"Csapdás" esetek és ezek tapasztalatai a betegek adatvédelmével kapcsolatban Dr. Tóth Zoltán (INFOBIZ Kft.) Az egészségügyi intézményekben az adatvédelem gyakorlati megvalósításában irányadó szempontokat, követelményeket jellemzően: • Jogszabályok • A jogszabályokra alapozott helyi szabályozások • Szabványkövetelmények (MSZ EN ISO 9001:2009, MSZ ISO/IEC 27001:2006) • Standardkövetelmények (MEES Kézikönyv 1.0) határoznak meg. Az előadás célja: Valós eseményekkel, példákkal rávilágítani: • az adatvédelmi tevékenység sérülékenységére; • a vezetők és munkatársak adatvédelemmel kapcsolatos felelősségére; • tudatosítani azt, hogy az adatvédelem az egészségügyi szolgáltatók ellátási tevékenységébe törvény által integrált feladat és nem egy „majd valaki más által elvégzendő” külön álló, mellékes dolog; • világossá tenni azt, hogy az adatvédelem a standard- és szabvány alapú minőségirányítási rendszerek követelmény rendszerének része. Az ismertetésre kerülő „Csapdás esetek”, előre nem számított negatív események saját gyakorlatomból
(több
információkból származnak.
1
intézményből),
illetve
irodalmi
1. Esetismertetés Egy alkalommal, amikor még szülészként dolgoztam egy régi barátom keresett fel egy furcsa kéréssel: Megmondanám-e neki a felesége 5 évvel korábbi kórlapjából feleségének és gyermekének vércsoportját, mivel a zárójelentést otthon nem találja. Szeretne ugyanis biztosabb lenni saját apaságában.
Csapda: a baráti kérés Az eset problémát, negatív következményt nem indukált, Ugyanis a kérés baráti alapon nem rendezhető! 1997. évi XLVII. Törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről… A Tájékoztatási jog. 7§ b) az érintett ellátásának befejezését követően az általa teljes bizonyító erejű magánokiratban felhatalmazott személyt illeti meg. 2. Esetismertetés Egy férfi, akivel ápolónő barátnője szakított, levelet írt a kórház igazgatójához. A levélben leírta, hogy X Y nővér fiúja volt. Éjszaka barátjával rendszeresen bejártak a sebészeti ügyeletre, és a lányokkal azzal szórakoztak, hogy a számítógépen ismerőseik kórlapjait olvasgatták. (Köztük például a volt korábbi barátnőjének terhesség-megszakítását.) Csapda: a baráti kapcsolat (megszakadása esetén esetleg bosszú) Problémák: • Illetéktelen személyek jelenléte • A munkatárs megbízhatatlansága (megfelelő oktatás? Nyilatkozat?)
2
• Informatikai rendszer nem megfelelősége (sebészeten nőgyógyászati kórlapok elérhetősége) 3. Esetismertetés „Egy hölgy, miután válófélben lévő férje felpofozta, három napot feküdt a sebészeten fejfájással, hányingerrel. Felvételekor (írásban) megtiltotta, hogy férje betekintsen az orvosi dokumentációjába. A férj megkérte egy, a kórházban dolgozó ismerősét, hogy nézze meg a zárójelentést, mi áll benne. Az ismerős a sebészet adminisztrátorától elkérte a zárójelentés másolatát, és átadta a férjnek, amit aztán az asszony otthon megtalált.” (Irodalomból idézve) Csapda: az ismerősi kapcsolat Problémák: • Bűnvádi feljelentés az intézménnyel szemben a Btk. 177/B. §-ba (különleges személyi adatokkal való visszaélés) ütköző cselekmény alapján. • Az intézmény hírnevének csorbulása • A munkatárs megbízhatatlansága (megfelelő oktatás? Nyilatkozat?) 4. Esetismertetés Egy hazai egyetem képalkotó Dg-i egységénél egy munkatársat elbocsátottak. Ez az intézkedés sértette a munkatársat. Bosszúját azzal fejezte ki, hogy elbocsátása után bement munkahelyére, onnan röntgenfilmeket vitt el és szétszórta a telephelyen. Komoly, az érintett egységet elmarasztaló ügy lett belőle. Csapda: Az eltávozott munkatárs „kollega-ként történő kezelése” Problémák: • A távozó dolgozó adathozzáférési jogainak nem megfelelő kezelése • Az intézmény adattárolójába való belépés nem megfelelő szabályozása 3
• Az esetlegesen meghozott szabályozás ellenőrzésének hiánya • A beteg dokumentum-tár nem megfelelő zártsága • A személyzet éberségének hiánya 5. Esetismertetés Egy elitélttől a börtönből levelet továbbítottak hozzám, mint intézményi adatvédelmi felelőshöz. A levél írója felesége egészsége miatti aggodalmáról írt. Tudomására jutott, hogy felesége rosszindulatú megbetegedés miatt van a Nőgyógyászati osztályunkon. Zárójelentés másolatot kért a kórházi kezelésről. (A feleség művi AB miatt feküdt bent. Nyilatkozatán adatközlési TILTÁS szerepelt. Az adatközlést megtagadtuk, nem az elítélti státusz miatt, hanem a beteg TILTÁSA és a megfelelő szabályozás alapján. ) Csapda: az adatközlési automatizmus Probléma: Itt nem merült fel. További intézkedés: A jogszabályi előírásnak megfelelően a nem teljesített adatkérés rögzítése és éves jelentése az adatvédelmi ombudsman felé. 6. Esetismertetés Egy sebészeten kezelt betegtől levélben kérés érkezett, melyben zárójelentés másolatot kért sebészeti ellátásáról. Az archivált kórlapot kikerestük és a kérő levélen, valamint a kórlapon szereplő aláírást összehasonlítottuk. A két aláírás szembetűnően nem egyezett. (A válaszlevélben – Szabályzatunkra hivatkozva- a kérelmezőt a kért dokumentum személyes átvételére kértük, a személyazonosság igazolásával. - Senki sem jelentkezett!) Csapda: az írásos kérelem ellenőrizhetőségének nehézsége 4
Problémák: • Bár a hamisan aláíró kérelmének oka nem ismert, de az esetleg kiadott Záró másolat illetéktelen felhasználásra kerülhetett volna. • Esetleges jogi következmény a helytelen adatkezelés miatt. 7. Esetismertetés
Csapda: az írásos kérelem ellenőrzés nélküli teljesítése. Nehéz ugyanis elképzelni, hogy egy anya nem ismeri gyermekeinek születési dátumát. Problémák: Probléma nem volt, de a kérés autómatikus teljesítése esetén lehetett volna:
8. Esetismertetés Egy egyedül álló idős beteg kórházi kezelése alatt lakásán betörés és komoly értékű lopás történt. A rendőrség a tettest elfogta, aki egyébként a károsulttal egy kórteremben feküdt, csak előbb távozott. A vizsgálat kiderítette, hogy a betörő a lakcímet és tervezett hazabocsátást a nem megfelelően zárt vagy felügyelt orvosi dokumentációból írta ki. Csapda: szokás vagy kényelmi szempontok a betegdokumentumok nem megfelelő tárolása terén Problémák: • A betegdokumentáció hozzáférhetősége illetéktelenek számára • Megfelelő szabályozás, oktatás vagy az ellenőrzés hiánya.
5
9. Esetismertetés Tudomásom van két olyan esetről, amikor számítógépet orvosi rendelőből, illetve laboratóriumból adatállományostól elloptak. Különösen kényes volt az az eset, amikor a lopás gyermek pszichiátriai szakrendelést érintett! (Ez utóbbi eset zárt, de földszinti rendelőben történt, ablakrács, figyelő kamera nem volt.). Csapda: bizalom az egyszerű zárakban és a csukott ablakban Problémák: • Illetéktelen személyes és betegségre vonatkozó adat eltulajdonítása kellő odafigyelés hiányában. • Adatállomány elvesztése – ellátásbeli zavar • Anyagi veszteség –számítógép elvesztése. 10. Esetismertetés Egy vidéki kórházban a vállalkozás formájában ott szakrendelő orvos a rendelés betegdokumentációját a kartonokon kívül saját laptopjára is rögzítette. A rendelés adatait gyógyszer cégnek átadta. (Rendőrségi ügy az adatkezeléssel való visszaélés miatt, ugyanakkor az intézményt is elmarasztalták az adatvédelmi „lazaság” miatt.) Csapda: a vállalkozói szerződés hiányossága Problémák: • Személyes és betegségre vonatkozó adat átadása illetékteleneknek bármilyen célból • Szabálytalan piaci verseny előnyhöz való hozzájárulás • Az intézmény image-ének romlása
6
11. Esetismertetés Egy beteg műtét alatti halálát követően igazságügyi orvostani boncolásra került sor. Az Igazságügyi Orvostani Intézet bekérte az eredeti kórlapot. Az osztály elküldte azt a kérésnek megfelelően (másolatot nem készített). A boncolást követően a beteg kórlapja elveszett!!! A hozzátartozók pert indítottak ellátási hiba miatt. Az osztályon nem maradt betegdokumentáció. Csapda: az esetet vizsgáló intézménnyel kapcsolatos korábbi szokásrend (gyakorlat) Problémák: • Nem marad az Eü Szolgáltatónál egészségügyi dokumentáció • Peres esetben nincs igazoló bizonyíték • Az érintett Eü személyzet megfelelő tevékenységére nincs dokumentált bizonyíték, azaz védtelenné válik. 12. Esetismertetés „Ismeretlen tettes ellen folyik a nyomozás rablás bűntettében. A tettes feltételezhetően egészségügyi ellátást vett igénybe, mert sérülés érte annak elkövetése során (menekülése közben elütötte egy autó, de sérülése nem akadályozta meg abban, hogy elfusson). A rendőrség megkereséssel fordult az elkövetés helye közelében található egészségügyi szolgáltatóhoz. Adatokat kért arra vonatkozóan, hogy a megjelölt időintervallumban az egészségügyi szolgáltató traumatológiai osztályát ki kereste fel olyan sérüléssel, amely feltehetően autóbalesettel összefüggésben érhette.” „Megtörténik az adatkiadás. Egy beteg sérelmezi, hogy a rendőrség megjelent nála, kihallgatták. Megállapították ártatlanságát, mégis fel van háborodva, mert az egészségügyi szolgáltató jogosulatlanul adta ki egészségügyi és személyes 7
adatait, amellyel kapcsolatban jogszerűtlen eljárás érte. Az esettel kapcsolatban panaszt tett a betegjogi képviselőnél.” Csapda: a Rendőrség hivatali tekintélyének túlértékelése Problémák: • Az egészségügyi szolgáltató intézményen kívüli adattovábbításának jogszerűtlensége. • A vonatkozó jogszabály ismeretének hiánya mindkét fél részéről. • Hiányosság az intézmény adatkezelési szabályozásában. Mit kell vizsgálni a rendőrségi megkeresésnél az adatkiadás előtt ismeretlen (illetve ismert) tettes esetén, ? Alapvető fontosságú annak behatárolása, hogy a rendőrség milyen adatokat kérhet jogszerűen az egészségügyi szolgáltatótól. Ebben a kérdésben a rendőrségről szóló 1994. évi XXXIV. törvény igazít el (Rtv.): A rendőrség a kétévi vagy ennél súlyosabb szabadságvesztéssel büntetendő, szándékos bűncselekmény
felderítéséhez
kérhet
adatszolgáltatást
az
egészségügyi
szolgáltatótól. Az adatkérés jogszabályi feltételei a következők: 1. ügyészi jóváhagyáshoz kötött; 2. a megkeresésben fel kell tüntetni az adatkérés célját; 3. az adatszolgáltatás teljesítésére határidőt jelölhet meg; 4. az adatszolgáltatás ingyenes; 5. az egészségügyi szolgáltató nem tagadhatja meg az adatszolgáltatást; 6. a kapott adatokat csak a megjelölt célra használhatja fel a rendőrség. A rendőrség adatkérési megkeresésének minden esetben feltétele tehát az ügyészi jóváhagyás.
8
Bizonyos ügycsoportokban azonban arra is van lehetőség, hogy a megkeresést előzetes ügyészi jóváhagyás nélkül tegye meg a rendőrség, amelyet a megkeresettnek haladéktalanul kell teljesítenie. A rendőrség ebben az esetben „Halaszthatatlan intézkedés” jelzéssel látja el a megkeresést. (Utólagos ügyészi jóváhagyás – ennek hiányában adatmegsemmisítésre kötelezett.) Saját és bevált gyakorlatom a rendőrségi megkeresésekkel kapcsolatban: • Telefon kapcsolat felvétele az ügyintézővel az írásos megkeresés beérkezése után. • A vonatkozó jogszabályra való hivatkozás megemlítése. • Az intézmény adatvédelmi szabályzatra alapozott gyakorlatának ez esetre vonatkozó ismertetése. • Az adat átadásának egyeztetése és feltételei: személyes átvétel a gyorsaság érdekében, pecsét, illetve aláírás biztosítása az intézmény adatkiadási feljegyzésén. A felhozott „csapdás esetekről” miért kellett beszélni? ¾ Az egészségügyi szolgáltató személyzeténél általános az a nézet, hogy először a szakmai tevékenység, másodszor a szakmai tevékenység,….és valahol a rangsor végén állnak az adatvédelemmel kapcsolatos teendők. ¾ Csakhogy az egészségügyi ellátás komplex és annak adatvédelmi követelményit jogszabály írja elő. ¾ Amennyiben a betegellátási munka során ezen jogszabályba ütköző esemény történik: • Az intézmény vezetője az első számú felelős (az első vezető felelős mindenért, ami előtte és ami háta mögött történik.) • A tendencia az, hogy a felelősség hullám lefelé mozdul, tehát a középvezetői és végrehajtási szinten lévők is álmatlan éjszakákra számíthatnak.
9
BEFEJEZÉSÜL KÉT FIGYELEMRE MÉLTÓ SZEMPONT! A szabálysértésekről szóló 1968. évi I. tv. 88/B bekezdése szerint adatvédelmi szabálysértést követ el az, aki a technikai adatvédelem követelményeinek nem tesz eleget, ill. az érintettet a személyes adatok védelméhez vagy a közérdekű adatok nyilvánosságához való jogában akadályozza. Az adatkezelő mindezen túl kártérítési felelősséggel is tartozik a jogellenes adatkezelés következményeiért: „az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni“ (késedelem, kiadás megtagadása…). Az adatvédelmi törvényben meghatározott jogok megsértése esetében az érintett bírósághoz fordulhat. A perben az adatkezelő köteles bizonyítani, hogy az adatkezelés a jogszabályban foglaltaknak megfelel. Ez nem egyszerű. A felmerülő szempontok: 1. Szabályozott-e az adott terület (VEZETÉS) 2. Ellenőrizték-e a szabályozott működést? És ez igazolható? (VEZETÉS) 3. A szabályozásnak megfelelően jártak-e el? (VÉGRAHAJTÁS) 4. Igazolható-e a fenti? DOKUMENTÁLÁS! (VÉGRAHAJTÁS) ZÁRÓ GONDOLAT A negatív események bemutatásával a vezetés és a végrehajtó oldal egyaránt ráébredhet arra, hogy ennek a területnek a laza kezelése azt jelenti, hogy „vékony jégen járunk”, amiből KÖNNYEN BAJ LEHET!!!”
10
