18 mai 2014

Protecția datelor personale și dosarul electronic de sănătate



Poate nu pricep eu cum vine cu legea, dar o bază de date precum dosarul electronic de sănătate e clar o prelucrare de date personale pentru care e obligatoriu acordul celor care vor avea dosarele online disponibile pe întreg cuprinsul țării - și chiar al lumii, pentru că ziceau pe undeva că programul poate genera documente în mai multe limbi, în orice stat, și persoana își poate accesa dosarul din orice parte de lume.

Altfel spus: de ce nu se spune clar și tare că pacientul / cetățeanul trebuie să fie de acord ca datele lui despre starea de sănătate să apară în acest dosar elecetronic de sănătate? Aceasta e părerea mea.

Nu am nevoie de un astfel de dosar pentru a fi la curent cu istoricul medical al familiei. Oamenilor de prin sate și cătune - oamenilor la care orice informație ajunge greu și cel mai adesea denaturată - li se va spune ce drepturi au cu privire la această chestiune? Probabil că nu; interesul este, între altele, să se laude cu “succesul” implementării sistemului și nimeni nu va ști cum de-au reușit, pentru că nu vor spune că nu și-au informat cetățenii cu privire la drepturile pe care aceștia le au.

Pentru a avea o brumă de legalitate acest dosar electronic de sănătate și pentru a ne face să credem că este obligatoriu cred că fiecare cetățean ar trebui să aibă încheiat un contract cu CNAS (dar nici încheierea unui contract n-ar face acest dosar obligatoriu, mai ales că este un dosar pur medical, decontările cu asigurarile făcându-se prin alt program informatic). Pe cine ar urma să trag la răspundere în cazul în care datele mele ar ajunge la cine n-are un interes legitim?

Accesul în sistem se face pe baza cardului de sănătate sau pe baza codului de asigurat / CNP și a matricei de securitate unică disponibilă pentru fiecare asigurat. Se mai spun multe acolo, mai puțin faptul că avem dreptul nu doar să permitem accesul numai cui vrem, ci și că trebuie să vrem să avem datele adunate acolo.
De ce sa vrem un astfel de dosar? E ilogic să-l vreau din moment ce dau acces numai cui vreau - pot refuza accesul chiar și medicului și în acest caz el va avea acces numai la informații “de urgențî”, precum grupa sanguină, alergii, boli cronice ș.a.
Apoi, dacă pe cardul național de sănătate vor fi înscrise o mulțime de “minuni”, inclusiv dacă ești sau nu donator de organe (în baza unei declarații date la notar, ca vrei să fii donator și ce vrei să donezi - cei care nu vor n-au nevoie de nicio declarație), la ce ne mai trebuie si dosarele?!

Pacientul are două posibilități de autentificare:
1. Cu card de sănătate - această modalitate de autentificare este accesibilă pacienților care au în posesie cardul de sănătate și au acces la un cititor de carduri; pacientul va selecta opțiunea Autentificare cu card de sănătate, va introduce cardul de sănătate în cititor, iar apoi codul PIN aferent cardului.
2. Cu CNP sau CID și matrice de securitate - această modalitate alternativă de autentificare se poate folosi doar după constituirea dosarului de sănătate de către un medic și înmânarea matricei de securitate către pacient. Se va introduce în portalul DES CNP-ul sau codul CID și se va acționa butonul. În pagina nou deschisă, se va introduce codul de 3 caractere de pe poziția cerută de portal din matricea de securitate, precum și parola personală aleasă la momentul înregistrării contului. La prima autentificare în portal a unui pacient, acesta va fi îndrumat să își definească o parolă.

Matricea de securitate poate fi generată de orice medic, din portalul DES, la solicitarea pacientului. Pacientul îi va prezenta medicului un document de identitate, iar după tipărirea matricei pacientul va semna de primire partea de sus a documentului, exemplarul care rămâne la medic - aici nu prea inteleg: medicul are si el matricea despre care se spune ca o va avea numai pacientul?

Matricea de securitate poate fi generată pentru un pacient ori de câte ori este necesar. Matricea veche este dezactivată, accesul la portal nu mai poate fi făcut folosind pozițiile din vechea matrice. La un moment dat este activă o singură matrice, ultima matrice generată.

De asemenea, ulterior primei autentificări în portal, pacientul poate să își genereze singur o matrice, în cazul în care dorește sau a pierdut-o pe cea primită de la medic, prin accesarea butonului ”Nu pot accesa contul meu”, iar aplicația va deschide pagina de recuperare parolă sau matrice, în care se va alege fișa Regenerare matrice, unde se vor urma instrucțiunile afișate - să înțeleg prin aceasta că o altă persoană care are acces la un CNP poate face asta? Poate omul a pierdut și matricea și parola pe care o notase cine știe pe unde…

Medicul va păstra exemplarul său pentru a putea demonstra că a înmânat matricea pacientului - din nou: medicul știe sau nu știe matricea? Dacă o știe poate accesa tot dosarul.

Nu știu ce să cred, pentru că nu se explică în concret.

Medicul nu are dreptul de a imprima și utiliza matricea de securitate a unui pacient fără ca acesta să fi solicitat acest lucru.  Sintagma “nu are dreptul” a oprit pe cineva să facă ce și-a propus doar pentru că poate și riscul de a fi prins e mic?

Informațiile tehnice sunt preluate de aici: http://www.des-cnas.ro/wps/portal/cnas/FAQ - întrebări frecvente.

Aruncând o privire în Constituție ar trebui să fie clar că trebuie să fiu de acord cu un astfel de dosar personal.
Art. 26. Viața intimă, familială și privată
(1) Autorităţile publice respectă şi ocrotesc viaţa intimă, familială şi privată.
(2) Persoana fizică are dreptul să dispună de ea însăşi, dacă nu încalcă drepturile şi libertăţile altora, ordinea publică sau bunele moravuri.

Nu cred că încalc ordinea publică, bunele moravuri și celelalte amintite în art. 26 dacă nu vreau să-mi cunosc istoricul medical dintr-un dosar online și nici dacă, în caz de urgență, nu vor ști ce boli cronice am - e dreptul meu.

Convenție pentru apărarea drepturilor omului și a libertăților fundamentale, amendată prin Protocoalele nr. 3, 5 si 8 și completată prin Protocolul nr.2, încheiată la Roma la 4 noiembrie 1950
(ratificată de România prin Legea nr. 30/1994 și publicată în Monitorul Oficial nr. 135 din 31 mai 1994)
Art. 8. - 1. Orice persoana are dreptul la respectarea vietii sale private si de familie, a domiciliului sau si a corespondentei sale.
2. Nu este admis amestecul unei autoritati publice in exercitarea acestui drept decat in masura in care acest amestec este prevazut de lege si daca constituie o masura care, intr-o societate democratica, este necesara pentru securitatea nationala, siguranta publica, bunastarea economica a tarii, apararea ordinii si prevenirea faptelor penale, protejarea sanatatii sau a moralei, ori protejarea drepturilor si libertatilor altora.
Art. 13. - Orice persoana, ale carei drepturi si libertati recunoscute de prezenta conventie au fost incalcate, are dreptul sa se adreseze efectiv unei instante nationale, chiar si atunci cind incalcarea s-ar datora unor persoane care au actionat in exercitarea atributiilor lor oficiale.

Dosarul electronic de sanatate nu protejeaza sanatatea nimanui, ci este o baza de date care cuprinde date personale.

Din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (Monitorul Oficial nr. 790 din 12 decembrie 2001)
Art. 1. (1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal. […]
Art. 2. (1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, in tot sau in parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decat cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse intr-un asemenea sistem. […]
Art. 3. In intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza: […]
b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea; […]
Art. 5. (1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea prelucrare. […]
Art. 7. (1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa. […]
Art. 13. (4) In cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica in cerere persoana in numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata. […]
Textul integral poate fi consultat aici: http://legislatie.resurse-pentru-democratie.org/677_2001.php

Vezi și:

4 comentarii:

  1. Vezi si legea 95: http://www.legalis.ro/2014/05/19/ordonanta-de-urgenta-nr-232014-pentru-modificarea-si-completarea-legii-nr-952006/?utm_source=rss&utm_medium=rss&utm_campaign=ordonanta-de-urgenta-nr-232014-pentru-modificarea-si-completarea-legii-nr-952006

    RăspundețiȘtergere
    Răspunsuri
    1. Am vazut-o… dar normele metodologice inca nu. Cu norme sau fara norme tot absurd mi se pare sa nu ni se ceara acordul pentru asa ceva… Dupa ce am vazut vrajeala de modificare - “premabulul” in special - mi-au venit alte idei care se bat cap in cap cu unele drepturi si libertati fundamentale.

      Transparenta masurilor privind compensarea medicamentelor poate fi realizata si altfel - doar avem retele electronice…
      Transparenta masurilor care reglementeaza stabilirea preturilor medicamentelor de uz uman si includerea acestora in domeniul de aplicare al sistemelor nationale de asigurari de sanatate poate fi facuta si altfel, nu doar prin acest dosar electronic de sanatate.
      Pe scurt: se accentueaza vrajeala, daca mai era cazul… Parerea mea.

      Statele cu economii mai "bazate" ca a RO nu s-au inghesuit... Cetatenii acestor state le-au zis "hai pa!"

      Ștergere
  2. Articolul 7 complet (cititi alineatul g):


    Art. 7.
    (1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.
    (2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
    a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
    b) cand prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor specifice ale operatorului in domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului in acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
    c) cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
    d) cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
    e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
    f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
    g) cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
    h) cand legea prevede in mod expres aceasta in scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.
    (3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.
    (4) Autoritatea de supraveghere poate dispune, din motive intemeiate, interzicerea efectuarii unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat in scris si in mod neechivoc consimtamantul, iar acest consimtamant nu a fost retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie inlaturata prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).

    RăspundețiȘtergere
    Răspunsuri
    1. Art. 7.
      (1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.
      (2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri: […]
      g) cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
      ***
      Prelucrarea din dosar nu e necesara pentru preventie;
      - dosarul nu e util nici pentru stabilirea diagnosticelor medicale - afirma aceasta pt. ca am dreptul sa refuz oricarei persoane accesul si medicul va vedea numai “zona de urgenta”: grupa sanguina, alergii, boli cronice si altele de gen, ceea ce nu l-ar ajuta sa-mi puna un diagnostic pe baza celorlalte boli, ca ex.; daca-i asa... la ce bun dosarul?
      - administrarea ingrijirilor si tratamentelor etc. si bla-bla-bla in interesul persoanei vizate (pacientului)
      Toate acestea intra in conflict (si) cu dispozitiile din Legea drepturilor pacientului (si unele reglementari internationale ratificate si de RO) adica… am dreptul sa refuz orice interventie medicala (pentru ca nu sunt multi cei care pun in pericol “santatea publica”)
      Citez din legea 46 /2003 privind drepturile pacientului, in care scrie:
      Art. 1 - In sensul prezentei legi:
      a) prin pacient se intelege persoana sanatoasa sau bolnava care utilizeaza serviciile de sanatate; […]
      d) prin interventie medicala se intelege orice examinare, tratament sau alt act medical in scop de diagnostic preventiv, terapeutic ori de reabilitare; […]
      Art. 13 - Pacientul are dreptul sa refuze sau sa opreasca o interventie medicala asumandu-si, in scris, raspunderea pentru decizia sa; consecintele refuzului sau ale opririi actelor medicale trebuie explicate pacientului.

      Avand aceste drepturi nu vad de ce n-am dreptul sa refuz dosarul. Am dreptul sa refuz dosarul. Mie nu-mi ajuta la nimic! Daca ma gasesc inconstienta in mijlocul drumului, fara acte, pe cine cauta in baza de date?! iar daca sunt constienta mai repede afla de la mine ce-i intereseaza de urgenta decat din baza de date. Nu?!

      P.S. Nu ma bucur sa stau de vorba cu un anonim dar... asta e... Cu aceasta ocazie poate afla si altii despre una-alta... Poate n-am dreptate... dar nu cred ca n-am. :)

      Ștergere