Szigorú előírások, lemaradt infrastruktúra

Január 28-a az adatvédelem nemzetközi napja,

ez alkalommal kedden a Marosvásárhelyi Orvosi, Gyógyszerészeti, Műszaki  és Tudományegyetemen konferenciát tartottak az egészségügyi adatvédelemről. A konferencia – amelyen több egészségügyi és adatvédelemmel foglalkozó intézmény, civil szervezet és szaktestület képviselője vett részt – célja, hogy az új európai adatvédelmi szabályoknak megfelelően járjanak el a hazai egészségügyi szolgáltatásban dolgozók. 

A konferenciát sajtótájékoztató előzte meg, ahol dr. Leonard Azamfirei professzor, egyetemi tanár, az orvosi egyetem rektora elmondta, hogy az oktatási intézmény másodjára szervezi meg a konferenciát, amely egy igen kényes kérdést tárgyal: a betegek adatkezelését. Az egészséggel kapcsolatos információk a magánélet legintimebb szféráját jelentik, ugyanakkor fontos, hogy azok, akik a pácienst, valamint az adatokat kezelik, megfelelőképpen járjanak el az egészségügyi intézményekben. Az adatkezelés felelősségével már az egyetemen kell foglalkozni, ezért is az intézmény örömmel vállalta a konferencia házigazdájának szerepét. 

Dr. Nicolae Ploeşteanu egyetemi előadótanár, a konferencia tudományos elnöke kifejtette, nem egynapos konferenciáról van szó. Az oktatási intézmény 188 órás egyetem utáni képzést biztosít, a tanfolyamot elvégzők az egészségügyi és a munkaügyi minisztérium által elismert oklevelet kapnak, és így adatkezelő-biztosok lehetnek. Az Európai Bizottság már 1981-ben elfogadta a 108-as számú egyezményt, amely szabályozza a magánjellegű adatok kezelését. Az európai törvénykezést ratifikáló hazai jogszabályok előírják, hogy minden intézménynél – így a kórházakban is – alkalmazni kell egy adatkezelő-biztost, aki a betegekre vonatkozó adatok bizalmas kezeléséért felel. Ez jelenti tulajdonképpen az újdonságot. A jogszabály gyakorlati alkalmazása nemcsak abból áll, hogy az egészségügyi intézmények kineveznek egy adatkezelő biztost, hanem meg kell teremteni az adatközlés, -továbbítás biztonságos műszaki és szervezési feltételeit. Ehhez pedig különböző intézmények együttműködésére van szükség. Nem mindegy, hogy ki fér hozzá a magánszemélyek betegségével, kezelésével stb. kapcsolatos adatokhoz. Az is kérdés, hogy miként oldják meg az adatátvitelt a háziorvostól a kórházakig, adott esetben határon túli, orvosi szolgáltatást végző egységekig. Az is érdekes, hogy ki kit kell értesítsen, tájékoztasson, és miként kerülhetnek az adatbázisba olyan adatok, amelyek akár a személyi jogokat is sérthetik. Ki felel azért, ha ilyen adatok nyilvánosságra kerülnek? Ezért fontos először is tájékoztatni ezekről az érintetteket, a potenciális pácienseket, leginkább pedig az egészségügyben dolgozókat – hangzott el a sajtótájékoztatón. 

Silviu Rusu, a romániai egészségügyi szolgáltatókat ellenőrző egyesület elnöke elmondta, nagyon fontos, hogy a különböző szolgáltatók akkreditálásánál vegyék figyelembe az adatvédelmi követel- ményeket. Az egészségügyi pénztárral szerződésben levő akkreditált egészségügyi szolgáltatóknak tiszteletben kell tartaniuk az adatvédelmi előírásokat. A szakmai besorolás szerint a hazai foglalkozások nyilvántartója szerinti 242231-es kóddal (COR) kell rendelkezzen az adatvédelmi biztos, akinek ugyanakkor felsőfokú végzettsége kell legyen – mondta az elnök. 

Marius Dumitrescu, a romániai adatvédelmi szakértők egyesületének elnöke ismertette azt az adatkezelésre, védelemre vonatkozó statisztikai felmérést, amelyet 2018. november 15-e és december 1-je között készítettek 36 megyében egészségügyi szolgáltatókkal. Kérdőív alapján a megkeresettek a szervezésre és az adatkezelésre, -védelemre vonatkozó 44 kérdésre kellett válaszoljanak. 195 szolgáltatóhoz jutottak el, a megkérdezettek 38%-a kórház, 14%-a gyógyszertár, 12%-a klinika, 9%-a orvosi rendelő, 8%-a egészségügyi hatóság, 7%-a szakmai szervezet, a továbbiak pedig laboratóriumok, nemkormányzati szervezetek, illetve orvosi felszereléseket és egészségügyi oktatást végző cégek képviseletében válaszoltak a kérdésekre. A mintavétel potenciálisan 45.400 alkalmazottra, ebből 2140 vezető beosztásban levő személyre és 

mintegy 2,6 millió – egy naptári évben szolgáltatásban részesülő – páciensre vonatkozik. Az eredmények alapján a megkérdezettek 81,03%-a tisztában van azzal, hogy milyen feltételekkel kezelhetik a bizalmas adatokat, és intézkedéseket is hoztak ennek érdekében, de 42,05%-uk még nem nevezett ki adatkezelő biztost. Az is bebizonyosodott, hogy sokan nincsenek tudatában annak, hogy bizalmasan kell kezelni például a páciensek személy-azonossági igazolványában levő adatokat, ugyanakkor nem tudják, mitévők legyenek a fénykép- és videofelvételek esetében. (Sz.m.: szigorúan tilos nyilvánosságra hozni vagy a beteg beleegyezésével film- vagy fényképfelvételt készíteni kórházakban, járóbeteg-rendelőkben stb.) Az intézmények 79,49%-a külső szolgáltatói szerződést kötött cégekkel. Ez esetben fontos, hogy az egészségügyi intézményekkel szerződő szolgáltatók (takarítás, gyorsposta stb.) is tiszteletben kell tartsák az adatvédelmi jogszabályt. A felmérésben részt vevő intézmények 73,85%-ában működik térfigyelő kamera, 55,9%-nál azért, hogy kövessék a személyzet munkáját. Továbbá az intézmények 74,36%-ának van internetes honlapja és 37,44%-uk a Facebookon is működtet oldalt. Ez esetben pedig nagyon fontos tudni, hogy milyen adatokat hozhatnak nyilvánosságra ezeken a felületeken. A felmérésben a részt vevők 16,41%-ának nincs archiválási rendszere, és ennél aggasztóbb, hogy az intézmények 52,31%-a nem rendelkezik a magánjellegű adatokat tároló archívumhoz való hozzáférési szabályzattal. Az is kiderült, hogy 37,44%-uknál volt már adatbiztonsági incidens, és az esetek 73,85%-ában nem tudták kezelni a helyzetet. 

Marius Dumitrescu arra is felhívta a figyelmet, hogy sokan (70,26%) yahoo.com és gmail.com kiterjesztésű elektronikus postacímet használtak szakmai adatok közlésére. Az említett postafiókokba kerülő adatokat ugyanis az Amerikai Egyesült Államokban tárolják, így bizonyos értelemben ezekre nem vonatkozik az európai adatbiztonsági előírás. A szakértő azt tanácsolta az egészségügyben dolgozóknak, hogy ahol lehetőség van, kérjenek az intézménytől saját szerveren tárolható postafiókot, és ezt használják szakmai ügyekben. Még egy fontos technikai aspektus, hogy a felmérés szerint a megkérdezettek 11,28%-a nem használ vírusellenőrzőt a számítógépen. Ez azért fontos, mert védelem nélkül adott esetben akár a páciens életbevágóan fontos adatai vesztődhetnek el, ami nagy felelősséggel jár. 

A tájékoztatót követő beszélgetésből kiderült, hogy nagyon fontos felkészíteni, tájékoztatni az egészségügyben dolgozókat az adatvédelemre vonatkozó előírásokról, eljárásokról. Még ma is nagy a bürokrácia, hiszen küldőcédulákat, kibocsátókat, különböző kivizsgá- lások papíron rögzített eredményeit kell sétáltatni rendelőtől kórházig, háziorvosi és szakorvosi rendelőkig. Az sem rendeződött még el, bár minden páciens joga lenne, hogy hozzáférhetővé tegyék a háziorvosnál elektronikus formában tárolt személyi egészségügyi lapot. Még nincs kiépítve az elektronikus rendszer, amely lehetővé tenné ugyanakkor az egészségügyi nyilván- tartásnak a különböző kórházi egységekben dolgozók általi azonnali elérhetőségét. Mert míg a tőlünk nyugatabbra levő országokban balesetkor, amikor a sérült nincs magánál, már a mentőautóban elérhető az adatlap, amin adott helyzetben életmentő információk vannak, nálunk pedig időbe telik, ameddig megkapják a szükséges adatokat, és ez akár az ember életébe is kerülhet. A konkrét példákat sorolva kiderült, hogy nem elég az Európai Uniónak megfelelő jogszabályt alkalmazni e téren Romániában, ha nincsen hozzá infrastruktúra, megfelelő humán- és műszaki erőforrás, lehetőség. Mindezek mellett az is nyilvánvaló, hogy túl az intézményes felelősségen, a legfontosabb az emberi hozzáállás, a páciens és az orvos közötti kölcsönös bizalom és jó szándék, a jóérzés, ami nélkül nem lehet elképzelni az egészségügyi szolgáltatást. Legalábbis elméletben.