Jména, diagnózy, výsledky vyšetření i poznámky z rozhovoru s pacientem. To všechno jsou citlivé údaje, se kterými musí zdravotnická zařízení zacházet obzvlášť opatrně. Na co si dát pozor, aby zpracování takových údajů probíhalo správně a v souladu se zákonem?
Pokud poskytujete zdravotní služby – třeba v nemocnici nebo ambulanci – jednou z vašich povinností je respektovat soukromí pacientů. To znamená pečlivě zacházet s jejich údaji tak, jak vyžadují platné zákony: zejména zákon o zdravotních službách, GDPR a zákon o zpracování osobních údajů.
Při nastavení ochrany údajů pacientů v souladu s předpisy můžete postupovat podle těchto kroků:
Pravděpodobně půjde o jméno, rodné číslo, adresu, informace o zdravotní pojišťovně, diagnózu nebo průběh léčby. A taky třeba cokoli dalšího, co vám pacient řekne.
Důležité je si dobře zaznamenat, z jakého zdroje jste údaje pacienta získali (z rozhovoru, výsledků laboratorních testů apod.), v jakých systémech a archivech je ukládáte a jaké osoby (pracovníci, dodavatelé) k nim mají přístup.
Většinou to bude pro splnění smlouvy s pacientem a povinností stanovených v zákoně o zdravotních službách.
Ale jsou i jiné situace, kdy můžete údaje zpracovávat. Například pokud chráníte své oprávněné zájmy ve sporech s pacienty, nebo jste pacienta s jeho souhlasem zařadili do výzkumné studie, případně se má pacient zapojit do soutěže o ceny.
Sbírejte jen ty údaje, které opravdu potřebujete k léčbě pacienta. Stejně tak je důležité, aby k nim měli přístup jen ti pracovníci, kteří je skutečně potřebují. Nemělo by se stát, že recepční uvidí třeba podrobnosti o pooperační kontrole.
Dejte si také pozor, kde tisknete nebo kopírujete lékařské zprávy či jiné dokumenty s citlivými údaji. Mohou zůstat uložené v tiskárně, v počítači nebo ve frontě na tisk, a pokud je někdo neoprávněný vytiskne, může to znamenat problém.
Bezpečnost vašich informačních systémů je klíčová. Počítače, servery a další zařízení, kde uchováváte údaje o pacientech, jsou často terčem útoků hackerů. Základní výbava by měla být firewall, antivirová ochrana, správná nastavení přístupů, šifrování dat, silná hesla a pravidelné zálohování. Pokud provozujete větší zařízení, musíte navíc dodržovat i zákonná pravidla kybernetické bezpečnosti.
Nezapomeňte ale i na papírovou dokumentaci – lékařské zprávy by měly být uložené v uzamčených skříňkách nebo místnostech, kam mají přístup pouze povolané osoby. A při práci na počítači myslete na to, aby pacienti nebo jiní lidé (např. pracovníci úklidu) nesledovali obrazovku s citlivými údaji.
Hlídejte si taky, jak můžete informace o pacientech sdílet na dálku (e-mailem nebo telefonicky). Vhodným řešením může být zavedení kódů pro komunikaci, ke kterým bude mít přístup pouze pacient, případně jím zvolené osoby.
K osobním údajům pacientů často přistupují i vaši dodavatelé – například provozovatelé zdravotnických informačních systémů. Nezapomeňte s nimi vždy uzavřít smlouvu o zpracování osobních údajů. Je to vaše povinnost vyplývající z GDPR a zákona o zpracování osobních údajů, za jejíž porušení vám hrozí pokuta. Zároveň tímto krokem budete mít své dodavatele a práci s údaji více pod kontrolou a zvýšíte tím bezpečnost těchto údajů.
Mnoho problémů s únikem nebo zneužitím dat vzniká z lidské chyby. Proto je dobré své zaměstnance pravidelně vzdělávat i v ochraně osobních údajů.
Pořádejte školení, dejte jim k dispozici jednoduché a srozumitelné interní návody a pravidla, jak mají s údaji o pacientech zacházet.
Sepište si také jasná pravidla pro práci se zdravotnickou dokumentací a opatření, která máte zavedená na ochranu těchto údajů. Je to vaše zákonná povinnost podle zákona o zdravotních službách.
Vaši zaměstnanci by měli také přesně vědět, kdo a za jakých podmínek může získat přístup k údajům, jak informovat pacienty o zpracování jejich dat a samozřejmě, jak dodržovat zákonnou povinnost mlčenlivosti.
Pacienti mají právo vědět, jak s jejich údaji nakládáte. Připravte proto jednoduché a jasné informace o tom, jak osobní údaje zpracováváte a jaká práva pacienti mají.
Nejlepší je mít tyto informace dostupné na vašem webu. A pokud chcete jít ještě dál, mějte je i vytištěné na recepci nebo u sestry, aby je pacienti mohli snadno najít a přečíst si je.
Co uděláte, pokud omylem ztratíte údaje pacienta, pošlete je špatné osobě, nebo se stanete obětí krádeže dat?
Nečekejte, až se něco stane. Raději si předem stanovte jasný postup. Kdo má takový incident řešit, jak ho hlásit a kdy a jak informovat pacienta, Úřad pro ochranu osobních údajů nebo Národní úřad pro kybernetickou a informační bezpečnost.
Dobrý plán vám pomůže rychle a správně reagovat, což může zabránit větším škodám a zbytečným problémům.
Možná si říkáte, že postupy na ochranu soukromí pacientů jste nastavovali pár let zpátky, a tak není co řešit. Jste si ale jistí, že postupy stále fungují? Situace se může rychle měnit. Přicházejí noví zaměstnanci, mění se technologie, objevují se nové kybernetické hrozby i nové zákonné požadavky, například jako nyní v oblasti kybernetické bezpečnosti.
Proto doporučujeme si pravidelně, ideálně alespoň jednou ročně, prověřit, zda jsou vaše postupy stále aktuální a dostatečné. To vám pomůže odhalit případné slabiny dřív, než se z nich stanou větší problémy.
Nebojte se proto čas od času udělat krok zpět a zkontrolovat, že je ochrana soukromí pacientů u vás stále na vysoké úrovni.
Pokud si chcete ověřit, jestli postupujete správně v některých pro vás běžných situacích, přečtěte si druhý díl naší série o ochraně soukromí pacientů, která vyjde na našem blogu v lednu.
Nejste si jistí, jestli máte ochranu soukromí pacientů správně nastavenou? Nebo byste ocenili pomoc s povinnou dokumentací? Napište nám na kancelar@kroupalide.cz a pomůžeme vám najít to nejlepší řešení.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora
