Pacjent ma prawo do zachowania w tajemnicy, przez osoby wykonujące zawód medyczny i udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego. Takie rozwiązania reguluje ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
Osoby wykonujące zawód medyczny są zobowiązane zachować w tajemnicy informacje związane ze stanem zdrowia pacjenta.
Wgląd do danych osobowych jest możliwy, gdy:
- zachowanie tajemnicy może stanowić niebezpieczeństwo dla życia lub zdrowia pacjenta bądź innych osób,
- zachodzi potrzeba przekazania niezbędnych informacji o pacjencie związanych z udzielaniem świadczeń zdrowotnych innym osobom wykonującym zawód medyczny, uczestniczącym w udzielaniu tych świadczeń
- pacjent lub jego przedstawiciel ustawowy wyraża zgodę na ujawnienie tajemnicy
Do przetwarzania danych osobowych mogą być dopuszczone osoby przeszkolone, zobowiązane do zachowania tajemnicy i posiadające odpowiednie upoważnienie nadane przez administratora danych. Nadając upoważnienia do przetwarzania danych należy jednak precyzyjnie określić, co przysługuje osobie upoważnionej.
Poza administratorem danych osobowych ( ewentualnie dyrektorem medycznym), wszyscy pozostali pracownicy i współpracownicy, osoby gwarantujące świadczenia opieki zdrowotnej, jak i administracja, muszą mieć stosowne upoważnienia do przetwarzania danych osobowych pacjenta.
Każda z tych osób powinna wiedzieć, co i z jakimi danymi może robić, gdyż każda z nich ma inny zakres uprawnień. Nie ma jednak obligatoryjnego wzoru upoważnienia. Na pewno powinno zawierać takie elementy jak imię i nazwisko osoby upoważnionej, stanowisko i miejsce zatrudnienia, zakres uprawnień.
Warto nadać w takim upoważnieniu identyfikator, jakim użytkownik będzie posługiwać się w systemie informatycznym oraz zamieścić odpowiednią klauzulę o znajomości i przestrzeganiu zasad i przepisów ochrony danych, a także deklarację zachowania tajemnicy. Bezwzględnie należy prowadzić ewidencje osób upoważnionych do przetwarzania danych osobowych pacjenta. To pozwoli bezpiecznie zarządzać dokumentacją pacjentów.
Jeśli decydujemy się na outsourcing obsługi informatycznej i wdrożenie prowadzenia dokumentacji medycznej w postaci elektronicznej należy konstruować odpowiednie umowy powierzenia przetwarzania danych. Powinny zapewniać danym administratora odpowiednią dalszą ochronę, a procesor musi wiedzieć, jakie dane, w jakim celu i w jakim czasie może przetwarzać.
Podstawa prawna:
- ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz.U. z 2012 r. poz. 159 ze zm.),
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.).
Piotr Glen, administrator bezpieczeństwa informacji
Zobacz także: