Telemedycyna a RODO: czy na odległość oznacza bezpiecznie?

Stan epidemii trwa. Wzrasta ilość ograniczeń dotyczących m.in. przemieszczania się i gromadzenia ludzi. Koronawirus i choroba, którą wywołuje nie jest jedynym schorzeniem pacjentów. Z tego powodu wzrasta znaczenie telemedycyny, która umożliwia skonsultowanie niektórych chorób z użyciem środków porozumiewania się na odległość i tym samym uniknąć wychodzenia z domu.

Czym jest telemedycyna? To wykorzystanie technologii informacyjnych i komunikacyjnych dla świadczenia usług medycznych w sytuacji, gdy pracownik służby zdrowia i pacjent nie znajdują się w tym samym miejscu. Do korzystania z telemedycyny niezbędny jest telefon albo komputer i łącze internetowe.  Możemy wyróżnić różne podtypy telemedycyny w zależności od rodzaju świadczonych usług (specjalizacji np. telekardiologia) oraz sposobu ich świadczenia (usługa świadczona w czasie rzeczywistym e-wizyta, monitorowanie stanu zdrowia, przechowywanie danych).

Oznacza to, że usługi opieki zdrowotnej są świadczone na odległość. Taki sposób świadczenia usługi wiąże się z przesyłaniem danych osobowych pacjenta, w tym danych dotyczących stanu zdrowia, czyli danych szczególnych kategorii (dla przypomnienia – motyw 35 RODO uzupełnia definicje danych o stanie zdrowia zawartą w art. 4 pkt 15 RODO).

Co to oznacza?

Dostosowanie całego procesu przetwarzania danych do wymogów RODO, a przede wszystkim zapewnienia adekwatnego poziomu bezpieczeństwa przetwarzania danych z wykorzystaniem rozwiązań  telemedycznych, zgodnie z art. 32 RODO. Przepisy te nie dają jednak gotowych rozwiązań. To podmiot udzielający świadczeń (administrator danych) musi zdecydować czy zastosowane środki bezpieczeństwa są wystarczające. W tym celu powinien przeprowadzić – z uwagi na przetwarzanie danych szczególnych kategorii – ocenę skutków dla ochrony danych, tak aby móc właściwe ocenić ryzyko i odpowiednio nim zarządzić. Warto podkreślić, że chodzi o ryzyko dla praw i wolności podmiotów danych a nie dla kondycji finansowej podmiotu świadczącego usługi telemedyczne.

Nowoczesna technologia, wykorzystująca szybkie procesy i algorytmy umożliwia przesyłanie obrazów o wysokiej rozdzielczości, a także interaktywną transmisję audiowizualną. Szczególnie obecnie jest to sposób świadczenia usług, który ma szansę na dynamiczny rozwój, do nowinek technologicznych związanych z przetwarzaniem danych zdrowotnych należy natomiast podchodzić z dużą ostrożnością.

Podmioty, które korzystają z dostawców gotowych rozwiązań telemedycznych powinny podpisać z dostawcą umowę powierzenia przetwarzania danych osobowych. Przed podpisaniem takiej umowy należy dokonać wnikliwej oceny podmiotu przetwarzającego poprzez m.in. żądanie wyników przeprowadzonych analiz ryzyka, wskazania stosowanych zabezpieczeń, sprawdzenia czy system daje możliwość realizacji praw podmiotów danych, oraz czy odpowiada wymogom związanym z przechowywaniem dokumentacji medycznej, sprawdzenia czy dostawca korzysta z usług podwykonawców oraz czy dane są przekazywane poza Europejski Obszar Gospodarczy. Dobrze gdy dostawca korzysta z międzynarodowych norm bezpieczeństwa.

Poza kwestami związanymi z bezpieczeństwem danych w systemach teleinformatycznych, podmiot świadczący usługi telemedyczne zobowiązany jest do wdrożenia i stosowania odpowiednich  procedur zapewniających zgodność przetwarzania danych z RODO, np. procedura reakcji na incydenty, realizacji żądań podmiotów danych, przestrzeganie zasad privacy by design / privacy by default. Podmiot świadczący usługi nie może też zapomnieć o jasnej i zrozumiałej dla pacjenta informacji dotyczącej przetwarzania jego danych osobowych.

Agnieszka Świerczyńska

Autor

Agnieszka Świerczyńska

Ma doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów. Bierze udział w procesie analizy ryzyka pod kątem naruszenia praw i wolności osób fizycznych oraz wdrażaniu RODO ze szczególnym uwzględnieniem podmiotów prowadzących działalność leczniczą.