Προστασία Δεδομένων στο χώρο της Υγείας

* Του Δημητρίου Μπούκα

Από τις 25 Μαΐου 2018 έχει τεθεί σε εφαρμογή ο Γενικός Κανονισμός  Προστασίας Δεδομένων της Ε.Ε. (GDPR), ενώ πρόσφατα ψηφίστηκε από το ελληνικό κοινοβούλιο και ο ν. 4624/2019 που ενσωματώνει και προσαρμόζει τον Κανονισμό στα ελληνικά δεδομένα. Πάντως, το προηγούμενο χρονικό διάστημα- και εν αναμονή του νόμου- αρκετοί φορείς του δημόσιου και ιδιωτικού τομέα έσπευσαν να «συμμορφωθούν» προς τις επιταγές του Κανονισμού ακολουθώντας τις συμβουλές μεγάλων δικηγορικών γραφείων και πολυεθνικών συμβουλευτικών εταιρειών. Ωστόσο, τέλος Ιουλίου, σε μια εξ αυτών επιβλήθηκε και το πρώτο μεγάλο πρόστιμο ύψους 150.000 ευρώ. Αυτό φαίνεται να είναι και το καμπανάκι που δείχνει πώς η περίοδος χάριτος βαίνει προς το τέλος της.

Στο στόχαστρο εγκληματιών του κυβερνοχώρου αλλά και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα βρίσκονται – για διαφορετικούς λόγους - τα νοσοκομεία (δημόσια και ιδιωτικά), μονάδες υγείας αλλά και ιατρεία. Τα δεδομένα υγείας πάντα έχουν μεγάλη ζήτηση. Ως εκ τούτου χρήζουν ιδιαίτερης προσοχής και ασφάλειας και ανάλογα με το μέγεθος των μονάδων άρα και τον όγκο των δεδομένων που διαχειρίζονται, υπάρχουν συγκεκριμένες υποχρεώσεις που πρέπει να τηρούνται. Για παράδειγμα, σε όλα τα δημόσια νοσοκομεία και μονάδες υγείας, όπως και στα μεγάλα ιδιωτικά θεραπευτήρια θα πρέπει να υπάρχει Υπεύθυνος Προστασίας Δεδομένων ή DPO (Data Protection Officer), ένας νέος θεσμός που εισάγει ο GDPR στο άρθρο 37.

Την ίδια ώρα όμως, τι γίνεται με τα ιδιωτικά ιατρεία; Μπορεί να μην βρίσκονται στο άμεσο στόχαστρο της Αρχής και να μην κινδυνεύουν από πρόστιμα εκατομμυρίων ευρώ που προβλέπονται στον Κανονισμό, ωστόσο, ο κίνδυνος που διατρέχουν αν διαρρεύσουν τα ευαίσθητα δεδομένα ή αν υπάρξει κάποια καταγγελία από ανταγωνιστή ή δυσαρεστημένο πελάτη είναι υπαρκτός. Ως εκ τούτου, θα πρέπει να προχωρήσουν σε κάποια συγκεκριμένα βήματα για να περιορίσουν το ρίσκο.

Για παράδειγμα θα πρέπει να τηρούν Αρχείο Επεξεργασίας και να διαθέτουν έντυπο ενημέρωσης και λήψης συναίνεσης των ασθενών αν προβαίνουν σε χρήση των δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου όπως για αποστολή ηλεκτρονικών μηνυμάτων ή τηλεφωνικών κλήσεων για υπενθύμιση επανελέγχου κλπ. Δεν θα πρέπει να διαφεύγει της προσοχής μας ότι για κάθε διαφορετική χρήση των δεδομένων, άρα ξεχωριστό σκοπό, απαιτείται συγκεκριμένη συναίνεση και όχι γενική και αφηρημένη. Επιπρόσθετα, θα πρέπει να υπάρχει ενημέρωση των ασθενών για τα δικαιώματα που έχουν όπως: πρόσβασης, διόρθωσης και διαγραφής των δεδομένων του, περιορισμό της επεξεργασίας των δεδομένων και δικαίωμα στη φορητότητα, πχ στην αποστολή των δεδομένων του σε άλλο ιατρό.

Την ίδια ώρα, ο κάθε ιατρός θα πρέπει να λαμβάνει τα «κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας των δεδομένων» που κατέχει και επεξεργάζεται. Ενδεικτικά, να γίνεται χρήση ασφαλών κωδικών και μοντέρνων λειτουργικών συστημάτων με συνεχόμενη ενημέρωσή τους, να υπάρχει προστασία από κακόβουλο λογισμικό, να γίνεται λήψη back up σε τακτά χρονικά διαστήματα, να υπάρχει τυχόν κρυπτογράφηση φορητών μονάδων αποθήκευσης δεδομένων, να καταρτίζονται συμφωνίες εμπιστευτικότητας με συνεργάτες που λαμβάνουν ευαίσθητα δεδομένα, η ιστοσελίδα του ιατρείου να διαθέτει πολιτική προστασίας δεδομένων, να υπάρχει πολιτική ασφαλούς καταστροφής εγγράφων κά.

Με βάση τα παραπάνω, γίνεται εύκολα αντιληπτό πώς επί της ουσίας δεν υπάρχει ουσιαστική διαφοροποίηση στις υποχρεώσεις του κάθε ιατρού όπως αυτές απορρέουν από τον Κώδικα Ιατρικής Δεοντολογίας για τη διασφάλιση του ιατρικού απορρήτου και της προστασίας των στοιχείων του κάθε ασθενή. Αντιθέτως, μέσω του Κανονισμού και του νόμου, δίνεται μιας πρώτης τάξεως ευκαιρία να εξειδικευθούν και να ρυθμιστούν με συστηματικό τρόπο όλα τα παραπάνω. Αντί λοιπόν της δαιμονοποίησης των υποχρεώσεων του νομικού πλαισίου, η καλύτερη λύση είναι αυτό- συμμόρφωση, ως μέσο για την επίτευξη της εύρυθμης και αποδοτικής λειτουργίας του ιατρείου.

Ο Δημήτρης Μπούκας είναι δικηγόρος- διαμεσολαβητής, σύμβουλος επιχειρήσεων σε θέματα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR Compliance) και Πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (Certified DPO Executive).

Εκ Μέρους της Ελληνικής Δερματολογικής & Αφροδισιολογικής Εταιρείαςwww.edae.gr