Πώς θα λειτουργεί το σύστημα εξηγεί ο δικηγόρος και Υπεύθυνος Προστασίας Δεδομένων, του Υπ. Υγείας, κ. Δ. Ζωγραφόπουλος
Ανησυχίες εκφράζονται στο Ηνωμένο Βασίλειο, σύμφωνα με δημοσιεύματα του αγγλικού τύπου σχετικά με την προστασία των προσωπικών δεδομένων, καθώς εισάγονται νέοι νόμοι που θα καθιστούν διαθέσιμα τα ιατρικά αρχεία των ασθενών, σε όλα τα νοσοκομεία του NHS, τα ιατρεία πρωτοβάθμιας περίθαλψης καθώς και τις υπηρεσίες ασθενοφόρων στην Αγγλία.
Σύμφωνα με δημοσίευμα της MorningStar, έχουν αποκαλυφθεί σχέδια για ένα «ενιαίο ιατρικό αρχείο ασθενούς», το οποίο θα συνοψίζει όλες τις πληροφορίες για την υγεία του, τα αποτελέσματα εξετάσεων και τα έγγραφα που υπάρχουν στην εφαρμογή του NHS, δήλωσε το Υπουργείο Υγείας και Κοινωνικής Φροντίδας. Οι υπουργοί ξεκίνησαν διαβούλευση για το μέλλον του NHS, υποσχόμενοι ότι οι ασθενείς και το προσωπικό θα είναι στο επίκεντρο ενός δεκαετούς σχεδίου για την υγεία. Το σχέδιο, το οποίο αναμένεται να δημοσιευθεί το 2025, θα προβλέπει αυξημένη χρήση δεδομένων και τεχνολογίας.
Πέρυσι, σύμφωνα πάντα με το ίδιο δημοσίευμα, υπογράφτηκε σύμβαση ύψους 330 εκατομμυρίων λιρών με την αμερικανική εταιρεία ανάπτυξης λογισμικού Palantir για τη δημιουργία μιας βάσης δεδομένων που θα συνδέει τα μεμονωμένα αρχεία που τηρούνται από τις τοπικές υπηρεσίες. Η εταιρεία χρησιμοποιείται από υπηρεσίες πληροφοριών, την αντιτρομοκρατική και στρατιωτικές δυνάμεις σε όλο τον κόσμο. Ομάδες που αγωνίζονται στην Αγγλία για την προστασία της ιδιωτικής ζωής απαιτούν οι ασθενείς να γνωρίζουν ποιοι και πως έχουν πρόσβαση στα δεδομένα που τους αφορούν , πώς χρησιμοποιούνται αυτά και ταυτόχρονα διεκδικούν να έχουν το δικαίωμα να εξαιρούνται από διανομή και επεξεργασία αυτών των δεδομένων.
Πόσο πρέπει να ανησυχούμε για την ελληνική πραγματικότητα;
Το ερώτημα που εύλογα προκύπτει είναι αν αυτές οι εξελίξεις επηρεάσουν και την Ελλάδα, ενόσω δημιουργείται ο ηλεκτρονικός ιατρικός φάκελος, αλλά και πως θα μπορέσει τελικά να λειτουργήσει, αν υπάρχουν αγκυλώσεις. Πώς προτίθεται το υπουργείο να προχωρήσει και τι πρόκειται να γίνει με το δικαίωμα των ασθενών για άρνηση πρόσβασης σε αυτά τα στοιχεία.
Το DailyPhamaNews έθεσε αυτά τα ερωτήματα στον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, Δικηγόρο- Ειδικό Επιστήμονα Δημήτρη Ζωγραφόπουλο. Στο άρθρο, μας είπε ο κ. Ζωγραφόπουλος, καταγράφονται ανησυχίες σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα των ασθενών αναφορικά με την προσπάθεια δημιουργίας – στο πλαίσιο του NHS, στη Μεγάλη Βρετανία –«ενιαίου ιατρικού αρχείου ασθενούς». Το εν λόγω «ενιαίο ιατρικό αρχείο ασθενούς» προφανώς θα περιέχει το ιατρικό ιστορικό του κάθε ασθενούς, το οποίο προς το παρόν υπάρχει και τηρείται κατακερματισμένο σε διάφορα συστήματα αρχειοθέτησης (πχ. αρχεία νοσοκομείων, όπου ο ασθενής έχει νοσηλευτεί, αρχεία θεραπόντων ιατρών, κλπ.). Γίνεται, μάλιστα αναφορά, σε συγκεκριμένη εταιρεία (Palantir) και στις επιχειρηματικές της δραστηριότητες, κατά τρόπο ώστε να δημιουργούνται ανησυχίες, αναφέρει ο κ. Ζωγραφόπουλος για να συμπληρώσει στη συνέχεια ότι όσον αφορά την ελληνική πραγματικότητα, η κατάσταση μόνο μικρές αναλογίες παρουσιάζει.
Ρυθμίζεται και η σύσταση και λειτουργία των Εθνικών Μητρώων Ασθενών
«Ειδικότερα, στην Ελλάδα έχουμε προκρίνει – από το έτος 2014 – το μοντέλο δημιουργίας «ενιαίου ιατρικού φακέλου ασθενούς» με την καθιέρωση του Ατομικού Ηλεκτρονικού Φακέλου Υγείας (Α.Η.Φ.Υ.), ουσιαστικά για κάθε άτομο που διαβιοί εντός της ελληνικής επικράτειας (άρθρο 51 του Ν. 4238/2014). Με τις διατάξεις του άρθρου 84 του Ν. 4600/2019 τροποποιήθηκαν οι ρυθμίσεις για τον Ατομικό Ηλεκτρονικό Φάκελο Υγείας (Α.Η.Φ.Υ.), προκειμένου να εναρμονιστούν πλήρως με τις αυστηρές ρυθμίσεις και επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Οφείλω να επισημάνω ότι ο Ν4600/2019 αποτελεί εξαιρετικά σημαίνον νομοθέτημα για το Υπουργείο Υγείας, δεδομένου ότι με αυτό ρυθμίζεται, μεταξύ άλλων, και η σύσταση και λειτουργία των Εθνικών Μητρώων Ασθενών και η σύσταση και λειτουργία Αυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων (DPO) στο Υπουργείο Υγείας, ο οποίος και εποπτεύει τη συμμόρφωση των Εθνικών Μητρώων Ασθενών και του ΑΗΦΥ προς τις διατάξεις του ΓΚΠΔ (GDPR). Από τη σκοπιά των θεσμικών εγγυήσεων για τη λειτουργία του ΑΗΦΥ σύμφωνα με το περιεχόμενο των ρυθμίσεων ΓΚΠΔ (GDPR), η Ελλάδα έχει συμμορφωθεί πλήρως».
Ο Ατομικός Φάκελος συμβάλλει στη δημιουργία ασθενοκεντρικού συστήματος υγείας
Σύμφωνα με τον κ. Ζωγραφόπουλο ο ΑΗΦΥ συμβάλλει αποφασιστικά στη διαμόρφωση ενός ασθενοκεντρικού συστήματος παροχής υπηρεσιών υγείας στην Ελλάδα, καθώς ρητά προβλέπεται ότι «Ο Α.Η.Φ.Υ. περιέχει το ατομικό ιστορικό υγείας του λήπτη υπηρεσιών υγείας, καθώς και δεδομένα, εκτιμήσεις και πληροφορίες κάθε είδους, σχετικά με την κατάσταση και την κλινική εξέλιξη του προσώπου αυτού, ως ασθενούς, καθ` όλη τη διαδικασία περίθαλψής του. Το περιεχόμενο του Α.Η.Φ.Υ. τηρείται ισοβίως και είναι ενιαίο και υποχρεωτικό σε εθνικό επίπεδο».
Σύμφωνα με τον γνωστό δικηγόρο, η σύσταση και λειτουργία του ΑΗΦΥ, για λογαριασμό του Υπουργείου Υγείας, ανατίθενται εξίσου ρητά όχι σε οποιαδήποτε εμπορική εταιρεία, αλλά στην ΗΔΙΚΑ ΑΕ, εταιρεία του δημοσίου τομέα, η οποία, μεταξύ άλλων, λειτουργεί, για λογαριασμό του Υπουργείου Υγείας, το Σύστημα Ηλεκτρονικής Συνταγογράφησης (ΣΗΣ).
Διασφάλιση των δικαιωμάτων πρόσβασης και ενημέρωσης των ασθενών
Από την απλή ανάγνωση του άρθρου 84 του Ν, 4600/2019 σαφώς προκύπτει ότι προβλέπεται η πλέον αυστηρή και συνεχώς επικαιροποιημένη χρήση προτύπων και διαδικασιών ασφαλείας για τη λειτουργία του ΑΗΦΥ και διασφαλίζονται πλήρως τα δικαιώματα των ασθενών, ως υποκειμένων των δεδομένων, και, ιδίως, τα δικαιώματα ενημέρωσης και πρόσβασης. Οι νομικές αυτές προβλέψεις διασφαλίζονται πλήρως και ως προς την τεχνική τους υλοποίηση από την ΗΔΙΚΑ, υπό την εποπτεία του DPO του Υπουργείου Υγείας, τονίζει ο κ. Ζωγραφόπουλος. Εξάλλου, προβλέπεται ρητά ότι: «Η επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα που καταχωρούνται στον Α.Η.Φ.Υ., για τους σκοπούς και με τη διαδικασία που ορίζονται στις διατάξεις του παρόντος, δεν μπορεί να επιφέρει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες ή ασφαλιστικές εταιρείες και τράπεζες».
Ποινικές κυρώσεις για παράνομη πρόσβαση σε ΑΗΦΥ και Σύστημα Ηλεκτρονικής Συνταγογράφησης
Μάλιστα ο DPO του υπουργείου Υγείας επισημαίνει ότι προβλέπονται και αυστηρές ποινικές κυρώσεις για την παράνομη πρόσβαση στον ΑΗΦΥ, στο Σύστημα Ηλεκτρονικής Συνταγογράφησης (Σ.Η.Σ.) και στον ηλεκτρονικό φάκελο δαπάνης ασφάλισης υγείας δικαιούχου, που δημιουργήθηκε και τηρείται στον Ε.Ο.Π.Υ.Υ. «Ο ΑΗΦΥ θα δοθεί σε πλήρη παραγωγική λειτουργία εντός του 2025, καθόσον έως το τέλος της τρέχουσας χρονιάς διενεργείται η λειτουργική του αναβάθμιση. Αυτή περιλαμβάνει και τον εμπλουτισμό των πληροφοριών που περιέχει και οι οποίες συγκροτούν το ιατρικό ιστορικό του κάθε ασθενούς – μέσω του έργου «Εθνικός Ηλεκτρονικός Φάκελος Υγείας». Έργο το οποίο έχει ενταχθεί στο Ταμείο Ανάκαμψης και Ανθεκτικότητας και χρηματοδοτείται από την ΕΕ. Η αρχή, που διέπει την πρόσβαση των ιατρών στον ΑΗΦΥ κάθε ασθενούς, είναι η δυνατότητα πρόσβασης στο εν λόγω ιστορικό, μόνον εφόσον έχουν όντως καταστεί θεράποντες του ασθενούς, για το σκοπό της βέλτιστης παροχής υπηρεσιών υγείας στον ενδιαφερόμενο ασθενή.
Νομικές και τεχνικές εγγυήσεις για την αποτελεσματική λειτουργία του ΑΗΦΥ
Στο ερώτημα πως μπορεί να διασφαλιστεί το απόρρητο, όταν ιατρικός φάκελος σημαίνει ότι πχ ανοίγει τον υπολογιστή ο ιατρός στην Αλεξανδρούπολη και βλέπει όλο το ιστορικό ενός δρομέα από την Αθήνα, ο κ. Ζωγραφόπουλος απαντά: «Ναι έτσι γίνεται εάν ο συγκεκριμένος ιατρός έχει καταστεί θεράπων (έχει επιλεγεί από τον ίδιο τον ασθενή ή έχει αναλάβει τον ασθενή υπό καθεστώς επείγοντος περιστατικού) και πρέπει να παράσχει υπηρεσίες υγείας στον δρομέα από την Αθήνα, είτε εκ του σύνεγγυς, είτε μέσω εφαρμογών τηλεϊατρικής. «Η αρχή αυτή διασφαλίζεται με την χρήση του τεχνικού μέτρου ασφαλείας «διπλός παράγοντας αυθεντικοποίησης» («Two Factor Authentication»), με βάση το οποίο το πληροφοριακό σύστημα ζητεί από τον θεράποντα ιατρό να εισαγάγει το κινητό τηλέφωνο του ασθενή, ώστε να αποσταλεί ΟΤΡ σε αυτό. Στη συνέχεια αποστέλλεται SMS με ΟΤΡ στο κινητό που συμπλήρωσε ο ιατρός και το σύστημα αναμένει ο ιατρός να πληκτρολογήσει το ΟΤΡ που του γνωστοποίησε ο ασθενής, ώστε να αποκτήσει πρόσβαση στο ιστορικό του ασθενή. Εάν σε προηγούμενη αναζήτηση του ιστορικού του ασθενή, άλλος ιατρός έχει ήδη συμπληρώσει το κινητό του ασθενή, τότε εμφανίζεται το κινητό αυτό στον ιατρό που αναζητά τώρα το ιστορικό, για επαλήθευση (και εντοπισμό πιθανής παράνομης πρόσβασης από τον προηγούμενο ιατρό). Ο ιατρός μπορεί είτε να το αφήσει ίδιο, είτε να το τροποποιήσει. Επίσης όπως εξηγεί ο κ. Ζωγραφόπουλος υπάρχουν ασφαλιστικές δικλείδες στην περίπτωση που ο ασθενής δεν έχει τις αισθήσεις του καθώς είναι διαθέσιμη η επιλογή Επείγον Περιστατικό, αλλά και η επιλογή «Αδυναμία λήψης ΟΤΡ» (με υπεύθυνη δήλωση του ιατρού ότι είναι θεράπων ιατρός κτλ.) στην περίπτωση που πέσει το ιντερνετ πχ. «Συνεπώς, όλες οι απαραίτητες νομικές και τεχνικές εγγυήσεις έχουν προβλεφθεί για την αποτελεσματική λειτουργία του ΑΗΦΥ και το σεβασμό των δικαιωμάτων των ασθενών. Επιπλέον, ο ΑΗΦΥ αποτελεί, από τεχνική άποψη, ένα δυναμικό πληροφοριακό σύστημα, που δύναται να αναβαθμιστεί με τα πλέον επικαιροποιημένα μέτρα ασφαλείας».
