Zgodnie z przepisami RODO, wszystkie dane osobowe należy w odpowiedni sposób gromadzić i zabezpieczać, by nie dopuścić do ewentualnego wycieku danych wrażliwych. Rozporządzenie RODO dotyczy nie tylko firm, świadczących usługi przez Internet, ale także tych podmiotów, które oferują swoje usługi w sposób stacjonarny. Do nich natomiast zaliczają się bez wątpienia placówki opieki zdrowotnej. Co ciekawe, nie wszyscy zdają sobie sprawę z tego, że dokumentacja RODO może być prowadzona w formie elektronicznej, o czym podczas minionej Akademii Managera Ochrony Zdrowia AMOZ opowiadała dr Zuzanna Łaganowska, inspektor ochrony danych osobowych i radca prawny w Kancelarii Bąkowski.

Czy można zrezygnować z dokumentacji papierowej?

Całokształt dokumentacji w placówkach medycznych powinien dzielić się na cztery segmenty. Mamy wówczas do czynienia z podziałem na:

• dokumentację, dotyczącą relacji placówki z pacjentem,
• dokumentację pracowniczą,
• dokumentację związaną z obsługą przez kontrahentów,
• oraz wewnętrzną dokumentację samej organizacji.

W przypadku RODO skupimy się przede wszystkim na pierwszym z tych segmentów, czyli na dokumentacji, którą powinien podpisać pacjent. Przy pierwszej rejestracji otrzymuje on przede wszystkim klauzule informacyjne – to podstawowy dokument, z którym musi się on zapoznać, a także formularz kontaktowy. Oprócz nich otrzymuje także zgody na leczenie bądź wykonanie zabiegu dla osoby dorosłej lub pacjenta małoletniego, zależnie od zaistniałej sytuacji. Fakultatywnie pacjent może także otrzymać zgody na przetwarzanie danych w celach marketingowych.

Co jednak istotne, zgody na leczenie lub wykonanie zabiegu mogą być podpisane przez pacjenta w formie papierowej, lub w formie elektronicznej, z kwalifikowanym podpisem elektronicznym. Te dokumenty muszą być przechowywane w formie elektronicznej – można dodatkowo przechowywać je w formie papierowej, jednak zaleca się stosowanie w przypadku dokumentacji RODO formy elektronicznej. Należy przy tym pamiętać o konieczności backupu danych oraz zastosowania jak najlepszych zabezpieczeń, uniemożliwiających utratę przechowywanych informacji, zawierających dane wrażliwe, czy też dane o stanie zdrowia pacjentów.

Jak usprawnić prowadzenie i aktualizację dokumentacji RODO w placówce medycznej?

Przede wszystkim warto ustrzec się kilku podstawowych błędów, jakie można popełnić podczas przygotowywania dokumentacji RODO. Do najczęściej popełnianych zaliczamy między innymi zbyt rozbudowane klauzule informacyjne. Jeżeli zamierzamy szczegółowo opisać procedury itp. – wystarczy umieścić rozbudowaną, obszerną klauzulę informacyjną na stronie internetowej, natomiast pacjentowi przedstawić wersję skróconą i poinformować go, gdzie znajdzie kompletny zestaw informacji. Błędem są również takie klauzule, które cechuje niezrozumiała lub zbyt szczegółowa treść informacji. Ponadto należy unikać niejasno sformułowanych treści zgód na przetwarzanie danych w celach marketingowych oraz – co nierzadko ma miejsce – konieczności wielokrotnego wypełniania na formularzach tych samych danych. Należy także wystrzegać się braku formularzy (na przykład dotyczących zgód na leczenie), czy też braku informacji o przetwarzaniu danych lub o monitoringu w placówce medycznej.

Pomimo że istnieje obowiązek powołania Inspektora Ochrony Danych dopiero w podmiotach zatrudniających powyżej 250 osób, w placówkach medycznych rekomendowane jest zatrudnianie Inspektora nawet przy mniejszej liczbie personelu. Osoba ta czuwa nad naszą dokumentacją RODO i aktualizuje ją. Samo wdrożenie dokumentacji RODO jest bowiem proste, natomiast uaktualnianie jej zależnie od wprowadzanych zmian zajmuje dużo czasu i jest dużo bardziej skomplikowane, niż pierwsze wdrożenie dokumentacji. Z tego powodu dobrze jest mieć osobę z kwalifikacjami, która będzie nad tym czuwała, a w przypadku kontroli będzie reprezentować placówkę.

Jak prowadzić dokumentację RODO w formie elektronicznej?

Tym, na co warto zwrócić szczególną uwagę w kwestii prowadzenia dokumentacji RODO w formie elektronicznej, jest zapewnienie odpowiedniego poziomu bezpieczeństwa przechowywanych informacji. W tym celu należy zastosować szereg środków technicznych, które umożliwią odpowiednie zabezpieczenie dokumentacji przed dostępem do niej osób niepowołanych, przed wyciekiem danych wrażliwych oraz przed utratą całej bazy danych. Oznacza to między innymi konieczność szyfrowania danych czy też pseudonimizacji – każdy pacjent ma przypisany swój unikalny kod składający się z cyfr lub cyfr i liter, przez co w przypadku wycieku pojedynczej bazy niemożliwe będzie przypisanie osoby do danych jednostek chorobowych. Konieczne jest także stosowanie ochrony antywirusowej. Warto zadbać o bezpieczeństwo również poprzez wprowadzenie hasła systemowego lub indywidualnego konta użytkownika wprowadzającego dane – dzięki temu w systemie zapisywana będzie informacja, kto i w jaki sposób modyfikował poszczególne dane dotyczące pacjentów.

Aspekt, o którym łatwo zapomnieć, a który jest niesamowicie ważny, to stosowanie kopii zapasowych. Nawet jak najlepiej przygotowana i prowadzona dokumentacja RODO oraz dotycząca stanu zdrowia pacjentów na nic się nie zda, jeśli w niespodziewanym momencie ulegnie skasowaniu lub uszkodzeniu. Z tego powodu bardzo ważne są regularne backupy – być może połączone z przechowywaniem danych w odpowiednio zabezpieczonej i przygotowanej chmurze obliczeniowej, wykorzystując najnowsze rozwiązania technologiczne.

Praktyczne aspekty dotyczące prowadzenia dokumentacji pacjenta

Warto pamiętać także o konsekwencjach utraty danych osobowych pacjentów. W takiej sytuacji placówkę czeka przede wszystkim kontrola i kara, nałożona przez Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO), jednak to nie jedyna konsekwencja. Mogą pojawić się również roszczenia osób, których dane dotyczą, co więcej – bez wątpienia będziemy mieli do czynienia ze stratami wizerunkowymi, co przekłada się w pewien sposób na utratę konkurencyjności. Pacjenci mogą odejść do innych podmiotów ochrony zdrowia, przekonani, że tam ich dane osobowe oraz informacje o stanie zdrowia będą bezpieczne. By zapobiec takiej sytuacji, konieczne jest zabezpieczenie danych za pomocą odpowiednich narzędzi informatycznych, w tym rozwiązań w chmurze i backupów danych. Jeśli nie jesteśmy w stanie sami zapewnić tego w naszej organizacji, warto skorzystać z firm, które profesjonalnie świadczą tego typu usługi.