Szykują się duże zmiany w ustawie o Prawach Pacjenta i Rzeczniku Praw Pacjenta. Ministerstwo Zdrowia przygotowało założenia do projektu zmiany ww. ustawy w październiku 2013 roku. Projekt obecnie znajduje się na etapie konsultacji publicznych.
Jedną z ważniejszych zmian jest zamiar wprowadzenia instytucji powierzenia przechowywania dokumentacji medycznej. Powyższe działanie zostało uzasadnione postępującym procesem informatyzacji świadczeniodawców, co powoduje, że coraz większego znaczenia nabiera kwestia przechowywania dokumentacji medycznej w postaci elektronicznej. Należy pamiętać, że zgodnie z obowiązującymi przepisami świadczeniodawcy mają obowiązek wprowadzić dokumentację medyczną w formie elektronicznej od 1 sierpnia 2014 roku. I wprawdzie jest już prawie pewne, że wprowadzenie omawianego wymogu ulegnie przesunięciu w czasie, to i tak omawiana zmiana wymaga dostosowania zasad funkcjonowania podmiotów udzielających świadczeń zdrowotnych.
Jednym z obszarów wymagających zmian jest właśnie kwestia przechowywania dokumentacji medycznej. W związku z jej postępującą informatyzacją, zmianie ulegają warunki jej przechowywania. Zazwyczaj świadczeniodawca nie posiada odpowiednich warunków technicznych, aby przechowywać dane pacjentów w formie elektronicznej (zabezpieczona serwerownia, wykwalifikowany personel IT, oprogramowanie bazodanowe). W związku z tym korzysta z instytucji outsourcingu. Outsourcing może polegać w szczególności na zlecaniu zewnętrznej firmie (zazwyczaj informatycznej) przechowywania dokumentacji medycznej. Obecnie prawo nie zabrania outsourcowania dokumentacji medycznej – na gruncie obowiązujących przepisów możliwe jest w naszej ocenie powierzenie przechowywania dokumentacji medycznej zewnętrznej firmie, pod warunkiem, że ta ostatnia nie będzie miała do niej żadnego wglądu, co można osiągnąć poprzez szyfrowanie tej dokumentacji. Sprawa jednak budzi kontrowersje, czego świadectwem jest stanowisko, w którym GIODO, w prowadzonej z Ministerstwem Zdrowia korespondencji, wskazywał, że outsourcing przetwarzania dokumentacji medycznej budzi wątpliwości ze względu na istnienie tajemnicy zawodowej, o której mowa w art. 13 i 14 ustawy o prawach pacjenta, która gwarantuje większą ochronę danych medycznych, niż ochrona przewidziana przepisami ogólnymi ustawy o ochronie danych osobowych i w tym zakresie wyłącza stosowanie przepisów ogólnych (zgodnie z art. 5 u.o.d.o.). W ocenie GIODO należy dokonać zmian legislacyjnych, które wprowadzą wprost podstawę prawną dla outsourcingu prowadzenia dokumentacji medycznej oraz rozciągną na podmioty zewnętrzne, przetwarzające dane w ramach dokumentacji medycznej, obowiązek zachowania tajemnicy co najmniej równoważny z obowiąziem zachowania tajemnicy przez osoby wykonujące zawody medyczne.
W związku z powyższym, widząc rosnącą potrzebę zapewnienia świadczeniodawcom dostępu do usług outsourcingu przechowywania dokumentacji medycznej, założenia do projektu przewidują wprowadzenie zmian postulowanych przez GIODO, tzn. ustanowienie podstawy prawnej dla powierzenia przetwarzania dokumentacji medycznej, polegającego w szczególności na przechowywaniu i archiwizowaniu tej dokumentacji.
Celem ustawodawcy jest umożliwienie podmiotom udzielającym świadczeń zdrowotnych skorzystania z wiedzy, infrastruktury i technologii, jakimi dysponują specjalistyczne podmioty zewnętrzne (np. informatyczne).
Zgodnie z projektem, powierzenie przechowywania dokumentacji medycznej następowałoby na podstawie pisemnej umowy, określającej zakres i cel przetwarzania danych. Administratorem danych byłby nadal podmiot udzielający świadczeń zdrowotnych. Natomiast podmiot, któremu powierzono przechowywanie dokumentacji medycznej byłby zobowiązany zabezpieczyć zbiór danych poprzez zastosowanie środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną. Szczególnym celem ochrony dokumentacji jest zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy, a także ich zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto podmiot, któremu powierzono przechowywanie danych byłby zobligowany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowania środków technicznych i organizacyjnych powziętych dla ich ochrony, na którą składa się:
- polityka bezpieczeństwa,
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
- wyznaczenia administratora bezpieczeństwa informacji,
- dopuszczenia do przetwarzania danych wyłącznie osoby posiadające upoważnienie nadane przez administratora danych,
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Dodatkowo należy zaznaczyć, że osoby, które zostały upoważnione do przetwarzania danych, byłyby obowiązane do zachowania w tajemnicy tych danych oraz sposobu ich zabezpieczenia. Podmiot, któremu powierzono przetwarzanie danych ponosiłby odpowiedzialność za działania niezgodne z umową zawartą z administratorem danych.
Należy uznać, że zamiar wprowadzenia analizowanej instytucji powierzenia przechowywania dokumentacji medycznej jest słusznym rozwiązaniem, uwzględniającym postęp w zakresie informatyzacji ochrony zdrowia. Wprowadzenie takiego rozwiązanie wzmocniłoby gwarancję bezpieczeństwa danych przekazywanych przez świadczeniodawcę.