Spis treści
Pomyłka w adresacie korespondencji (e-mail czy list) zdarza się w każdej organizacji. W ochronie zdrowia konsekwencje są jednak szczególne, bo nawet pozornie „księgowy” dokument tak jak faktura czy rachunek potrafi ujawniać informacje o korzystaniu ze świadczeń zdrowotnych. W praktyce oznacza to, że błędne przesłanie faktury do innego pacjenta bardzo często będzie naruszeniem ochrony danych osobowych, a niekiedy również naruszeniem danych szczególnej kategorii (dane o zdrowiu). Poniżej znajdziesz informacje jak to ocenić i jak działać, aby ograniczyć ewentualne ryzyka.
Dlaczego wysłanie faktury „nie temu pacjentowi” może być naruszeniem RODO?
RODO definiuje naruszenie ochrony danych jako zdarzenie skutkujące m.in. nieuprawnionym ujawnieniem danych. Jeżeli faktura zawiera dane identyfikujące pacjenta (imię i nazwisko, adres, e-mail, numer telefonu, PESEL, numer klienta, numer sprawy, numer historii choroby itp.) i trafia do niewłaściwego odbiorcy, mamy klasyczny przypadek nieuprawnionego ujawnienia.
Kiedy faktura staje się „danymi o zdrowiu” (szczególna kategoria danych)
RODO co do zasady zakazuje przetwarzania danych o zdrowiu. Co istotne, „dane dotyczące zdrowia” obejmują nie tylko diagnozę, ale również dane związane z korzystaniem z opieki zdrowotnej. W praktyce faktura może ujawniać dane o zdrowiu, jeżeli zawiera np.:
- nazwę procedury / badania (np. biopsja, test HIV, konsultacja psychiatryczna),
- nazwę poradni / oddziału o jednoznacznym profilu (np. onkologia, leczenie niepłodności),
- opis świadczenia w sposób pozwalający wyciągać wnioski o stanie zdrowia.
To nie jest teoria. UODO wielokrotnie kwalifikował wydanie dokumentu medycznego „innemu pacjentowi” jako naruszenie poufności, a przy szerokim zakresie danych (w tym zdrowotnych) wskazywał na wysokie ryzyko dla osoby, której dane dotyczą.
Obowiązki po incydencie: zgłoszenie do UODO i zawiadomienie pacjenta
Zgłoszenie do UODO (72 godziny)
Administrator nie później niż w terminie 72 godzin zgłasza naruszenie organowi nadzorczemu, chyba że jest „mało prawdopodobne”, by skutkowało ryzykiem. W praktyce w ochronie zdrowia trudno bronić tezy „mało prawdopodobne ryzyko”, jeżeli ujawniono PESEL / adres lub ujawniono informacje wskazujące na korzystanie ze świadczeń (a tym bardziej nazwę procedury).
Zawiadomienie osoby, której dane dotyczą (wysokie ryzyko)
Jeżeli naruszenie może powodować wysokie ryzyko, administrator ma obowiązek bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą. W sektorze medycznym „wysokie ryzyko” pojawia się szczególnie wtedy, gdy dokument pozwala wnioskować o zdrowiu lub dotyczy obszarów wrażliwych (np. leczenie niepłodności). Przykładowo, UODO opisywał sprawę, w której brak zgłoszenia i brak powiadomienia pacjentki po błędnym wysłaniu dokumentu skutkował sankcją.
„Ryzyko” nie musi się zmaterializować
W podejściu organu i sądów administracyjnych akcentuje się, że dla obowiązku zgłoszenia liczy się ryzyko, a nie to, czy realna szkoda już wystąpiła. UODO omawiał wprost linię orzeczniczą, że konsekwencje nie muszą się ujawnić, aby powstał obowiązek reakcji.
Jak zmniejszyć ryzyko „na przyszłość”
Dla podmiotów leczniczych standardem powinny być:
- zasada minimalizacji treści na fakturze (tam, gdzie to możliwe) – unikać opisów ujawniających zdrowie, rozdzielać dokument medyczny od księgowego,
- weryfikacja adresata (co najmniej dwa identyfikatory: np. nazwisko + data urodzenia / numer pacjenta),
- bezpieczne kanały udostępniania (portal pacjenta, szyfrowane załączniki, linki jednorazowe),
- procedura postępowania w przypadku zdarzenia (kto ocenia ryzyko, kto decyduje o zgłoszeniu, kto komunikuje z pacjentem).
Podsumowanie
Błędne przesłanie faktury do innego pacjenta w większości przypadków będzie naruszeniem ochrony danych (nieuprawnione ujawnienie). Jeżeli faktura ujawnia choćby fakt korzystania ze świadczeń, a tym bardziej nazwę procedury / poradni, incydent może dotyczyć danych o zdrowiu – czyli danych szczególnej kategorii, które są objęte podwyższonym reżimem ochrony. Kluczowe jest szybkie ustalenie faktów, rzetelna ocena ryzyka, dotrzymanie 72 godzin na zgłoszenie w razie ryzyka oraz – przy wysokim ryzyku – zawiadomienie pacjenta.
