Ο Ατομικός Ηλεκτρονικός Φάκελος Υγείας έπειτα από τον ΓΚΠΔ 679/2016 και τον Ν. 4600/2019

22/05/2019

22/05/2019

Ο Α.Η.Φ.Υ είναι ένα αυτοματοποιημένο σύστημα δόμησης, καταγραφής, ανάκτησης και διακίνησης ιατρικών πληροφοριών, ανεξάρτητα του τρόπου λήψης των δεδομένων, είτε εξ αποστάσεως από άλλο επαγγελματία υγείας είτε από την καταχώρηση ιατρικών εξετάσεων, που στοχεύει στην βελτίωση των υπηρεσιών υγείας, η οποία παρέχεται από τους εν γένει επαγγελματίες υγείας και την κάλυψη του δημοσίου συμφέροντος για υγεία. Η ψηφιακή συλλογή και αποθήκευση των δεδομένων υγείας και η ασφάλειά του ερείδεται στην αρχή της εμπιστευτικότητας μέσω το ιατρικού απορρήτου, της ακεραιότητας και διαθεσιμότητας των ιατρικών πληροφοριών από εξουσιοδοτημένα άτομα, όπως είναι οι επαγγελματίες υγείας.

Με την συνολική καταχώρηση των πληροφοριών υγείας ενός ατόμου και την δυνατότητα, που του δίνει και ο ΓΚΠΔ μέσω των ενισχυμένων δικαιωμάτων του, να μπορεί να διασταυρώνει την ορθότητα των στοιχείων του και τον τρόπο επεξεργασίας του, καθίσταται εφικτή η μείωση των ιατρικών λαθών και η γραφειοκρατική αντιμετώπιση του ασθενούς. Διευκολύνεται η συνεργασία και συνέργεια των παρόχων υγείας καθώς και η ιατρική έρευνα και εκπαίδευση και προστατεύεται σφαιρικά το πιο πολύτιμο στοιχείο της προσωπικότητας του ανθρώπου, αυτό της υγείας, καθόσον βελτιώνονται με την ορθή χρήση του οι υπηρεσίες της.

Η ασφάλεια του αρχείου του ηλεκτρονικού φακέλου υγείας ερείδεται στην εξισορρόπηση μεταξύ του παρεχόμενου επιπέδου τεχνικής ασφαλείας του συστήματος, της ευκολίας χρήσης του συστήματος από εξουσιοδοτημένους χρήστες και του κόστους χρήσης, που συνεπάγεται η υλοποίηση των μέτρων ασφαλείας. Η έννοια της εμπιστευτικότητας για τον Α.Η.Φ.Υ είναι συνυφασμένη με την αποτροπή της μη εξουσιοδοτημένης πρόσβασης σε ιατρικές πληροφορίες του ασθενούς, η έννοια της ακεραιότητας αφορά στην παρεμπόδιση σε μη εξουσιοδοτημένα άτομα παρέμβασης στον φάκελο και στην διατήρηση της εγκυρότητας των πληροφοριών, που αφορούν στην υγεία και η έννοια της διαθεσιμότητας συνδέεται με την απαγόρευση παρέμβασης των δεδομένων υγείας και της διατήρησης της ορθότητας του ιατρικού ιστορικού και πληροφοριών και την διασφάλιση της εύκολης και ασφαλούς πρόσβασης σε εξουσιοδοτημένα άτομα, όπως είναι οι επαγγελματίες υγείας, όπου και όταν αυτό κριθεί απαραίτητο.

Η φύση του περιεχομένου του συστήματος του Α.Η.Φ.Υ με δεδομένα υγείας καθιστά την επεξεργασία τους υψηλού κινδύνου, για την εξασφάλιση της οποίας είναι απαραίτητες να δημιουργηθούν και να τηρηθούν κάποιες δικλείδες ασφαλείας. Η σύνταξη και τήρηση πολιτικής ασφαλείας έχει την δυνατότητα να συνδράμει αποτελεσματικά στην ασφάλεια της χρήσης του Α.Η.Φ.Υ και συνίσταται στους τρείς κύριους πυλώνες δραστηριοποίησης του Υπεύθυνου Προστασίας Δεδομένων της μονάδας υγείας που χειρίζεται τον Α.Η.Φ.Υ: στην αποτίμηση κινδύνου (risk assessment), όπως αυτή αναλύθηκε παραπάνω, στην διαχείριση κινδύνου (risk management) και την ευαισθητοποίηση και εκπαίδευση χρηστών (user training), μέσα στα πλαίσια της λειτουργίας του Α.Η.Φ.Υ.1

Το νομικό πλαίσιο για την καθιέρωση του συστήματος Α.Η.Φ.Υ πλαισιωμένο από τις διασφαλίσεις του ΓΚΠΔ, με την ευχέρεια, που δείχνει ο ΓΚΠΔ στα κράτη-μέλη να εξειδικεύσουν με εθνικό νόμο τις διατάξεις του, όσον αφορά στα προσωπικά δεδομένα υγείας, μπορεί να θέσει πιο συγκεκριμένα τεχνικά και οργανωτικά μέτρα για την αποφυγή διαρροής, απώλειας, κλοπής και αναρμόδιας πρόσβασης των στοιχείων στο σύστημά του, με την χρήση των τεχνικών προδιαγραφών του λογισμικού του και τον έλεγχο συμμόρφωσης από τον Υπεύθυνο Προστασίας Δεδομένων. Ειδικές περιπτώσεις, για τις οποίες ο ΓΚΠΔ δεν κάνει σαφή πρόβλεψη αλλά δίνει κατευθυντήριες γραμμές είναι η περίπτωση ασθενούς ανίκανου να ανταποκριθεί σε αίτημα για συγκατάθεση ή ο τρόπος διαβίβασης δεδομένων υγείας σε τρίτες χώρες με μη επαρκές νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων.

Την 9.3.2019 ψηφίστηκε ο Νόμος υπ’ αριθμ. 4600 Τεύχος Α’ 43/09.03.2019, που αφορά στον «Εκσυγχρονισμό και Αναμόρφωση Θεσμικού Πλαισίου Ιδιωτικών Κλινικών, Σύσταση Εθνικού Οργανισμού Δημόσιας Υγείας, Σύσταση Εθνικού Ινστιτούτου Νεοπλασιών και λοιπές διατάξεις». Στο άρθρο 84 του νόμου αναφέρεται χαρακτηριστικά ότι καθιερώνεται ο Ατομικός Ηλεκτρονικός Φάκελος Υγείας για όλους τους κατόχους Α.Μ.Κ.Α. και Α.Υ.Π.Α. Ο Α.Η.Φ.Υ. αποσκοπεί στην προάσπιση, την προστασία και την προαγωγή της υγείας του πληθυσμού, μέσω του προγραμματισμού και της υλοποίησης πολιτικών δημόσιας υγείας, στη διασφάλιση της καθολικής και ισότιμης πρόσβασης στην παροχή ποιοτικά και ποσοτικά επαρκών υπηρεσιών υγειονομικής φροντίδας από το Εθνικό Σύστημα Υγείας, στη διασφάλιση των πόρων που διατίθενται για την υγειονομική περίθαλψη, τον έλεγχο των δαπανών και την αποτελεσματική χρηματοδότηση της υγειονομικής περίθαλψης, καθώς επίσης και στη ρύθμιση της λειτουργίας και στην άσκηση εποπτείας στους φορείς υγειονομικής φροντίδας του ιδιωτικού τομέα. Ο Α.Η.Φ.Υ. περιέχει το ατομικό ιστορικό υγείας του λήπτη υπηρεσιών υγείας, καθώς και δεδομένα, εκτιμήσεις και πληροφορίες κάθε είδους σχετικά με την κατάσταση και την κλινική εξέλιξη του προσώπου αυτού, ως ασθενούς, καθ’ όλη τη διαδικασία περίθαλψής του. Το περιεχόμενο του Α.Η.Φ.Υ. τηρείται ισοβίως, επομένως στο σημείο αυτό καθορίζεται ο χρόνος διατήρησης των προσωπικών δεδομένων υγείας, που περιλαμβάνει ο Α.Η.Φ.Υ., και είναι ενιαίο και υποχρεωτικό σε εθνικό επίπεδο.

Η ενεργοποίηση του Α.Η.Φ.Υ. γίνεται από τον οικογενειακό γιατρό, στον οποίο είναι εγγεγραμμένος ο λήπτης υπηρεσιών υγείας, διαφορετικά από οποιονδήποτε άλλο γιατρό, ειδικότητας γενικής ιατρικής, παθολογίας ή παιδιατρικής, πιστοποιημένο και εξουσιοδοτημένο από το σύστημα αρχειοθέτησης του Α.Η.Φ.Υ. Κάθε φυσικό ή νομικό πρόσωπο τηρεί ή επεξεργάζεται νομίμως ατομικό φάκελο ή μητρώο ασθενών υποχρεωτικά καταχωρεί στον Α.Η.Φ.Υ. κάθε δεδομένο υγείας που σχετίζεται με τον ασθενή.

Τέλος με το προαναφερόμενο άρθρο του ν. 4600/2019 ποινικοποιείται η παράνομη επέμβαση στον Α.Η.Φ.Υ. ή η παράνομη επεξεργασία των προσωπικών δεδομένων που περιλαμβάνει αυτός. Συγκεκριμένα αναφέρεται ότι: «Όποιος, χωρίς δικαίωμα, επεμβαίνει με οποιονδήποτε τρόπο στα συστήματα αρχειοθέτησης του Α.Η.Φ.Υ., του Συστήματος Ηλεκτρονικής Συνταγογράφησης (Σ.Η.Σ.) και του ηλεκτρονικού φακέλου δαπάνης ασφάλισης υγείας δικαιούχου, που δημιουργήθηκε και τηρείται στον Ε.Ο.Π.Υ.Υ., ή λαμβάνει γνώση των δεδομένων προσωπικού χαρακτήρα, που τηρούνται στα Μητρώα αυτά, ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο τιμωρείται με φυλάκιση και χρηματική ποινή και, αν πρόκειται για ευαίσθητα δεδομένα, με φυλάκιση ενός (1) έτους και χρηματική ποινή τουλάχιστον είκοσι χιλιάδων (20.000) ευρώ, αν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.15. Αν ο υπαίτιος των πράξεων της προηγούμενης παραγράφου είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, ή να βλάψει τρίτον, επιβάλλεται κάθειρξη έως δέκα (10) έτη και χρηματική ποινή τουλάχιστον πενήντα χιλιάδων (50.000) ευρώ.».

Οι υπεύθυνοι επεξεργασίας, όπως π.χ. τα νοσοκομεία ή οι εκτελούντες την επεξεργασία επαγγελματίες υγείας ή τα αρμόδια, όπως οριστούν από τον ελληνικό νόμο πρόσωπα, που θα έχουν πρόσβαση στον Α.Η.Φ.Υ., θα πρέπει να λειτουργούν στα πλαίσια της λογοδοσίας για τον τρόπο επεξεργασίας των δεδομένων υγείας, να φέρουν εις πέρας εκτιμήσεις αντικτύπου (DPIA) και να είναι συμμορφωμένοι με τις αυστηρές απαιτήσεις του ΓΚΠΔ2.

Η πλήρης περιγραφή των βημάτων επεξεργασίας, η καταχώρηση των ειδικών αιτημάτων πρόσβασης για την ανάγνωση ή καταγραφή, οι κανονιστικοί εσωτερικοί έλεγχοι, η αποτροπή της αναρμόδιας πρόσβασης ή αλλαγής στοιχείων κατά την διάρκεια της μεταφοράς ή συνημμένης αποθήκευσης, η ενημέρωση και οδηγίες στο εξουσιοδοτημένο προσωπικό, η διάκριση ρόλων και λειτουργιών και η τήρηση ενός εσωτερικού και εξωτερικού ελέγχου της προστασίας των δεδομένων έχουν την δυνατότητα να αποτελέσουν εξασφαλιστικά μέτρα πρόληψης παραβίασης δεδομένων και ελευθερίας ροής πληροφοριών3.

Οι ενέργειες αυτές σε συνδυασμό με την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων ή στην περίπτωση των ανηλίκων ή τελούμενων σε δικαστική συμπαράσταση, κηδεμόνων ή συμπαραστατών για λογαριασμό τους, αντίστοιχα, οριοθετεί την ασφαλή χρήση του Α.Η.Φ.Υ.

  • 1. Βλ. Γεώργιος Βασιλακόπουλος, «Ασφάλεια Ηλεκτρονικού Ιατρικού Φακέλου – Διεθνείς τάσεις και Ελληνική πραγματικότητα», Συνήγορος του Πολίτη «Πρακτικά Ημερίδας 29/5/2006 Αθήνα, Ιατρικό Απόρρητο, πληροφορίες που αφορούν προσωπικά δεδομένα, ηλεκτρονικός ιατρικός φάκελος και αρχεία νοσοκομείων», Αθήνα-Θεσσαλονίκη, Εκδόσεις Σάκκουλα 2006, σελ. 305.
  • 2. Βλ. European Data Protection Supervisor, «Opinion on the Communication from the Commission on eHealth Action Plan 2012-2020 - Innovative healthcare for the 21st century»,ό.π. σελ. 4.
  • 3. Βλ. Ομάδα Εργασίας 29, «Working Document on the processing of personal data relating to health in electronic health records (EHR)»,WP 131, 2007,σελ. 19-20.
Ιωάννα Ζαφειρίου

Ιωάννα Ζαφειρίου - Δικηγόρος παρ΄ Εφέταις

ΣΠΟΥΔΕΣ

1997: Εισαγωγή στο Τμήμα Νομικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης

2002: Αποφοίτηση από το Τμήμα...

Σύνδεση στο Lawspot

Enter your e-mail address or username.
Enter the password that accompanies your e-mail.
Ξεχάσατε τον κωδικό σας;
logo

Δεν έχετε λογαριασμό;

Μπορείτε να εγγραφείτε στο Lawspot ανεξαρτήτως ιδιότητας, ως δικηγόρος, συμβολαιογράφος ή και απλός χρήστης, συμπληρώνοντας τη σχετική φόρμα εδώ.

Αν είστε δικηγόρος, με την εγγραφή σας στο Lawspot.gr κερδίζετε σημαντικά οφέλη. Δείτε αναλυτικές πληροφορίες εδώ.