ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ- Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις συμμόρφωσης προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) | ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ- Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις συμμόρφωσης προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) – Ιατρικός Σύλλογος Έβρου

ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ- Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις συμμόρφωσης προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)

ΚΥΡΙΑ ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΑΠΛΟΥ ΙΔΙΩΤΙΚΟΥ ΙΑΤΡΕΙΟΥ

ΠΟΥ ΤΗΡΕΙ ΗΛΕΚΤΡΟΝΙΚΟ ΑΡΧΕΙΟ ΑΣΘΕΝΩΝ

ΜΕ ΤΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR)

Ο ιατρός οφείλει:

  1. Να τηρεί Αρχείο Επεξεργασίας για τα ευαίσθητα δεδομένα υγείας των ασθενών του (βλ.  Υπόδειγμα Αρχείου Επεξεργασίας – ΑΡΧΕΙΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΙΑΤΡΕΙΟΥ).
  2. Να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει:

α) να ενημερώσει με σαφήνεια τον ασθενή για την περαιτέρω χρήση των δεδομένων του και για το σκοπό αυτής και

β) να μην προχωρήσει στην περαιτέρω χρήση τους αν δεν λάβει τη συναίνεση του ασθενούς για κάθε σκοπό ξεχωριστά.

  1. Να αναγνωρίζει και να σέβεται δικαιώματα των Ασθενών:

3.1. Ο ασθενής, αναφορικά με τα προσωπικά του δεδομένα, έχει τα εξής δικαιώματα
α) Δικαίωμα πρόσβασης στα δεδομένα του: Το δικαίωμα να γνωρίζει αν τα δεδομένα του υφίστανται επεξεργασία, πώς και για ποιο σκοπό.
β) Δικαίωμα διόρθωσης των δεδομένων του: Το δικαίωμα να ζητήσει διόρθωση των προσωπικών του δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.
γ) Δικαίωμα διαγραφής των δεδομένων του
: Το δικαίωμα να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων υπό ορισμένες προϋποθέσεις.

ΠροσοχήΕάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.
δ) Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του
: Το δικαίωμα να ζητάει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν συντρέχουν ορισμένες προϋποθέσεις.

  1. ε) Δικαίωμα στη φορητότητα των δεδομένων του: Το δικαίωμα του ασθενήνα ζητήσει να αποσταλούν τα στοιχεία του σε τρίτο (π.χ. άλλο γιατρό).
  • 2Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το δικαίωμα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας αιτιολογημένα το αίτημα (π.χ. αρνούμενος αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.
  1. Να εφαρμόζει τεχνικά μέτρα ασφαλείας:
  • Να χρησιμοποιεί ισχυρό – δύσκολοpassword (π.χ. όχι «1234») για την είσοδο στα συστήματα και στις εφαρμογές και ανά τακτά χρονικά διαστήματα αλλαγή τους.
  • Απενεργοποίηση λειτουργίας μέσων αποθήκευσης (π.χ.USB) όπου αυτή δεν χρειάζεται (π.χ. PC γραμματείας).
  • Χρήση μοντέρνων λειτουργικών συστημάτων υπολογιστή και συνεχόμενη ενημέρωσή τους.
  • Χρήση λογισμικού προστασίας από κακόβουλο λογισμικό (antivirus).
  • Ενεργοποίηση Τείχους Προστασίας (Firewall) στον υπολογιστή.
  • Αποφυγή χρήσης λογισμικού ελεύθερης χρήσης (free download).
  • Αποφυγή χρήσης και παραχώρησης προνομιακών δικαιωμάτων πρόσβασης στον απλό χρήστη (δικαιώματαLocal Administrator).
  • Λήψη αντιγράφων ασφάλειας σε τακτά χρονικά διαστήματα.
  • Αποφυγή χρήσης ελευθέρωνe-mail, π.χ. Yahoo, για αποστολή και λήψη ευαίσθητων δεδομένων, π.χ. ιατρικών εξετάσεων.
  • Κρυπτογράφηση τοπικού δίσκου υπολογιστή μέσω του λειτουργικού συστήματος.
  • Κρυπτογράφηση εξωτερικών μονάδων αποθήκευσης (π.χ. εξωτερικός σκληρός δίσκος, USB κ.ο.κ.).

* ΠΡΟΣΟΧΗ: Τα παραπάνω είναι οι ελάχιστες υποχρεώσεις κάθε απλού ιατρείου. Σας συμβουλεύουμε να εξετάσετε τα ανωτέρω ως ενδεικτικά μέτρα, καθώς και να λάβετε υπ’ όψιν ότι έχει μεγάλη σημασία και η σωστή εφαρμογή τους. Ενδεικτικά, η χρήση ισχυρού password αποτελεί ενδεδειγμένο μέτρο, αλλά εάν το password δεν φυλάσσεται σωστά και βρίσκεται σημειωμένο δίπλα στον υπολογιστή ή σε σημείο εύκολα προσβάσιμο, δεν προσφέρει κάποια πρόσθετη εξασφάλιση. Σε κάθε περίπτωση, επισημαίνεται ότι τα παραπάνω αφορούν αλλαγές που φέρνει ο νέος Κανονισμός στους ιατρούς που ούτως ή άλλως δεσμεύονται από τον Κώδικα Ιατρικής Δεοντολογίας να διασφαλίζουν το ιατρικό απόρρητο και να προστατεύουν τα στοιχεία των ασθενών τους.

ΑΝΑΚΟΙΝΩΣΗ 2

Σας κοινοποιούμε μια συλλογή από συχνές ερωτήσεις και απαντήσεις σχετικές με τον νέο κανονισμό προσωπικών δεδομένων (GDPR), η οποία θα εμπλουτίζεται κατά καιρούς με νέο υλικό

  1. Τι θα πρέπει να προσέξω εάν χρησιμοποιώ υπηρεσία τηλεφωνικής γραμματείας;

Σχετικά με την υπηρεσία τηλεφωνικής γραμματείας, θα πρέπει να έχετε σύμβαση με την εταιρεία που σας παρέχει την τηλεφωνική γραμματεία και να προβλεφθεί στη σύμβαση ότι η εταιρεία που συλλέγει για λογαριασμό σας τα στοιχεία των ασθενών που κλείνουν ραντεβού αναλαμβάνει τις υποχρεώσεις της ως εκτελούσα την επεξεργασία

Επίσης, εάν οι κλήσεις ηχογραφούνται θα πρέπει να ορίσετε για πόσο χρόνο είναι αναγκαίο να διατηρείται η ηχογράφηση και όταν δεν είναι πλέον αναγκαία και δεν εξυπηρετεί κάποιο σκοπό, να διαγράφεται.

  1. Θα πρέπει να τηρώ το Αρχείο Επεξεργασίας του άρθρου 30GDPR;

Η παράγραφος 5 του άρθρου 30 του Κανονισμού εξαιρεί μεν μικρούς οργανισμούς, όπως αυτοί που έχουν λιγότερους από 250 εργαζομένους, όμως, η εξαίρεση αυτή δεν ισχύει για περιπτώσεις επεξεργασίας δεδομένων υγείας. Συνεπώς, ένας ιδιώτης ιατρός πρέπει να τηρεί αρχείο επεξεργασίας, μόνο για τις επεξεργασίες που αφορούν δεδομένα υγείας.  Ενδεικτικά, δεν χρειάζεται να καταγραφούν σε αυτό άλλες επεξεργασίες που δεν είναι συστηματικές ή δεν αφορούν δεδομένα υγείας (π.χ. δεν χρειάζεται να καταγραφεί ως διαδικασία η τήρηση ενός αρχείου με ονοματεπώνυμο, ειδικότητα, τηλέφωνο, e-mail συναδέλφων ιατρών για επαγγελματική χρήση).

  1. Ποιά είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας τουGDPR και στο Ιατρικό Αρχείο;

Στο Αρχείο Επεξεργασίας του GDPR καταγράφουμε διαδικασίες. Δεν καταγράφουμε στοιχεία συγκεκριμένων ασθενών. Δεν χρειάζεται να παρέχεται στους ασθενείς. Ο ιατρός το τηρεί για δική του χρήση στο ιατρείο για την καλύτερη οργάνωσή του ή/και για τυχόν έλεγχο από Αρχές.

Τα στοιχεία ασθενών εξακολουθούν να καταγράφονται στο Ιατρικό Αρχείο, όπως αυτό προβλέπεται από το Άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας. Η δομή και το περιεχόμενο του Ιατρικού Αρχείου με τα στοιχεία των ασθενών δεν τροποποιείται από τις διατάξεις του GDPR ούτε αντικαθίσταται από κάποιο άλλο αρχείο.

  1. Εάν το ζητήσουν οι ασθενείς, μπορώ να δίνω αποτελέσματα ιατρικών εξετάσεων σε τρίτους;

Τα αποτελέσματα εξετάσεων αποτελούν προσωπικά δεδομένα, επομένως πρέπει να διασφαλίσετε ότι δεν τα παρέχετε σε τρίτους που δεν είναι  εξουσιοδοτημένοι. Ένας αποτελεσματικός τρόπος που προστατεύει τους ασθενείς, ενώ ταυτόχρονα διασφαλίζει ότι και εσείς δεν εκτίθεστε σε νομικούς κινδύνους, είναι να έχετε ένα έντυπο, το οποίο θα συμπληρώνει κάθε ασθενής πριν εξεταστεί και στο οποίο, εκτός από τα στοιχεία του ασθενούς που ούτως ή άλλως πρέπει να καταγραφούν, θα περιλαμβάνεται και ένα πεδίο που θα συμπληρώνεται υποχρεωτικά και όπου ο ασθενής θα δηλώνει με ποιον τρόπο θα παραλάβει τα αποτελέσματα των εξετάσεών του.  Σε περίπτωση που ο ασθενής δηλώσει ότι επιθυμεί να παραλάβει τα αποτελέσματα τρίτος, θα πρέπει (ο ασθενής) να συμπληρώσει το πλήρες ονοματεπώνυμο του τρίτου (συνιστάται να αναφέρεται και ο αριθμός ταυτότητας) και να υπογράψει το έντυπο. Κατά την παράδοση των αποτελεσμάτων των εξετάσεων στον τρίτο, πρέπει να ελέγχετε την ταυτότητα του τρίτου, ώστε να βεβαιωθείτε ότι είναι το εξουσιοδοτημένο από τον ασθενή πρόσωπο.

  1. Διενέργεια εξετάσεων από συνεργάτη του ιατρού & ενημέρωση του ασθενούς

Ο ασθενής θα πρέπει να ενημερώνεται σχετικά με το εάν τα δεδομένα του θα διαβιβαστούν σε τρίτους αποδέκτες. Δεν χρειάζεται αρχικά να προσδιοριστούν ακριβώς οι τρίτοι (π.χ. στο Χ εργαστήριο) αλλά οι κατηγορίες τους (π.χ. “σε ορισμένες περιπτώσεις τα στοιχεία σας και το βιολογικό υλικό αποστέλλονται σε συνεργαζόμενα εργαστήρια για την ολοκλήρωση των εξετάσεων”). Εάν ο ασθενής ασκήσει το δικαίωμα πρόσβασης, δικαιούται να ενημερωθεί με μεγαλύτερη λεπτομέρεια σχετικά με τους αποδέκτες των δεδομένων του. Στην περίπτωση αυτή θα πρέπει εντός 1 μηνός να του παράσχετε όλα τα αναγκαία στοιχεία, συμπεριλαμβανομένων των στοιχείων των αποδεκτών – συνεργατών σας. Αν και προβλέπεται η δυνατότητα εξαίρεσης περιπτώσεων που ο αποδέκτης δεσμεύεται από το επαγγελματικό απόρρητο, δεν θεωρούμε ότι έχει εφαρμογή αυτή η εξαίρεση σε τέτοιες περιπτώσεις, καθώς στοχεύει κυρίως στο να αντιμετωπίσει περιπτώσεις που το επαγγελματικό απόρρητο έρχεται σε σύγκρουση με την υποχρέωση ενημέρωσης (π.χ. εάν ο ασθενής ενημερώσει τον ιατρό για παθήσεις συγγενών στο πλαίσιο λήψης του ιστορικού του, ο ιατρός δεν υποχρεούται να ενημερώσει τους συγγενείς ότι κατέγραψε και θα διατηρήσει τα δεδομένα τους, καθώς αυτό θα παραβίαζε την υποχρέωσή του για τήρηση του απορρήτου του ασθενή του).

  1. Αν δεν κρατάω τα στοιχεία των ασθενών απαλλάσσομαι από τις υποχρεώσεις του Κανονισμού;

Η τήρηση ιατρικού αρχείου με τα στοιχεία του ασθενή που ορίζει το άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας είναι υποχρέωση κάθε ιατρού και πρέπει να τηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενούς στα ιδιωτικά ιατρεία και για 20 έτη στις υπόλοιπες περιπτώσεις. Επομένως, δεν αποτελεί επιλογή για τους ιατρούς η μη τήρηση προσωπικών δεδομένων ασθενών.

  1. Ιατρικό Απόρρητο βάσει Κώδικα Ιατρικής Δεντολογίας και Ασφάλεια Προσωπικών Δεδομένων βάσειGDPR.

Ο Κανονισμός GDPR επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων. Οι έννοιες αυτές δεν είναι κάτι τελείως νέο για τους ιατρούς. Βάσει του Κώδικα Ιατρικής Δεοντολογίας, οι ιατροί σε κάθε περίπτωση δεσμεύονται από την υποχρέωση τήρησης του ιατρικού απορρήτου (εμπιστευτικότητας). Παράλληλα οφείλουν να τηρούν Ιατρικό Αρχείο, που συνδέεται στενά με τη διασφάλιση της ακεραιότητας, (καθώς τα στοιχεία των ασθενών πρέπει να προστατεύονται από τυχόν αλλοίωσή τους) καθώς και με τη διασφάλιση της διαθεσιμότητας (καθώς το Ιατρικό Αρχείο πρέπει βάσει του Κώδικα να διατηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενή από τους ιδιώτες ιατρούς και για 20 έτη στις υπόλοιπες περιπτώσεις).

Ο τρόπος με τον οποίο διασφαλίζεται το απόρρητο των στοιχείων των ασθενών, διαφέρει ανάλογα με τον τρόπο λειτουργίας του ιατρείου και τήρησης του αρχείου. Ενδεικτικά, εάν τηρείτε το αρχείο σε έντυπη μορφή, θα πρέπει να φροντίσετε αυτό να μην είναι προσβάσιμο σε οποιονδήποτε μη εξουσιοδοτημένο τρίτο (σε ασφαλή χώρο, π.χ. κλειδωμένο φοριαμό), αν και εγγενώς το φυσικό (έντυπο) αρχείο δεν μπορεί εύκολα να πληροί τις λοιπές προδιαγραφές του Κανονισμού, π.χ. ως προς τη διαθεσιμότητα (καθώς δεν υπάρχει συνήθως η δυνατότητα ανάκτησης σε περίπτωση που κλαπεί, αλλοιωθεί ή καταστραφεί, εκτός εάν τηρείται και αντίγραφο ή εάν τα ίδια δεδομένα υπάρχουν και σε ψηφιακή μορφή).

Για το ηλεκτρονικό αρχείο προτείνουμε να δείτε τη σχετική Ανακοίνωση 1 με τις συνοπτικές οδηγίες συμμόρφωσης ιδιωτικού ιατρείου, όπου αναφέρονται ορισμένα μέτρα που μπορούν να ληφθούν για την προστασία των ηλεκτρονικών αρχείων.

  1. Με την εφαρμογή του GDPR θα πρέπει να αφαιρεθεί από σφραγίδες και συνταγές το ΑΜΚΑ των ιατρών που δείχνει την ηλικία τους;

Η αναγραφή του ΑΜΚΑ επιβάλλεται σε ορισμένες περιπτώσεις για σκοπούς εξυπηρέτησης του δημόσιου συμφέροντος. Ο Κανονισμός GDPR δεν καταργεί υποχρεώσεις που προκύπτουν από διατάξεις άλλων νόμων. Επομένως, η εφαρμογή του Κανονισμου GDPR δεν καταργεί την υποχρέωση αναγραφής του ΑΜΚΑ σε όσες περιπτώσεις αυτή προβλέπεται από το Νόμο.

  1. Τι θα πρέπει να υπογράψουν οι συνεργάτες μου στο ιατρείο για να διασφαλίζεται το απόρρητο των ασθενών μου;

Εάν οι συνεργάτες σας είναι άλλοι ιατροί, δεσμεύονται από το νόμο για την τήρηση του ιατρικού απορρήτου, επομένως αυτή η δέσμευση ισχύει ακόμη και εάν δεν υπογράψουν κάποιο κείμενο που τους δεσμεύει ειδικά.

Εργαζόμενοί σας, όπως γραμματείς, που δεν δεσμεύονται από το ιατρικό απόρρητο από το νόμο, θα πρέπει στη σύμβασή τους ή/και σε χωριστό έγγραφο εάν δεν θέλετε να παρέμβετε σε υπάρχουσα σύμβαση να αναλάβουν την «υποχρέωση να τηρούν την εμπιστευτικότητα των δεδομένων των ασθενών και να συμμορφώνονται με το πλαίσιο που διέπει την προστασία προσωπικών δεδομένων». Το κείμενο αυτό μπορεί να εμπλουτίζεται κατά περίπτωση με ειδικότερες προβλέψεις (π.χ. εάν έχετε καταγράψει βασικούς κανόνες ασφάλειας για τη χρήση ηλεκτρονικού υπολογιστή, να αναφέρετε στη σύμβαση/δήλωση ότι θα τηρούν πάντοτε αυτούς τους κανόνες).

εμπλουτίζεται κατά περίπτωση με ειδικότερες προβλέψεις (π.χ. εάν έχετε καταγράψει βασικούς κανόνες ασφάλειας για τη χρήση ηλεκτρονικού υπολογιστή, να αναφέρετε στη σύμβαση/δήλωση ότι θα τηρούν πάντοτε αυτούς τους κανόνες).

σύμβαση/δήλωση ότι θα τηρούν πάντοτε αυτούς τους κανόνες).

Για ένα πρότυπο δήλωσης εμπιστευτικότητας: ΔΗΛΩΣΗ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑΣ