Kas audiitor võib vaadata teie terviseandmeid? Sloveenia andmekaitse volinik selgitab reegleid

Füüsilises maailmas ei tuleks meil mõttessegi lubada finantskonsultandil sirvida meie isiklikke haiguslugusid ajal, mil nad vaatavad läbi haigla bilanssi. Me mõistame vaistlikult, et arsti diagnoos on püha usaldus. Ometi kipuvad digitaalses maailmas piirid sageli hämarduma. Kui tervishoiuteenuse osutaja kaasab oma tegevuse auditeerimiseks välisfirma, satuvad isiklikud terviseandmed — ühed tundlikumad andmed, mida inimene võib tekitada — äkitselt serverisse, mis on kättesaadav kolmandate osapoolte pilkudele.

Hiljuti käsitles Sloveenia teabevolinik (IP) just seda pingekohta. Küsimus asja tuumaks on lihtne, kuid sügav: kuidas tasakaalustada süsteemset vajadust professionaalse järelevalve järele ja põhiõigust meditsiinilisele privaatsusele? Voliniku arvamus on oluline kompass igale tervishoiuasutusele, mis liigub välisauditite ebakindlatel vetel.

Nähtamatu külaline nõustamistoas

Kui mõtleme terviseandmetele, mõtleme tavaliselt patsiendi ja arsti vahelisele suhtele. Kuid selle suhte taga peitub tohutu administratiivne masinavärk. Toimimiseks, läbipaistvuse tagamiseks ning finants- või kvaliteedistandardite täitmiseks peavad tervishoiuteenuse osutajad läbima perioodilisi auditeid. Need audiitorid on tervishoiumaailma "nähtamatud külalised".

Vastavuse seisukohast ei astu need audiitorid lihtsalt sisse ega hakka faile lappama. Sloveenia volinik selgitab, et audiitori seaduslik õigus andmetega kokku puutuda ei ole iseenesestmõistetav; see on tuletatud. See tuleneb peamiselt andmevastutajalt — haiglalt või kliinikult — ning peab olema ankurdatud vastastikusesse lepingusse, mis määratleb täpselt, mida audiitor tegema peab. Mõelge andmevastutajast kui andmete seaduslikust eestkostjast; nemad on need, kes otsustavad andmetöötluse "miks" ja "kuidas".

Audiitor kui andmetöötleja

Isikuandmete kaitse üldmääruse (GDPR) kontekstis astub välisaudiitor tavaliselt volitatud andmetöötleja rolli. See on konkreetne juriidiline roll teenusepakkujale, kes töötleb isikuandmeid kellegi teise nimel. Kummalisel kombel suhtuvad paljud organisatsioonid neisse partnerlustesse käepigistuse ja lootusega, kuid seadus nõuab midagi palju tugevamat.

GDPR artikli 28 kohaselt ei ole ametlik leping vaid soovitus; see on kohustuslik turvavõrk. See leping peab selgesõnaliselt sätestama, et audiitor on seotud samade konfidentsiaalsusstandarditega kui tervishoiuteenuse osutaja. Teisisõnu saab audiitorist haigla enda digitaalsete seinte pikendus. Kui lepingut pole, on andmete edastamine sisuliselt ootel olev andmeturbe rikkumine.

Digitaalne tunnistajakaitse programm

Üks silmapaistvamaid punkte voliniku arvamuses on range piirang anonümiseerimata andmetele. Ideaalses maailmas ei peaks audiitor kunagi teadma patsiendi nime või isikukoodi. Nad otsivad mustreid, finantssummasid või protseduurilist vastavust — mitte konkreetse isiku terviseajalugu.

Sellest tulenevalt pooldab volinik praktikat, mida mulle meeldib nimetada digitaalseks tunnistajakaitse programmiks: andmete anonümiseerimist. Kui auditit on võimalik läbi viia andmetega, millest on eemaldatud kõik tuvastamist võimaldavad tähised, siis tuleb seda teha. Juurdepääs tooretele, "selge tekstiga" terviseandmetele peaks olema täielik erand, mitte reegel. See peab olema rangelt vajalik auditi konkreetse eesmärgi saavutamiseks. Kui audiitor saab kontrollida arveldustsüklit ilma patsiendi onkoloogilist raportit nägemata, siis pole tal selle raportiga asja.

Minimalismi reegel

Digitaalse detektiivina näen ma sageli "andmehunnikuid" — tohutuid teabekogusid, mis on kogutud "igaks juhuks". Sloveenia seisukoht astub sellele suundumusele vastu, rõhutades andmete minimeerimist. See põhimõte dikteerib, et töödeldavad isikuandmed peavad olema asjakohased, olulised ja piiratud sellega, mis on vajalik.

Praktikas tähendab see, et tervishoiuteenuse osutajad peavad jagatava teabe põhjalikult üle vaatama. Terve andmebaasi üleandmise asemel peaksid nad esitama filtreeritud väljavõtte. Lõimitud andmekaitse on siin maja vundamendiks; te ei ehita rõdu, millest avaneb vaade naabri vannituppa, ega ehita auditeerimisjälge, mis paljastab patsiendi eraelu.

Kes hoiab kompassi?

Lõppkokkuvõttes jääb esmane vastutus vastutavale töötlejale. Isegi kui audiitor teeb vea, on tervishoiuteenuse osutaja see, kes tõenäoliselt seisab silmitsi regulaatorite ja avalikkuse esmase pahameelega. Te ei saa oma vastutust edasi volitada. Volitatud töötleja kaasamine ei anna seadusliku töötlemise osas "vabane vanglast" kaarti.

Seetõttu peab kliiniku ja audiitori vaheline suhe olema läbipaistev ja nüansseeritud. Ei piisa suure nimega audiitorbüroo "standardse" privaatsuspoliitika usaldamisest. Te peate veenduma, et nende tehnilised ja organisatsioonilised meetmed on piisavalt täiuslikud, et käidelda tundlikke terviseandmeid, mis võivad lekke korral muutuda toksiliseks varaks.

Praktilised sammud tervishoiuteenuse osutajatele

Kui juhite tervishoiuasutust või töötate juriidilises osakonnas, on see arvamus üleskutse tegevusele. Siin on juhised, kuidas tagada, et teie auditid ei muutuks privaatsusõudusunenägudeks:

• Auditeerige audiitorit: Enne auditi algust vaadake üle andmetöötlusleping (DPA). Kas seal on konkreetselt märgitud terviseandmetele juurdepääsu ulatus?
• Kehtestage "teadmisvajaduse" põhimõte: Paluge audiitoritel põhjendada, miks nad vajavad anonümiseerimata andmeid. Kui nad ei suuda tuua konkreetset põhjust, esitage selle asemel anonümiseeritud või pseudonümiseeritud andmestikud.
• Kontrollige krüpteerimist: Veenduge, et kõik audiitorile edastatavad andmed saadetakse krüpteeritud kanalite kaudu — mõelge sellest kui pitseeritud ümbrikust, mida saab avada ainult ettenähtud saaja.
• Määrake kustutamise kuupäev: Veenduge, et lepingus on kirjas, et audiitor peab pärast auditiaruande valmimist kõik isikuandmed kustutama või tagastama.

Privaatsus on inimese põhiõigus ja meditsiinimaailmas on see patsiendi usalduse alustala. Järgides Sloveenia voliniku juhiseid, saavad organisatsioonid tagada, et samal ajal kui raamatupidamist kontrollitakse, jääb patsientide väärikus puutumata.

Allikad:

• Isikuandmete kaitse üldmäärus (GDPR), artikkel 5 (põhimõtted), artikkel 28 (volitatud töötleja).
• Slovenian Information Commissioner (Informacijski pooblaščenec), Opinion on the processing of personal data during external audits in healthcare.
• Slovenian Personal Data Protection Act (ZVOP-2).

Hoiatus: See artikkel on koostatud informatiivsel ja ajakirjanduslikul eesmärgil. See on mõeldud andma üldist ülevaadet privaatsustrendidest ega kujuta endast ametlikku juriidilist nõuannet. Konkreetsete vastavusküsimuste korral konsulteerige kvalifitseeritud õigusnõustajaga.