Jednym z rozwiązań, optymalizujących kontakt pacjenta z lekarzem, jest teleporada. Wiąże się ona jednak nie tylko z prawidłowym przeprowadzeniem takiej wizyty, ale również z zachowaniem wymogów związanych z RODO. Co więcej, konieczne jest także prawidłowe uzupełnienie dokumentacji medycznej oraz uniknięcie najczęstszych błędów, związanych z organizacją teleporady. W jaki sposób okiełznać teleporadę? Odpowiedzi podczas jednego z naszych webinarów starała się udzielić Radca Prawny, Karolina Cal-Całko.
Ochrona RODO
Nie ulega wątpliwości, że lekarz powinien każdorazowo ocenić, czy działa jako administrator danych w rozumieniu RODO. To właśnie ocena, czy lekarz występuje jako administrator danych (tj. podmiot, który działa jako „gospodarz” procesu przetwarzania danych osobowych pacjenta) wpływa na zakres obowiązków wynikających z RODO.
Administratorami danych są co do zasady lekarze, prowadzący indywidualną lub grupową praktykę lekarską. W przypadku lekarza zatrudnionego w podmiocie leczniczym (w tym tzw. lekarza kontraktowego, tj. pracującego na podstawie umowy cywilno-prawnej), administratorem danych jest co do zasady podmiot leczniczy. W takim przypadku zakres obowiązków lekarza może wynikać z wewnętrznej polityki przetwarzania danych osobowych, przyjętej przez podmiot leczniczy. Lekarz działający jako administrator danych ponosi główną odpowiedzialność za przetwarzanie danych osobowych.
Co więcej, jako przetwarzanie danych pacjenta rozumieć wszelkie operacje na danych osobowych pacjenta – takie jak ich zbieranie, porządkowanie, przeglądanie, udostępnianie czy też ich usuwanie.
Wśród obowiązków lekarza jako administratora danych wskazać należy m.in.:
- Obowiązek informacyjny: Administrator zobowiązany jest do przedstawienia informacji dotyczących przetwarzania danych osobowych wobec osób, których dane są przetwarzane (głównie pacjentów). Zakres przekazywanych informacji wskazany został w art. 13 (w przypadku, gdy lekarz pozyskuje dane bezpośrednio od pacjenta) oraz art. 14 (w przypadku, gdy lekarz pozyskuje dane w inny sposób) RODO. Informacje te lekarz może przedstawić w różny sposób np. na stronie internetowej lub tablicy informacyjnej – ważne, by pacjent mógł się zapoznać z zasadami przetwarzania danych osobowych.
- Realizacja praw osób, których dane dotyczą: Lekarz jako administrator danych zobowiązany jest realizować prawa osób, których dane są przetwarzane (co do zasady są to dane pacjentów). Realizacja poszczególnych praw osób, których dane dotyczą nie zawsze będzie jednak uzasadniona, np. co do zasady nie ma podstaw do usuwania lub zmiany danych zawartych w dokumentacji medycznej, chyba że są one w oczywisty sposób błędne.
- Prowadzenie rejestru czynności przetwarzania: Lekarz jako administrator danych przetwarzający szczególne kategorie danych osobowych, takie jak dane o stanie zdrowia, zobowiązany jest do prowadzenia tzw. rejestru czynności przetwarzania. Rejestr powinien zawierać elementy wskazane w art. 30 RODO.
- Zawarcie umów powierzenia przetwarzania: Lekarz jako administrator danych zobowiązany jest do zawarcia odpowiedniej umowy regulującej kwestie dotyczące przetwarzania danych osobowych – w zakresie, w jakim dane pacjentów są przetwarzane z pomocą zewnętrznych podmiotów (tj. między innymi w sytuacji, gdy lekarz przetwarzając dane osobowe wykorzystuje systemy IT udostępnione przez zewnętrznych dostawców). Nie ma co do zasady potrzeby zawierania takich umów z innymi podmiotami leczniczymi, którym np. udostępniana jest dokumentacja medyczna
Środki bezpieczeństwa wdrażane przez administratora danych
Po przeprowadzeniu oceny ryzyka administrator zobowiązany jest do wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa. Środki te wdrażane są przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrożenia, charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw osób, których dane są przetwarzane. Przepisy RODO nie określają konkretnych środków bezpieczeństwa, które należy zastosować w celu zapewnienia odpowiedniej ochrony danych pacjentów telemedycznych. Decyzja w tym zakresie należy do lekarza działającego jako administrator.
Wdrażając środki bezpieczeństwa należy uwzględnić charakterystyczne zagrożenia dla przetwarzanych danych medycznych związanych m.in. z nieuprawnionym dostępem do danych medycznych (np. wyciek danych). Środki bezpieczeństwa należy systematycznie weryfikować oraz w razie potrzeby aktualizować.
Wszystkie działania, które służą zabezpieczeniu danych osobowych: szkolenia dla pracowników, wsparcie z kancelarii prawnej itp. muszą zostać udokumentowanie poprzez certyfikaty i dokumenty. Każdy lekarz i pracownik medyczny musi zadbać, aby dane pacjenta były bezpieczne w placówce medycznej.
W przypadku jakichkolwiek pytań i wątpliwości, a także w przypadku podejrzenia, że mogło dojść do naruszenia zasad ochrony danych osobowych, należy niezwłocznie skontaktować się z inspektorem ochrony danych powołanym w placówce
Warunki zapewniające poufność rozmowy w trakcie teleporady
Jeżeli lekarz korzysta z urządzenia, do którego dostęp mają osoby trzecie, przed rozpoczęciem teleporady powinien on upewnić się, że korzysta z własnego konta w systemie. Wykorzystanie konta wspólnego (bądź konta osoby trzeciej) generuje ryzyko naruszenia tajemnicy lekarskiej oraz poufności rozmowy.
W pomieszczeniu, w którym znajduje się lekarz udzielający teleporady, nie powinien przebywać nikt inny, chyba że jest to inny pracownik medyczny zaangażowany w udzielanie świadczenia telemedycznego lub inna osoba zaakceptowana przez pacjenta (np. tłumacz). Analogicznie, kanał komunikacji wykorzystywany do połączenia powinien zapewniać, że dostęp do niego będą miały tylko osoby upoważnione do uczestniczenia w teleporadzie.
Lekarz nie ma wpływu na to, czy pacjent korzystający z teleporady przebywa w warunkach zapewniających poufność rozmowy. Pacjent powinien jednak zostać poinformowany o tym, że w czasie rozmowy mogą paść informacje dotyczące stanu zdrowia – wobec czego powinien on zadbać o dyskretne warunki rozmowy.
W przypadku wystąpienia niestandardowych sytuacji, wskazujących na działanie złośliwego oprogramowania, lekarz powinien wstrzymać się z udzielaniem teleporad do czasu otrzymania profesjonalnej pomocy. W każdym przypadku musi ponadto dojść do świadomej zgody pacjenta. Pacjent musi zostać poinformowany o swoich prawach, a lekarz musi dowiedzieć się, czy pacjent je rozumie i czy nie ma dodatkowych pytań.
Dokumentacja medyczna związana z teleporadą
Lekarz po odbytej e-poradzie musi sporządzić dokument medyczny o zrealizowaniu zdarzenia medycznego. Oznacza to, że po udzieleniu teleporady lekarz musi zapisać jej podsumowanie w dokumentacji medycznej pacjenta zgodnie z wymaganiami:
- Opis problemu zdrowotnego, rozpoznanie, zalecenia i dalsze postępowanie, wystawione e-recepty, skierowania na badania lub konsultację specjalistyczną, e-ZLA.
- Podanie kodu ICD-10 odpowiadającemu głównemu problemowi zdrowotnemu / objawowi lub rozpoznaniu.
- Zaznaczenie, że porada była udzielana w formie zdalnej – podanie kanału świadczenia (telefon, wideo, czat, itp.).
- W miarę możliwości załączenie do dokumentacji przesłanych w formie elektronicznej plików, zdjęć lub innych dokumentów.
Lekarz powinien prowadzić dokumentację medyczną porad telemedycznych na tych samych zasadach, co w przypadku świadczeń osobistych. Przed rozpoczęciem porady lekarz powinien przygotować się, zapoznając się z dostępną dokumentacją medyczną pacjenta (o ile istnieje taka możliwość). Należy zwrócić uwagę na:
- Powtarzające się porady dotyczące tego samego problemu zdrowotnego: wizyty w placówkach, wizyty domowe i szczególnie porady telemedyczne innych lekarzy. Brak poprawy lub pogarszający się stan zdrowia wymaga na nowo oceny objawów i rozpoznania;
- Ostatnie wyniki badań laboratoryjnych i obrazowych;
- Przepisane leki i inne zalecenia;
- Współistniejące choroby przewlekłe lub inne zwiększające ogólne ryzyko zdrowotne;
- Inne czynniki ryzyka (np. związane z trybem życia, dietą).
Lekarz powinien uzyskać świadomą zgodę pacjenta na świadczenie telemedyczne. Powinien także poinformować o możliwości ewentualnej awarii technologicznej oraz sposobie postępowania w przypadku jej wystąpienia. Powyższe informacje mogą być przekazane w ramach np. regulaminu świadczenia usług, który będzie dostępny dla pacjenta przed skorzystaniem z telekonsultacji. Jeżeli pacjent w jej trakcie będzie miał dodatkowe pytania, należy na nie odpowiedzieć. Zgoda nie musi mieć formy pisemnej, wystarczająca jest zgoda domniemana, czyli skorzystanie pacjenta ze świadczenia telemedycznego.
Najczęstsze błędy w organizacji teleporady
Choć teleporady stają się coraz popularniejszą formą kontaktu pacjenta z lekarzem, a w trakcie pandemii stanowiły one główną formę komunikacji, umożliwiającą dostęp do opieki medycznej, także w ich przypadku należy ustrzegać się błędów. Choć niektóre z nich mogą wydawać się oczywiste, nierzadko można dopuścić się ich mimowolnie, nieświadomie.
Jednym z najczęstszych błędów, związanych z organizacją teleporady, jest niedoinformowanie pacjenta o jego prawach. Warto także zwrócić uwagę na to, czy nie dopuszczamy się błędów w przygotowywanej podczas oraz po zakończeniu e-wizyty dokumentacji medycznej. Równie istotne jest pamiętanie o tym, że wprowadzenie informacji do dokumentacji medycznej powinno nastąpić w czasie regulaminowych 2 dni.
Wreszcie, w związku z kontaktem z pacjentem wyłącznie na odległość, jednym z najczęstszych błędów jest także niedokładne sprawdzenie tożsamości pacjenta. Warto mieć świadomość tego, że podanie przez pacjenta jedynie imienia i nazwiska to niewystarczające informacje do potwierdzenia tożsamości pacjenta.