Narzędziami umożliwiającymi bezpieczne i skuteczne uprawianie telemedycyny są nowe rozwiązania technologiczne, takie jak: komunikatory internetowe, aplikacje mobilne, sensory podłączone do sieci. Jako że obserwowany w ostatnich latach bardzo intensywny rozwój nowych technologii w dalszym ciągu postępuje, należy się spodziewać, że wraz z nim rosnąć będą możliwości oferowane przez telemedycynę, która stawać się będzie także coraz bardziej dostępna dla pacjentów. Z jednej strony mamy bowiem do czynienia z popularyzacją Internetu, urządzeń mobilnych, chmury obliczeniowej i wszelkiego rodzaju nowych rozwiązań IT, a z drugiej z nierozwiązanymi od lat problemami systemu opieki zdrowotnej, które nowe technologie są w stanie złagodzić
I. Telemedycyna a cyfryzacja danych medycznych
Polska jest na etapie, w którym w ochronie zdrowia nie zostały jeszcze w pełni wdrożone już dostępne i powszechnie wykorzystywane w innych sektorach rozwiązania IT. Tymczasem eksperci wskazują, że to właśnie nowe technologie i analizy dużych zbiorów danych są przyszłością opieki nad pacjentami[1]. Rozwiązania, które obecnie stanowią pewną nowość, tj.: (i) druk 3D wyrobów medycznych, (ii) teleoperacje, będą stawać się bardziej zaawansowane i jeszcze bardziej bezpieczne dla pacjenta. Producenci w dalszym ciągu doskonalą oferowane produkty i usługi, pracując przy tym nad zupełnie nowymi rozwiązaniami. Startupy medyczne stanowią już nowy, wyodrębniony branżowo segment rynku[2]. Narzędzia wykorzystujące sztuczną inteligencję będą w coraz większym zakresie wspomagać zarówno lekarza w procesie leczenia i opieki nad pacjentem, jak i osoby odpowiedzialne za zarządzanie ochroną zdrowia w procesie projektowania polityki publicznej w tym obszarze.
Co szczególnie istotne dla systemowego rozwoju telemedycyny, rośnie także dostępność nowych technologii dla obywateli. Eksperci szacują, że 100% gospodarstw domowych w Polsce ma mieć dostęp do szerokopasmowego Internetu już do roku 2023[3]. Oznacza to, że w praktyce każda rodzina będzie w stanie połączyć się zdalnie z lekarzem lub inną osobą wykonującą zawód medyczny.
Należy ponadto zwrócić uwagę, że rozwojowi telemedycyny towarzyszy także rozwój innych narzędzi wchodzących w zakres e-zdrowia, które wpływają na zwiększanie jej potencjału. Cyfryzacja danych medycznych i możliwość ich stosunkowo łatwego i szybkiego transferu sprzyja powstawaniu dużych zbiorów danych (tzw. big data), które mogą być poddawane pogłębionej analizie z wykorzystaniem inteligentnych aplikacji. Na ich podstawie możliwe jest wspomaganie lekarza w procesie leczenia (porównanie indywidualnych wyników pacjenta z wynikami setek innych pacjentów i ich historią choroby) oraz lepsze planowanie polityki zdrowotnej (dokładniejsza wiedza, gdzie i kiedy dane choroby występują, jak się rozprzestrzeniają itp.). Dotychczasowe badania potwierdzają, że dokonywanie analiz na dużych zbiorach danych może się przyczynić m.in. do: poprawy zarządzania ruchem pacjentów, wyznaczenia i wdrożenia właściwych ścieżek (sposobów) leczenia pacjentów, wsparcia leczenia klinicznego, monitorowania bezpieczeństwa opieki zdrowotnej, wytworzenia systemów zapewnienia kontroli zarządczej czy przeciwdziałania epidemiom i innym zagrożeniom[4].
Potwierdza to wcześniej zauważony trend, że blisko 60% pacjentów w rejonie Europy Środkowo-Wschodniej jest gotowych korzystać z rozwiązań telemedycznych, jako że umożliwiają one uzyskanie szybkiej porady lekarskiej oraz uniknięcia kolejek w publicznej służbie zdrowia[5].
Należy się więc spodziewać, że e-zdrowie, w tym telemedycyna, będą dalej się rozwijać i stale zwiększać możliwości zastosowania. Wykorzystywanie telemedycyny nie powinno być zatem odbierane jako korzystanie z nowinki technicznej, które nie wpływa zasadniczo na proces leczenia, wręcz przeciwnie – niewykorzystywanie rozwiązań telemedycznych świadczy o braku zrozumienia możliwości oferowanych przez nowe technologie oraz blokowaniu rozwiązań mogących przynieść korzyść pacjentowi.
Prowadząc działalność telemedyczną, musimy pamiętać, że informacje dotyczące pacjentów podlegają szczególnej ochronie prawnej. Dotyczy to nie tylko danych czysto medycznych, takich jak grupa krwi czy wyniki badań, ale także podstawowych danych identyfikacyjnych i kontaktowych, takich jak nazwisko czy miejsce zamieszkania. Zasady ochrony danych medycznych uregulowane są w ustawie z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawie z 10 maja 2018 r. o ochronie danych osobowych oraz rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO).
Zapewnienie odpowiedniego poziomu bezpieczeństwa tego typu informacji jest szczególnie istotne w przypadku korzystania z narzędzi telemedycznych, które wiążą się często z koniecznością przetwarzania dużej ilości danych zdrowotnych pacjenta utrwalonych w postaci cyfrowej oraz przesyłania ich za pośrednictwem Internetu. Dlatego, chcąc wykorzystać w działalności rozwiązania informatyczne, należy zwrócić szczególną uwagę na warunki umowy z dostawcą rozwiązań IT. Musi ona zawierać wszystkie wymagane przepisami prawa gwarancje bezpieczeństwa (wymagania stawiane umowom powierzenia przetwarzania danych osobowych z art. 28 RODO). Należy zwrócić uwagę, że w ramach telemedycyny dochodzi do wykorzystania różnych narzędzi telekomunikacyjnych.
W zależności od przyjętego modelu obowiązki dotyczące ochrony danych mogą być różne i wymagają każdorazowej oceny w kontekście opcji oferowanych przez dane narzędzie.
II. Dane medyczne
Dane medyczne oznaczają dane dotyczące zdrowia, czyli dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia, np. informacje o procedurach diagnostycznych i terapeutycznych, z których pacjent skorzystał, dane dotyczące leków, alkoholu lub narkotyków, przetwarzane przez podmiot leczniczy w ramach udzielania świadczeń zdrowotnych stanowią dane medyczne. Zgodne z tym poglądem jest stanowisko grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (tzw. Grupa Robocza art. 29), która wskazała, że „wszelkie dane zawarte w dokumentacji medycznej, w elektronicznej dokumentacji zdrowotnej oraz w systemach EHR należy traktować jako dane sensytywne, a więc dane szczególnie chronione”[6].
Ze względu na fakt, że dane medyczne stanowią dane wrażliwe (tzw. dane sensytywne), ich przetwarzanie jest co do zasady zabronione. Przetwarzanie danych medycznych dopuszczalne jest tylko na zasadzie wyjątku, jeżeli spełniona zostanie jedna z przesłanek określonych w art. 9 ust. 2 RODO. Jedną z nich, kluczową dla podmiotów wykonujących działalność leczniczą, jest wykorzystywanie danych medycznych pacjenta w celach zdrowotnych, np. na potrzeby procesu leczenia (art. 9 ust. 2 lit. h RODO). Podmiot wykonujący działalność leczniczą może więc przetwarzać dane medyczne, jeżeli przetwarzanie jest niezbędne do celów:
- profilaktyki zdrowotnej
- medycyny pracy,
- do oceny zdolności pracownika do pracy,
- diagnozy medycznej,
- zapewnienia opieki zdrowotnej,
- zapewnienia zabezpieczenia społecznego,
- leczenia,
- zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,
- na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową
z pracownikiem służby zdrowia,
- i z zastrzeżeniem warunków oraz zabezpieczeń dotyczących tajemnicy zawodowej.
- na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową
Dane osobowe pacjenta, w tym dane medyczne, mogą być przetwarzane także w innych celach (takich jak marketing, badania kliniczne, badania naukowe), jednak konieczne będzie spełnienie innych przesłanek ich przetwarzania, w tym uzyskanie zgody pacjenta. Zgodne z prawem przetwarzanie danych osobowych, w tym danych medycznych, wymaga też spełnienia pozostałych obowiązków wynikających z RODO, m.in. zapewnienia odpowiedniego poziomu bezpieczeństwa.
III. Jakie są zasady współpracy z dostawcami infrastruktury IT?[7]
Wykorzystywanie narzędzi telemedycznych wymaga stałej współpracy z firmami z branży informatycznej, które nie tylko zapewnią określony sprzęt i oprogramowanie, ale także odpowiedzialne będą za aktualizację oraz utrzymanie systemu w stanie gwarantującym odpowiedni poziom bezpieczeństwa. Dlatego bardzo ważną kwestią jest nawiązanie współpracy z doświadczonym oraz gwarantującym łatwy kontakt i szybkie działanie podmiotem.
Z prawnego punktu widzenia najważniejszym kryterium przy ocenie możliwości współpracy z danym przedsiębiorcą jest poziom bezpieczeństwa usług, jaki jest w stanie zaoferować. Systemy i narzędzia powinny być więc uodpornione na wszelkie zewnętrzne zagrożenia, wysokiej jakości oraz umożliwiające dalszą pracę w razie awarii. Należy więc zwrócić szczególną uwagę m.in. na stosowanie zapasowych łączy, oprogramowanie antywirusowe, system wykrywania włamań, szyfrowanie danych i system archiwizacji danych.
W świetle RODO należy zwrócić uwagę, czy dostawcy IT wdrożyli odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przyjęte rozwiązania muszą zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W stosownym przypadku oznacza to:
- pseudonimizację[8] i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów
i usług przetwarzania, - zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się przede wszystkim ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Dlatego też przed zawarciem umowy powierzenia danych osobowych warto sprawdzić m.in., czy dostawca IT:
- przetwarza już dane o stanie zdrowia lub inne kategorie danych zaliczanych do danych sensytywnych,
- wyznaczył inspektora danych osobowych,
- wprowadził środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz innych aktów regulujących legalne przetwarzanie danych osobowych oraz będą chroniły prawa osób, których dane dotyczą,
- korzysta z dalszych procesorów w procesie przetwarzania danych osobowych na zlecenie administratora danych osobowych. Jeśli tak, czy dalsi procesorzy stosują środki techniczne
i organizacyjne spełniające wymogi RODO? Czy są oni zlokalizowani w ramach Europejskiego Obszaru Gospodarczego (EOG)? - przeprowadził ocenę skutków dla ochrony danych,
- wdrożył procedury dotyczące zarządzania incydentami bezpieczeństwa,
- przechodzi regularne audyty z zakresu bezpieczeństwa danych,
- zapewnia, że osoby upoważnione do przetwarzania danych są zobowiązane do zachowania tajemnicy,
- zapewnia zgodny z prawem transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) lub przetwarza dane osobowe tylko w ramach EOG.
IV. Jakie normy ISO warto zastosować?
Międzynarodowa Organizacja Normalizacyjna (ISO) ustanawia cenione i akceptowane na całym świecie normy jakościowe w różnych dziedzinach życia społecznego, m.in. w medycynie. Przyjęcie norm umożliwia dostosowanie prowadzonej działalności do pożądanych międzynarodowych standardów zgodnych z aktualnym stanem nauki i techniki. Dostosowanie się do wynikających z nich zasad zapewnia postępowanie zgodne z prawem, zmniejsza też prawdopodobieństwo ewentualnych nieprawidłowości organizacyjnych. Certyfikat posiadania danej normy ma również znaczenie wizerunkowe jest – dla pacjenta czytelnym komunikatem mówiącym o jakości, należytej staranności i poziomie ochrony danych przez dany podmiot.
Część norm znajduje zastosowanie także do procesu udzielania świadczeń telemedycznych. Poniżej prezentujemy jedynie wybrane, kluczowe dla telemedycyny normy ISO, które powinny być wdrożone u świadczeniodawców lub podwykonawców:
- Norma ISO/IEC 27001 – dotyczy zarządzania bezpieczeństwem informacji. Odnosi się m.in. do takich kwestii jak polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie ciągłością działania czy zgodność z wymaganiami prawnymi. Europejski Komitet Ekonomiczno-Społeczny wskazał na konieczność wdrożenia normy ISO 27001 na szczeblu międzynarodowym w celu zapewnienia bezpieczeństwa danych przetwarzanych w ramach tzw. m-zdrowia.
- Norma ISO/IEC 27018 – stosowana jest w połączeniu z normą ISO/IEC 27001 i podobnie jak ona odnosi się do procesu zarządzania bezpieczeństwem informacji. Konkretyzuje standardy dotyczące bezpiecznego wykorzystywania publicznej chmury obliczeniowej.
- Norma PN-EN ISO 10781:2015-11 – zawiera standardy informatyki wykorzystywanej w ochronie zdrowia. Normuje model funkcjonalny systemu elektronicznej dokumentacji zdrowotnej
i zawiera listę referencyjną funkcji dla tego typu systemów. Zgodnie z przywołaną normą, opis funkcji jest tworzony z perspektywy użytkownika i jest niezależny od technologii oraz strategii implementacji.
Należy zwrócić uwagę, że odpowiednie normy mogą być wdrożone zasadniczo przez dostawcę usług IT. W szczególności jeżeli świadczeniodawca opiera prowadzoną działalność na outsourcingu danych medycznych (wykorzystuje np. architekturę publicznej chmury obliczeniowej), to przede wszystkim podmiot przetwarzający powinien zapewniać wysoką jakość usług potwierdzoną spełnianiem odpowiedniej normy ISO. Choć certyfikacja ISO nie jest obowiązkowa, świadczeniodawcy telemedyczni powinni możliwie najpełniej zagwarantować bezpieczeństwo i wysoką jakość świadczonych usług. Jest to szczególnie ważne w przypadku usług, które stanowią pewnego rodzaju nowość na rynku, a co za tym idzie, nie zawsze są odbierane przez potencjalnych klientów jako w pełni przewidywalne. Dlatego korzystanie z usług dostawców rozwiązań, którzy posiadają odpowiednie certyfikaty ISO, jest działaniem rekomendowanym przez Fundację Telemedyczna Grupa Robocza.
V. Podsumowanie
Podsumowując bezpieczeństwo danych w sieci zależy od wielu czynników, jednak odpowiednio sformułowana umowa stanowi narzędzie kontroli nad dostawcą usług chmurowych. Dlatego aspekt prawny w kontekście rozwiązań tzw. cloud computing jest tak istotny. Należy zwrócić uwagę zwłaszcza na standardy bezpieczeństwa, jakie dostawca usługi w chmurze stosuje. Podmioty powinny zapewnić wysoki poziom ochrony danych potwierdzony szeregiem certyfikatów zgodności z normami międzynarodowymi, np. certyfikatami ISO.
Należy pamiętać, że cyfryzacja usług medycznych łączy się z powierzeniem danych osobowych i należy mieć pewność, że dostawca chmury spełnia wymogi bezpieczeństwa określone w przepisach o ochronie danych osobowych, rekomendacjach np. Ministra Cyfryzacji dotyczących warunków przetwarzania w chmurze publicznej danych podmiotów publicznych i w konsekwencji zawrzeć świadomą umowę o powierzenie danych osobowych.
Przekazując dane osobowe do systemów zarządzanych przez dostawcę usługi w chmurze, klienci tej usługi nie mają już dalszej wyłącznej kontroli nad przekazywanymi danymi. Oznacza to, że mogą nie mieć możliwości zastosowania środków technicznych i organizacyjnych w celu zapewnienia dostępności, integralności, poufności, przejrzystości, czy odizolowania danych. Niewystarczająca ilość informacji na temat operacji przetwarzania w chmurze stanowi zagrożenie dla administratorów, jak i dla osób, których dane dotyczą przy braku świadomości potencjalnych zagrożeń i tym samym niemożności podjęcia odpowiednich środków. Szczególnie poszanowanie zasady poufności i integralności jest istotne przy przekazywaniu danych do serwerów zewnętrznych. Podmioty danych muszą mieć pewność, że ich dane są bezpieczne i nie zostaną wykorzystane przez podmioty nieuprawnione.
Dziękujemy za uwagę i zapraszamy do kontaktu z naszymi ekspertami, którzy z pewnością pomogą rozwiązać wątpliwości jak wybrać optymalne rozwiązanie.
Justyna Bójko – Radca Prawny, Partner Zarządzający w Kancelarii JBW
Dr Marlena Wach, Radca Prawny w Kancelarii JBW
Jędrzej Kinalski – Adwokat w Kancelarii JBW
[1] Trendy w polskiej ochronie zdrowia, PwC 2017, str. 6–7., https://www.pwc.pl/pl/pdf/9-trendow-w-ochronie-zdrowia-2017-pwc.
[2] O czym świadczą m.in. wydarzenia adresowane do tego kręgu przedsiębiorców i naukowców.
[3] Technologie mobilne w nowoczesnej Polsce – odpowiedzialny rozwój i równe szanse, PwC 2016, https://www.pwc.pl/pl/ pdf/technologie-mobilne-raport-pwc.pdf.
[4] K. Batko, Możliwości wykorzystania Big Data w ochronie zdrowia [w:] Roczniki Kolegium Analiz Ekonomicznych, Szkoła Główna Handlowa, nr 42, 2016, [cyt. za:] J. Kyoungyoung, K. Gang Hoon, Potentiality of Big Data in the Medical Sector: Focus on How to Reshape the Healthcare System, Healthcare Informatics Research 2013, vol. 19 (2), str. 79–85.
[5] Raport Pacjent w świecie cyfrowym – czyli jak nowe technologie zmieniają rynek usług medycznych w krajach Europy Środkowo-Wschodniej, PwC 2016, str. 17.
[6] Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR), 00323/07/PL WP 131, Bruksela 2007, str. 4.
[7] W związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
[8] Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i objęte środkami technicznymi oraz organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.