Eliminaţi “Consimţământul GDPR” al pacientului pentru serviciile medicale

Conform Regulamentului European pentru Protecţia Datelor cu Caracter Personal, consimţământul GDPR este doar una din modalităţile de a asigura legalitatea prelucrării, în domeniul sanitar existând deja alte prevederi care justifică legalitatea activităţii de prelucrare. Este important a nu se confunda cu consimţământul medical informat, de asemenea reglementat legal, care are un cu totul alt scop. Unitatea medicală poate asigura transparenţa prelucrării datelor prin afişe, pictograme sau ghiduri la care pacientul să poată avea acces uşor. Acestea sunt o parte dintre concluziile care au rezultat la finalul primei ediţii a Conferinţei Naţionale pentru Protecţia Datelor cu Caracter Personal în Domeniul Sanitar, care a avut loc la Poiana Braşov în data de 11 octombrie 2018. În urma dezbaterilor s-a ajuns la concluzia că este nevoie încă de multă educaţie în rândul personalului din sistemul sanitar, privind respectarea Regulamentului European pentru Protecţia Datelor cu Caracter Personal.

Conferinţa Naţională pentru Protecţia Datelor cu Caracter Personal a fost organizată ca un eveniment satelit al celei de-a cincea ediţii a Conferinţei Naţionale de Farmacoeconomie şi Management Sanitar, ce a avut loc în perioada 11-14 octombrie 2018, la Poiana Braşov.

La conferinţă au fost prezenţi responsabili cu protecţia datelor din peste 100 de spitale din România, case de asigurări de sănătate, clinici, lanţuri de farmacii. Conferinţa a fost una interactivă, cei 22 de speakeri din ţară şi străinătate, prin prezentări şi trei workshop-uri, aducând noutăţi din domeniul protecţiei datelor cu caracter personal, într-un interval de 10 ore, evenimentul fiind transmis live pe internet, unde a avut într-o singură zi peste 15.000 de vizualizări.

”Este o mare diferenţă între consimţământul luat de medici în relaţia cu pacienţii şi consimţământul cerut de Regulamentul 679/2016. Nu este nevoie ca în instituţiile sanitare să se ia consimţământul cerut de GDPR pentru realizarea serviciilor medicale. Aşa cum ne-am obişnuit până acum, în relaţia cu pacientul, se ia doar consimţământul medical informat. (...) Consimţământul pe GDPR nu a fost introdus special pentru sistemul sanitar sau pentru a fi folosit în relaţia medic-pacient sau farmacist-pacient. Acest tip de consimţămînt este util în altet ipuri de activităţi, cum ar fi cele de marketing. Managerii unităţilo rmedicale trebuie să renunţe la acest formular de consimţământ GDPR şi să introducă o informare a pacientului. Pot să demonstrez şi altfel că am informat persoana vizată, pot să am un afiş, un ghid, să postez informaţia pe site, sunt alte modalităţi neintruzive pentru pacient prin care poate fi informat”, a explicat Cristiana Deca, vicepreşedintele Asociaţiei Naţionale în Confidenţialitate şi Protecţia Datelor (ASCPD).

”Obţinerea unui consimţământ la internarea în spital prin solicitarea ”vă rog semnaţi aici, aici şi aici” nu este o conformare GDPR, este o rezolvare formală prin care am crescut birocraţia, am creat formulare noi ca să ne asigurăm în cazul în care pacientul ne dă în judecată. Dar avantajul va fi de partea pacientului pentru că el va spune ”nu am fost informat corect, consimţământul nu este conform GDPR, nu a fost obţinut în mod real, nu am fost informat în prealabil”. Un consimţământ pentru a fi valabil conform GDPR trebuie să îndeplinească mult mai multe condiţii decât semnatura pacientului. Consimţământul GDPR a devenit un concept care în medicină sperie un medic”, a adăugat Marius Dumitrescu, preşedintele ASCPD.

Specialiştii în protecţia datelor au explicat şi faptul că, prin obţinerea unui consimţământ GDPR nu doarc ă a crescut birocraţia,dar apare încă o dată personală ce trebuie prelucrată, respectiv semnătura.

Rezultatele Conferinţei au fost comunicate şi atutorităţilor şi managerilor de spitale în cadrul CNFMS 2018, fiind subliniat faptul că spitalele au nevoie de echipe care să colaboreze pentru complianţa GDPR, că este nevoie să existe un responsabil pentru protecţia datelor, iar managerul unităţii medicale trebuie să înţeleagă că responsabilitatea rămâne a lui chiar dacă a numit un DPO, deoarece numirea unui DPO nu este o ”delegare de putere”, acesta este mai degrabă un “evaluator care are nevoie de o echipă cu care să colaboreze pe procesul de complianţă”.

”Toate instituţiile publice sunt obligate să aibă acest om în echipă, responsabilul cu protecţia datelor şi el nu poate fi managerul IT, managerul de resurse umane, juristul sau altcineva mutat dintr-o funcţie înalta, pentru că de cele mai multe ori este în incompatibilitate. (...) Nu este neapărat nevoie de investiţii financiare mari ca săi ncerci să obţii complianţa. Un prim pas vizează sensibilizarea şi conştientizare în rândul managerilor ai mportanţei GDPR, apoi în rându lechipei de implementare GDPR şi nu în ultimul rând restul angajaţilor trebuie instruiţi şi educaţi privind modul de gestiune al datelor personale la care au acces”, a precizat Cristiana Deca.

Educaţia personalului medical este o altă direcţie importantă şi obligatorie conform Regulamentului (UE) 2016/679. ”Toţi participanţii la Conferinţă au adus la lumină nevoia de educaţie a personalului medical, acesta a fost focusul general. Personalul medical pe langa activitatea medicala pe care o desfăşoară va trebui să înţeleagă că de acump acientii au noi drepturi legate de datele lor şi că ei sunt podul de legatura între pacient şiresponsabilul cu protecţiadatelor. Să ştii că trebuie să îţi anunţi DPO-ul când un pacient solicită ştergerea datelor presuspune din start ca personalul medical să deţină un nivel de educaţie minim in aceasta zona”, a punctat şi Cristian Deca, vicepreşedinte al ASCPD

În prezent pacienţii au un grad scăzut de conştientizare a importanţei datelor cu caracter personal, existând posibilitatea ca peste un an sau doi săapară o serie de litigii. Şi înprezent există breşe de securitate pe care responsabilii cu protecţia datelor din spitale trebuie să le evalueze şi să le raporteze către ANSPDCP, iar managerii de spitale să implementeze măsuri care să elimine posibilitatea reapariţiei. Un exemplu de breşă, oferit de specialiştii în protecţia datelor este accesul camerelor de filmat ale presei în spitale, filmare apacienţilor internaţi fiind o încălcare a drepturilor la viaţa privată.

Sfaturi legate de protecţia datelor cu caracter personal au fost oferite la CNFMS 2018 şi conduceri ispitalelor de psihiatrie din ţară, participanţi la un workshop organizat în cadrul evenimentului. ”Am discutat aspecte care ţin de specificul domeniului psihiatriei, am vorbit despre internări fără consimţământul pacientului, nevoluntare. Am subliniat că nu este nevoie de consimţământ, mai ales în domeniul psihiatriei este dificil să obţiiconsimţământ de la o persoană fără discernământ. S-a discutat şi despre justificarea uno rmăsuri intruzive, filmarea unui pat de spital de exemplu, pentru a preîntâmpina rănire apacientului. Am vorbit despre utilizarea unor instrumente precum accesul biometric într-o încăpere, monitorizarea accesului într-un spital de psihiatrie, fiind foarte important cine intră, darmai ales cine părăseşte insituţia, despre metode de securitateîn general. Rezolvarea formală a acestei complianţe de GDPR a fost constatată şi înspitalele de psihiatrie, am observat spitale în subordinea ConsiliilorJudeţene care şi-au angajat persoană full time DPO şi am observat spitale foarte mari care nu au reuşit să angajeze o persoană şi au făcut cumul de funcţii în incompatibilitate”, a explicat Marius Dumitrescu.

În cadrul CNFMS, conducerea Asociaţiei Naţionale în Confidenţialitate şi Protecţia Datelor a lansat un proiect de cercetare în rândul unităţilor sanitare din România. Este vorbadespre un studiu realizat prin tehnica chestionarului elaborat înparteneriat cu Centrul de prelucrare a datelor din cadrul Universităţii de Medicină, Farmacie, Ştiinţe şiTehnologie din Tîrgu-Mureş şi Safetech.

”Participanţii la acest studiu vor oferi informaţia către experţii noştri privind anumite elemente pe care le-au implementat deja, vom evalua statistic ce înseamnă acest grad de conformare, dar nu printr-un procent. Sunt trei direcţii de analiză: partea organizatorică, partea tehnică ş isecuritate. Vom evalua aceste trei categorii pentru fiecare spital/clinică/farmacie. Cei care vor lua parte la studiu vor primi înapoi un plan de riscuri GDPR şi recomandările din partea specaliştilor noştrii. Datele statistice şi concluziile acestui studiu, dorim să lec omunicăm autorităţilor române, respectiv autorităţilor europene. Urmează să reluăm acest studiu la interval de 12 luni şi să monitorizăm modul în care domeniul sanitar din România reuşeşte să obţină conformitate. În acest moment putem înainta doar opinii, deoarece suntem într-un stadiu incipient de implementare, întreaga Europă este la fel, domeniul sanitar fiind puternic afectat”, a conchis preşedintele ASCPD.

Prima ediţie a Conferinţei Naţionale pentru Protecţia Datelor cu Caracter Personal în domeniul sanitar a fost organizată de AsociaţiaSpecialiştilorînConfidenţialitateşiProtecţiaDatelor (ASCPD) înparteneriat cuISPOR România,Camera Deputaţilor – ComisiapentruSănătateşiFamilie,SocietateaRomână de Farmacoeconomie,Universitatea de Medicină, Farmacie, ŞtiinţeşiTehnologeTîrgu-Mureş - Centrul de CercetarepentruPolitici de Sănătate şi Management şi Centrul Pentru Protecţia Datelor, Autoritatea Naţională de Management a Calităţii în Sănătate,Universitatea Sapientia din Tîrgu-Mureş şi Asociaţia SURYAM, managementul tehnic al evenimentului fiind asigurat de Health Events.