Hlavní navigace

Špatná ochrana osobních údajů, to jsou i nedovřené dveře do ordinace

Lenka Krbcová

Nařízení na ochranu osobních údajů neboli GDPR začíná platit 25. května. Co znamená pro lékaře a zejména pro jejich pacienty? Mění se pro ně něco? Praktický lékař popisuje situace, kdy typicky dochází k pochybení, a zároveň uklidňuje: „Nic zásadního se nemění.“

Doba čtení: 8 minut

Nerad mluví v souvislosti s GDPR o datech, pod nimiž si většina lidí představí „jedničky a nuly“, tedy zejména elektronická data. Podle Cyrila Muchy, lékaře, který se dlouhodobě věnuje problematice elektronizace zdravotnictví, jde o víc. Jak pacienti, tak zdravotníci by se měli zejména důkladně zamyslet, jak nakládají s intimními informacemi, svými, ale zejména svých pacientů.

Jak jednoduše vysvětlit třeba babičce, co znamená GDPR? Někteří senioři mají kvůli zmatku v informacích pomalu strach ukázat u lékaře kartičku pojištěnce…

„Je jasné, že data pacientů je třeba chránit, to ale lékaři vědí. Je třeba se pouze zamyslet nad tím, jak v současnosti s daty nakládají a zda někde v procesu nehrozí únik,“ říká MUDr. Cyril Mucha
Autor: Archív Cyrila Muchy

„Je jasné, že data pacientů je třeba chránit, to ale lékaři vědí. Je třeba se pouze zamyslet nad tím, jak v současnosti s daty nakládají a zda někde v procesu nehrozí únik,“ říká MUDr. Cyril Mucha.

Obecně, když mluvím o GDPR, nerad mluvím o ochraně dat, ale hovořím o ochraně informací: to lépe vystihuje situaci. Chráníme přece důvěrná data svých pacientů. A tak bych to vysvětlil i té babičce. Jde o citlivé, intimní informace, které by se na veřejnost dostat neměly, o chorobách, o vztazích. A podobně jako věří pacient svému lékaři, že ho uzdraví, musí mu věřit, že informace, které mu sdělí, zůstanou pouze u něj a nedostanou se do rukou nikoho nepovolaného. Pokud by pacienti nevěřili svým lékařům, že u nich zůstane lékařské tajemství uchováno, informace by jim neříkali – ovšem lékař je potřebuje.

Ptají se vás pacienti na GDPR?

Bohužel převládá takové to „co si to zas vymysleli“, ať už v Bruselu, nebo jinde. Já ale naopak říkám, že to je správně, data musí být chráněna. Je pravda, že tu již existují zákony na ochranu osobních údajů, nic nového to není. Ale je to nový zákon do nové doby. A to v době, kdy existují i jiné informační kanály než třeba před třiceti lety: internet, facebook… ale pozor, GDPR se netýká jen elektronických dat, ale úplně stejně třeba i informací v papírových kartách.

Takže se nic zásadního nemění?

Nic zásadního se určitě nemění. Ochrana údajů musela být vždy, jenže ne vždy se dělala a dělá dobře. Takže i když to nejsou zásadní změny, bylo by vhodné GDPR využít k tomu, aby došlo ke zlomu a každý se nad tímto problémem zamyslel. Není to jen o tom, jestli posílám informace mailem, nebo je sděluji po telefonu, ale může to být třeba o tom, že je přes dveře slyšet, když hovořím s pacientem o jeho nemoci a celá čekárna to slyší. I to je špatná ochrana osobních údajů.

Kromě již zmíněného „co nám zase Brusel nařídil“, setkáváte se s jinými mylnými představami o GDPR ve zdravotnictví a vztahu lékař–pacient? Objevují se různá tvrzení, například že pacienti budou lékaři poskytovat méně informací než dosud, že budeme podepisovat nové formuláře – souhlas se zpracováním osobních údajů, že můžeme požadovat zničení naší dokumentace… Co je na tom pravdy?

Zdravotnictví má v tomhle výjimku, data musíme mít v zájmu klienta, pacienta. GDPR totiž rozeznává tři základní možnosti, kdy je možné shromažďovat osobní data a informace. První je z důvodů potřeby klienta, to je typicky zdravotnictví, dále ze zákona – třeba soud, a do třetice se souhlasem klienta. A to jsou případy, kvůli kterým tady vlastně GDPR je, typicky například tzv. profilování: Když se člověk podívá na internetu, kolik stojí tenisová raketa, na předplatné na tenis a kolik stojí dovolená na Mallorce, najednou mu začnou chodit podobné nabídky a už se jich nezbaví, nikdo se ho neptá, zda o ně stojí. Navíc si je poté firmy mezi sebou různě přeprodávají. Ve zdravotnictví toto nehrozí, tam jsou data shromažďována v zájmu pacienta, obchodovat se s nimi nesmí. Nemusí se tedy podepisovat žádné souhlasy. Na druhé straně ale pacient nemůže říct: „Od zítřka vymažte moje data,“ protože tato data pacientů se musí ze zákona uchovávat po určitou dobu.

Je pravda, že se dosud hovořilo spíše o tomto povinném uchovávání dat, ale už se tak nemyslelo na to, že po určité době by nejen k likvidaci mělo dojít, ale že je dokonce povinná.

Ta doba povinného uchovávání dat je jak dlouhá?

Je to složitější, zcela zjednodušeně lze říci, že je to minimálně deset let od poslední návštěvy pacienta v dané ordinaci.

Setkala jsem se nyní s případem, kdy u specialisty odmítli objednat novou pacientku. A to prý kvůli GDPR, protože nedostali žádné pokyny, jak postupovat. Proto neberou žádné nové pacienty. 

To je totální nesmysl. Copak nemocnice odmítne přijmout pacienta s infarktem, protože nemá pokyny k GDPR? Všechno funguje normálně dál, není potřeba na něco čekat.

Pokud někdo něco zanedbal, pak je to dle mého stát, který o novém nařízení lidi dostatečně neinformoval. Jediný, kdo se toho chopil, byly různé pochybné poradenské firmy, jejichž aktivity nazývám „Vystraš a vyber“. Každý z nás dostal řadu mailů, kde straší miliónovými pokutami, které nám jistě hrozí, když nepůjdeme na jejich školení za padesát tisíc, kde se ale většinou jen mlží a nic se tam nedozvíme…

Obavy z GDPR jsou zbytečné

„Kolegy často již měsíce ‚straší‘ nabídky od rádobyspecialistů, kteří chtějí na GDPR vydělat. Děsí je vysokými pokutami a jedním dechem jim za nemalý obnos nabízejí, že jejich problém vyřeší. To je naprosto nemorální,“ říká MUDr. Cyril Mucha ze SVL ČLS JEP.

Obavy lékařů z GDPR se snažil rozptýlit na nedávné Jarní interaktivní konferenci v Praze. Pokud podle něj lékař dodržuje zákon o ochraně osobních údajů, který v Česku platí už osmnáct let, výrazně se pro něj nic nemění.

„Je jasné, že data pacientů je třeba chránit, to ale lékaři vědí. Je třeba se pouze zamyslet nad tím, jak v současnosti s daty nakládají a zda někde v procesu nehrozí únik. Tedy např. kde a jak mají uložené informace o pacientech, zda posílají bezpečně informace nebo e-recepty e-mailem, při telefonické komunikaci by měl mít lékař jistotu, s kým komunikuje, zda může např. výsledky vyšetření po telefonu sdělit apod.,“ říká MUDr. Mucha.

Také by se měli u firmy, která jim poskytuje software, ujistit a nechat si písemně potvrdit, že jejich data dostatečně chrání. Výmaz dat na požádání pacienta se lékařů netýká, ti je podle zákona musí archivovat.

Záleží ovšem na každém z nás, komu svá data svěří a jaká k nim dá oprávnění a svolení se šířením. Například pacient přijde na zaměstnaneckou prohlídku, lékař nesmí nikomu sdělit, co mu je – tedy diagnózu. Může říct pouze, zda je dotyčný schopen či neschopen dané práce. Ale pozor, pokud s tím klient souhlasí a udělí písemný souhlas, lékař může zaměstnavateli sdělit i konkrétní diagnózu.

Jakým způsobem by lékař mohl nařízení GDPR porušit?

Lékař musí udělat maximum pro to, aby se důvěrné informace nedostaly do nepovolaných rukou. Uvedu různé příklady chybného jednání: Například nezamčená kartotéka stojící v čekárně nebo dokonce na chodbě polikliniky, kdokoliv jde kolem, může ji otevřít a podívat se dovnitř. Chybné může být, pokud někdo nepovolaný slyší, jak zdravotník říká diagnózu a komunikuje s pacientem. Nebo sestra, která vyjde do čekárny a řekne: „Pane Nováku, pojďte dál, vždyť vy zase máte vysoké jaterní testy!“ Nebo otevřená položená karta, kterou může vidět jiný pacient, a to jak papírová, nebo když do ní může nahlížet v počítači…

Pak jsou tu sofistikovanější věci, například posílání informací nezabezpečeným mailem. Kamera na webu, na které je vidět, kdo sedí v čekárně. Předávání propouštěcí zprávy jiné osobě než pacientovi, aby ji někam doručila. Cokoli, co ohrozí to, že se data dostanou k někomu jinému než ošetřujícímu lékaři a pacientovi, ev. někomu dalšímu, komu on to povolí.

Lékařům proto říkám: Zamyslete se nad tím, co se s informacemi pacientů děje a kde by teoreticky mohly unikat.

Je větší problém s papírovými kartami nebo zabezpečením elektronických dat?

Obojí. Každý si představí hackera, který se dostane do systému, ale přitom třeba někde v poliklinice je univerzální klíč, se kterým může údržbář nebo uklízečka mít večer či o víkendu přístup do ordinace i ke kartotéce. A to bude mnohem častější než „vloupání“ na server.

GDPR ve zdravotnictví prý zajistí lepší ochranu dat pacientů. Souhlasíte? Byl s ochranou dat pacientů dosud problém? 

Doufám, že lepší ochranu zajistí už tím, že se na tuto problematiku bude víc myslet. Je pravda, že na některé věci se u nás dosud příliš nedbalo, příkladem je třeba sdělování výsledků vyšetření či diagnóz po telefonu nebo mailem a zneužití těchto informací třeba při rozvodovém řízení.

Je třeba si uvědomit, že dnes je stále víc možností jak vyměňovat data a je to stále jednodušší, rychlejší. Lze to přirovnat k dopravě. Pořád jsme zrychlovali a zrychlovali, až jsme se dostali do stadia, kdy musíme budovat zpomalovací pruhy, abychom se navzájem nezabíjeli. Tady je to podobné, skládání, profilování informací je již tak daleko, že mu musíme postavit nějakou bariéru, abychom sami sebe chránili.

Dobře, ale to již nebudu moci zavolat svému lékaři nebo pediatrovi dítěte a po telefonu něco zjistit (výsledky vyšetření atd.), konzultovat apod.?

Jsou tu různé možnosti. Buď pacient podepíše, že je možno informace o něm sdělovat po telefonu. Samozřejmě může být určitá nejistota, kdo je na druhé straně. Ale je možné se domluvit na nějakém, více či méně sofistikovaném zabezpečení. Lékař může mít v kartě pacienta uvedeno telefonní číslo, na které bude výhradně sdělovat informace, na jiné ne. Nebo může použít systém hesla, které pacient opět uvede do karty, a teprve na základě hesla budou poskytnuty informace. Spojením hesla a telefonního čísla lze využít systémy pro generování nového hesla v případě zapomenutí apod.

Je to jistá práce navíc, ale je to opět jako u těch zpomalovacích pruhů. Ty slouží k tomu, abyste nepřejeli dítě u školy. Tyto bariéry zabrání zneužití informací.

MUDr. Cyril Mucha

Praktický lékař, provozuje Ordinaci Mucha v Praze. Je členem Společnosti všeobecného lékařství a člen pracovní komise předsednictva ČLS pro IT, dlouhodobě se věnuje problematice elektronizace zdravotnictví. Pracuje také jako odborný asistent na Ústavu všeobecného lékařství 1. LF UK a je členem Centrální etické komise MZ ČR.