2 tygodni temu
Istota problemu
Aktualizowane przez Parlament Europejski i Radę brzmienie unijnego draftu rozporządzenia dotyczącego europejskiej przestrzeni danych zdrowotnych (EHDS) wprowadza istotne zmiany w zakresie gromadzenia, przechowywania i udostępniania danych medycznych na terytorium Unii Europejskiej. Celem EHDS jest ujednolicenie systemu zarządzania informacjami zdrowotnymi obywateli UE, tak aby umożliwić ich bezpieczny przepływ między placówkami medycznymi oraz instytucjami badawczymi. Wśród kluczowych założeń znajduje się wzmocnienie praw pacjentów w zakresie kontroli nad ich danymi, usprawnienie procesów leczenia oraz zwiększenie dostępu do danych na potrzeby badań naukowych i innowacji w sektorze ochrony zdrowia.
Doświadczenia związane z pandemią COVID-19 uwydatniły konieczność opracowania jednolitego systemu wymiany informacji medycznych na poziomie międzynarodowym. Wdrożenie EHDS usprawni procesy diagnostyczne i terapeutyczne, ułatwiając lekarzom szybki dostęp do danych pacjentów. Dodatkowo system ten stworzy nowe możliwości dla badań naukowych oraz poprawi skuteczność działań w obszarze polityki zdrowotnej, opierając je na rzeczywistych danych. Ze względu na fakt, iż dane zdrowotne stanowią kategorię szczególnie chronionych danych osobowych zgodnie z art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), ich przetwarzanie musi odbywać się zgodnie z zasadami privacy by design i privacy by default, zapewniając najwyższy poziom ochrony prywatności. Ponadto EHDS ma na celu zwiększenie transparentności procesów zarządzania informacjami medycznymi oraz wdrożenie nowoczesnych mechanizmów bezpieczeństwa, aby zminimalizować ryzyko nieuprawnionego dostępu do danych.
Skutki dla prawa w Polsce
Dostosowanie polskich przepisów do regulacji EHDS będzie wymagało licznych zmian legislacyjnych. Nowelizacji wymagać będą m.in. ustawa z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U. z 2024 r. poz. 581) oraz ustawa z 28.4.2011 r. o systemie informacji w ochronie zdrowia (t.j. Dz.U. z 2023 r. poz. 2465). Wprowadzenie nowych przepisów będzie miało na celu zapewnienie zgodności z unijnymi regulacjami dotyczącymi cyfryzacji dokumentacji medycznej, a także ochrony i udostępniania danych zdrowotnych.
Jednym z kluczowych wyzwań będzie stworzenie w Polsce organu nadzorującego wdrożenie EHDS i kontrolującego zgodność krajowych rozwiązań z regulacjami unijnymi. Konieczne stanie się również powołanie struktur odpowiedzialnych za zarządzanie dostępem do danych zdrowotnych oraz organizację wymiany informacji między Polską a innymi państwami członkowskimi. W tym kontekście istotne będzie także wdrożenie systemów nadzorujących bezpieczeństwo przetwarzania danych, uwzględniających nowoczesne technologie szyfrowania oraz wielopoziomową autoryzację dostępu. Dodatkowo wprowadzenie EHDS będzie wymagało ścisłej współpracy między różnymi instytucjami publicznymi oraz sektorem prywatnym, co może przyczynić się do bardziej efektywnego wdrażania cyfrowych rozwiązań w ochronie zdrowia.
EHDS wprowadza obowiązek pełnej cyfryzacji dokumentacji medycznej w polskich placówkach ochrony zdrowia. Interoperacyjność systemów informatycznych stanie się warunkiem efektywnej wymiany danych, co przełoży się na wyższą jakość opieki zdrowotnej. Oprócz aspektów technicznych istotne będzie także dostosowanie procedur do zasad privacy by design i privacy by default, aby minimalizować ryzyko naruszenia prywatności pacjentów. W związku z tym placówki medyczne będą musiały nie tylko zmodernizować infrastrukturę IT, ale również przeprowadzić szkolenia dla personelu, aby zapewnić pełne zrozumienie nowych procedur oraz obowiązków wynikających z regulacji EHDS.
Nowe regulacje przewidują mechanizm opt-out, który umożliwia pacjentom rezygnację z udostępniania ich danych w ramach systemu EHDS. W związku z tym placówki medyczne będą zobowiązane do wdrożenia odpowiednich rozwiązań umożliwiających zarządzanie zgodami pacjentów oraz zapewnienie transparentności w zakresie dostępu do ich danych. Wdrażane rozwiązania muszą obejmować nowoczesne zabezpieczenia, takie jak szyfrowanie danych, autoryzacja wielopoziomowa oraz monitoring dostępu do informacji zdrowotnych. W praktyce oznacza to konieczność wdrożenia systemów analizy ryzyka oraz mechanizmów reagowania na potencjalne naruszenia bezpieczeństwa danych.
EHDS a RODO
Pomimo wprowadzenia szczegółowych regulacji w zakresie przetwarzania danych zdrowotnych, EHDS pozostaje uzupełnieniem rozporządzenia (UE) 2016/679 (RODO), które przez cały czas stanowi fundament ochrony danych osobowych w Unii Europejskiej. Nowe przepisy precyzują zasady przetwarzania, udostępniania i dostępu do danych medycznych, przy jednoczesnym zachowaniu zgodności z kluczowymi zasadami RODO, takimi jak minimalizacja przetwarzania danych oraz wymóg uzyskania zgody pacjenta na ich przetwarzanie. Mechanizmy privacy by design oraz privacy by default muszą być integralnym elementem wdrażania EHDS, zapewniając ochronę danych na każdym etapie ich przetwarzania.
Implementacja EHDS powinna uwzględniać fundamentalne zasady ochrony danych osobowych określone w RODO, w tym zasadę minimalizacji danych, zgodnie z którą przetwarzanie informacji pacjentów może odbywać się wyłącznie w zakresie niezbędnym do realizacji określonych celów. Ważnym aspektem jest również prawo do bycia zapomnianym, umożliwiające pacjentom żądanie usunięcia ich danych, jeżeli nie istnieją prawne przesłanki do dalszego ich przechowywania. Dodatkowe środki bezpieczeństwa, takie jak pseudonimizacja, szyfrowanie danych oraz monitoring dostępu, będą najważniejsze dla zapewnienia najwyższego poziomu ochrony prywatności pacjentów. Wprowadzenie EHDS oznacza także konieczność bieżącego monitorowania zgodności z RODO, co będzie wymagało regularnych audytów oraz dostosowywania systemów do zmieniających się wymagań technologicznych i prawnych.
Podsumowanie
Wprowadzenie EHDS stanowi istotny krok w kierunku cyfryzacji ochrony zdrowia w Unii Europejskiej. Realizacja tego projektu wymaga jednak szeroko zakrojonych zmian w krajowych regulacjach prawnych, modernizacji infrastruktury informatycznej oraz wdrożenia skutecznych mechanizmów ochrony danych osobowych. najważniejsze znaczenie ma zapewnienie zgodności z RODO, zwłaszcza w odniesieniu do przetwarzania danych szczególnej kategorii. Zastosowanie zasad privacy by design i privacy by default, a także nowoczesnych zabezpieczeń, takich jak szyfrowanie danych i monitoring dostępu, będzie fundamentem ochrony danych zdrowotnych w ramach europejskiej przestrzeni danych zdrowotnych.
