeństwo systemu i ochrony prywatności pacjentów. Dochodzenie przeprowadzone przez CBP w 2013 i 2014 roku, skupiło się na Stowarzyszeniu Świadczeniodawców Opieki Zdrowotnej na rzecz Komunikacji w Służbie Zdrowia (VZVZ), które jest odpowiedzialne za przetwarzanie danych medycznych zgodnie z ustawą o ochronie danych osobowych.
Wyraźna zgoda pacjentów jest konieczna
Na podstawie próby, w której wykorzystano 149 kartotek pacjentów okazało się, że w ośmiu przypadkach nie można było ustalić, czy pacjent udzielił ważnej zgody na wymianę danych poprzez LSP. W wielu przypadkach brakowało dowodu na udzielenie ważnej zgody przez pacjenta, natomiast z innych - okazywało się, że pacjent był uprzednio niewystarczająco poinformowany o wymianie danych. Dla pacjenta musi być jasne, kto przetwarza jego dane osobowe, w jakim celu tak się dzieje i komu dane te zostaną przekazane.
CBP podkreśla, że wyraźna zgoda pacjenta jest konieczna: „Umieszczenie kilku ulotek w recepcji czy na stojaku z broszurami czy też zaoferowanie możliwości pobrania ulotki ze strony internetowej świadczeniodawcy nie jest wystarczające. Lekarze powinni odpowiednio informować swoich pacjentów, a następnie zapytać o ich wyraźną zgodę na wymianę ich danych poprzez LSP”.
Zdaniem CBP, zgoda na wymianę danych medycznych przez LSP jest uzyskana, jeśli w kartotece pacjenta znajduje się jeden z następujących dokumentów:
- formularz udzielenia zgody podpisany przez pacjenta
- zrzut ekrany z systemu informacyjnego świadczeniodawcy, wskazujący że pacjent zgodził się na wymianę informacji
- - adnotacja otrzymania zgody pacjenta. W tym przypadku,wymagany jest podpis lub parafka pracownika podmiotu świadczącego opiekę zdrowotną.
Ponadto dokument potwierdzający zgodę pacjenta musi być zawsze opatrzony datą.
Gwarancje
Holenderska Federacja Pacjentów NPCF jest rówież zdania, że pacjenci powinni być lepiej poinformowani o tym, co dzieje się z ich danymi. W wyniku dochodzenia, VZVZ podjęło środki organizacyjne i techniczne w celu zapewnienia wymiany jedynie tych danych, co do których uzyskano wyraźną zgodę. Zdaniem CBP, środki te są wystarczające.