Nasazení cloudového řešení v kontextu zdravotnictví proto podléhá regulaci na vícero frontách, mezi něž patří např. ochrana osobních údajů, sektorová regulace týkající se zdravotnické dokumentace či elektronických předpisů. Tento článek se zabývá vybranými právními aspekty používání cloudu ve zdravotnictví a jejich řešením.[3]
Ochrana osobních údajů
Obecné předpisy upravující ochranu osobních údajů se sice na poskytovatele zdravotních služeb vztahují ve stejném rozsahu jako na kterékoli jiné služby, povaha zdravotních služeb a zejména povaha údajů zpracovávaných v kontextu zdravotní péče však vyžaduje přístup s určitými specifiky.
V prvé řadě dochází při poskytování zdravotních služeb k zpracovávání osobních údajů týkajících se zdravotního stavu, popř. také údajů genetických, které se řadí mezi tzv. citlivé údaje. České právo neklade žádná zvláštní omezení na zpracovávání citlivých údajů v cloudu. Zákon rovněž nebrání předávání takových údajů do zahraničí (k čemuž v kontextu cloudových služeb pravidelně dochází, zejména potom u těch poskytovaných nadnárodními společnostmi jako jsou Microsoft či Amazon), pokud je takové předání v souladu s obecnou úpravou ochrany osobních údajů a zejména s pravidly pro předání osobních údajů do zahraničí, která jsou obecně aplikovatelná také na citlivé údaje. Tudíž ukládání zdravotnických informací v cloudu, tj. předání takových údajů poskytovatelům cloudových služeb, kteří (a) mají sídlo ve členském státě EU/EHS nebo jiném státě, do kterého předání osobních údajů není omezeno; (b) mají sídlo v USA a dodržují zásady stanovené ve Štítu soukromí mezi EU a USA[4] nebo mají sídlo v zemi, která dle rozhodnutí Evropské komise zajišťuje odpovídající úroveň ochrany (např. Kanada, Argentina, Izrael), nebo (c) mají sídlo mimo EU/EHS a uzavřeli se správcem osobních údajů (tj. zákazníkem ze zdravotnického sektoru) smlouvu o zpracování údajů, která obsahuje tzv. standardní smluvní doložky EU pro předávání údajů do třetích zemí, je obecně přípustné a v souladu s pravidly na ochranu osobních údajů.
Pokud smluvní podmínky cloudové služby budou zajišťovat úpravu předání osobních údajů do třetích zemí na základě standardních smluvních doložek, bude taková služba dostatečně splňovat právní požadavky na předání osobních údajů do třetích zemí, včetně předání zdravotnických informací. Stejně tak ale bude postačovat soulad se Štítem soukromí mezi EU a USA při předání údajů do USA.
Poskytovatelé zdravotních služeb v řadě případů zpracovávají osobní údaje na základě zákona, aniž by k takovémuto zpracování potřebovali souhlas pacientů (subjektů údajů). Tato skutečnost sama o sobě nijak nebrání využívání cloudových služeb za předpokladu, že poskytovatel zdravotních služeb řádně splní svou informační povinnost vůči pacientům a obeznámí je se skutečností, že dochází k takovému zpracovávání jejich osobních údajů, jakožto i s jejich právy na informace a na přístup k údajům, jejich kontrolu, opravu atd.
Nejpozději od května roku 2018, kdy vstoupí v účinnost Všeobecné nařízení o ochraně údajů[5] (General Data Protection Regulation, GDPR), bude nezbytné zohlednit při zpracování osobních údajů soulad s tímto nařízením. GDPR si může vyžádat určité změny současného nastavení mnohých cloudových služeb a smluvních podmínek, za kterých jsou poskytovány. Většina poskytovatelů cloudových služeb již nyní své služby přizpůsobuje přísným požadavkům GDPR, např. v souvislosti s nově zavedenou povinností hlásit případy porušení zabezpečení osobních údajů (tzv. data breaches), pseudonymizací a zašifrováním osobních údajů či zavedením pozice tzv. pověřence pro ochranu osobních údajů (Data Protection Officer, DPO).
Sektorová regulace zdravotnických služeb
Zákon o zdravotních službách[6] stanoví specifické požadavky na zpracování zdravotnické dokumentace. Tento zákon se vztahuje na poskytovatele zdravotních služeb, kterými jsou zdravotnická zařízení, zdravotničtí pracovníci a další v zákoně uvedení poskytovatelé zdravotních služeb.
Zdravotnická dokumentace je definována poměrně široce a zahrnuje: (a) identifikační údaje pacienta a poskytovatele; (b) pohlaví pacienta; (c) informace o zdravotním stavu pacienta, o průběhu a výsledku poskytovaných zdravotních služeb a o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a informacemi o postupu při poskytování zdravotních služeb; (d) údaje zjištěné z rodinné, osobní a pracovní anamnézy pacienta a je-li to důvodné, též údaje ze sociální anamnézy; (e) údaje vztahující se k úmrtí pacienta; (f) další údaje podle tohoto zákona nebo jiných právních předpisů upravujících zdravotní služby nebo poskytování zdravotní péče. Zdravotnická dokumentace tedy poskytuje nejen informace o pacientovi, ale také o poskytovateli zdravotních služeb, případně i údaje o dalších osobách (rodinných příslušnících).
Zdravotnickou dokumentaci musí poskytovatelé zdravotních služeb uchovávat v souladu s veškerými platnými právními předpisy. Zdravotnická dokumentace, včetně jejích samostatných součástí, musí být vedena průkazně, pravdivě, čitelně a musí být průběžně doplňována. Zákon o zdravotních službách a prováděcí předpisy ukládají v souvislosti se zpracováním zdravotnické dokumentace zejména následující povinnosti: (i) údaje o pacientech v provedených záznamech nelze dodatečně modifikovat; (ii) informační systém, ve kterém je vedena zdravotnická dokumentace v elektronické podobě, eviduje seznam identifikátorů záznamů; (iii) je umožněn dálkový přístup; (iv) bezpečnostní kopie datových souborů jsou prováděny nejméně jednou za pracovní den; (v) kopie pro dlouhodobé uchování jsou vytvářeny nejméně jednou za kalendářní rok a je zajištěna jejich čitelnost nejméně po dobu, která je stanovena pro uchování zdravotnické dokumentace; (vi) konverze listinných dokumentů do elektronické podoby a naopak musí splňovat určité náležitosti a (vii) poskytovatel zdravotních služeb musí umožnit přístup určitým oprávněným jednotlivcům (např. pacientovi). Záznamy o přístupu musejí být uchovávány, tj. každý přístup do zdravotnické dokumentace musí být opatřen identifikátorem záznamu za účelem umožnění zjištění totožnosti toho, kdo a kdy provedl přístup. Podrobnější pravidla pro vedení zdravotnické dokumentace jsou specifikované ve vyhlášce Ministerstva zdravotnictví o zdravotnické dokumentaci.[7]
Zákonné požadavky lze split i tehdy, kdy se pro vedení zdravotnické dokumentace využívají cloudové služby. Některé požadavky přitom musejí být zajištěny poskytovatelem zdravotních služeb nebo dodavatelem aplikační úrovně cloudového řešení (tj. přístupová práva, aktualizace záznamů atd.), jelikož tyto není tradičně možné splnit na úrovni cloudového úložiště údajů.
Elektronické recepty
Právní úprava elektronických receptů ukládá poskytovatelům zdravotních služeb následující klíčové povinnosti v souvislosti se zpracováním osobních údajů: (i) komunikace mezi lékaři a centrálním úložištěm elektronických receptů (CÚER) a mezi CÚER a lékárnami musí být prováděna v jazyce XML; (ii) jednoznačný elektronický identifikační znak musí být sdílen mezi lékařem, lékárnou a CÚER a (iii) přenášená data nebo komunikační kanál mezi lékařem, lékárnou a CÚER musí být šifrovány. Tyto požadavky se nevztahují přímo na cloudové služby samotné, ale spíše na komunikaci mezi poskytovatelem zdravotních služeb a CÚER. Používání hlavních cloudových služeb nebrání poskytovatelům zdravotních služeb tyto požadavky splnit.
Závěr
Lze tedy obecně shrnout, že stávající právní úprava neobsahuje žádné zásadní, nepřekonatelné překážky, které by bránily poskytovatelům zdravotních služeb zavést a využívat cloudová řešení a těžit tak z nezměrného potenciálu a výhod, které cloud nabízí. Obrovský dopad této transformační technologie do elektronických systémů ve zdravotnictví se teprve začíná projevovat. Cloud pravděpodobně změní způsob, jakým lékaři poskytují péči pacientům a jakým o sebe lidé sami pečují. Transformace záznamů z papírových na elektronické pomůže poskytovatelům zdravotních služeb snížit náklady a umožnit profesionálním lékařům věnovat více času pacientům a jejich rodinám.
[1] V roce 2014 využívalo placené cloudové služby 15 % podniků napříč všemi odvětvími, zatímco v roce 2016 to bylo již 18 %. Zdroj: Český statistický úřad.
[2] V roce 2008 pouze 8 % lékařů (samostatných ordinací) používalo internet k vedení zdravotnické dokumentace, zatímco v roce 2013 jich bylo již téměř 12 %. Zdroj: Český statistický úřad.
[3] Na využívání cloudu ve zdravotnictví mohou dopadat další pravidla vyplývající např. ze zákona o kybernetické bezpečnosti, připravované směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů (tzv. NIS Directive), nařízení o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce (eIDAS) a další, které v tomto článku neanalyzujeme.
[4] Neboli prováděcí rozhodnutí Komise ze dne 12. července 2016 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí.
[5] Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[6] Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, ve znění pozdějších předpisů
[7] Vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci, ve znění pozdějších předpisů.
Diskuze k článku ()