A kormány fontosnak tartja, hogy az egészségügyben fellelhető betegadatokat „egy csatornába” terelje, mondta Kásler Miklós miniszter azt indokolva, hogy újabb adatbázisokat kívánnak bevonni az Elektronikus Egészségügyi Szolgáltatási Térbe. A Baker McKenzie szakemberei ezúttal azt tekintik át, hogy mi is van ma az ágazat nagy digitális iratszekrényében, s hogyan szolgálhatja mindez a kutatást.
Fotó: 123rf.com
Több mint másfél éve, 2017. november 1-jén indult el az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) éles-üzemi működése. Az EESZT lényegében egy olyan állami fejlesztésű és üzemeltetésű adatbázis, amely központosítottan tartalmazza az ellátottak egészségügyi személyes adatait. Azokhoz a beteget ellátó kezelőorvos, a háziorvos, az egészségügyi intézmény arra jogosultsággal rendelkező munkatársai, valamint bizonyos adatkörökhöz a gyógyszertárak férhetnek hozzá. Az EESZT-t az Állami Egészségügyi Ellátó Központ (ÁEEK) működteti, az üzemeltetéssel kapcsolatban adatfeldolgozóként pedig a Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) jár el.
Az elérhető személyes adatok köre
Az EESZT a betegre vonatkozóan kiterjedt körben tartalmaz különleges adatokat, amelyeket mind az az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüaktv.), mind a GDPR előírásai alapján fokozottan kell védenie mind az ÁEEK-nek, mind a csatlakozó adatkezelőknek (azaz különösen háziorvosoknak, gyógyszertáraknak, állami és magán egészségügyi intézményeknek). Az EESZT-ben rendelkezésre áll az ellátott eProfiljával, egészségügyi dokumentációjával, elektronikus betegségregiszterével, eBeutalóival és eReceptjeivel kapcsolatos adatai, az érintett betegellátással kapcsolatos eseménykatalógusa, valamint az önrendelkezési nyilvántartása. Az eProfil és az egészségügyi dokumentáció lényegében az ellátottnak az Elektronikus Egészségügyi Szolgáltatási Térrel kapcsolatos részletes szabályokról szóló 39/2016. (XII. 21.) EMMI rendelet (a továbbiakban: EMMI rendelet) 3. mellékletében meghatározott adatait, valamint Eüaktv. alapján a fekvőbeteg-szakellátásban kiállított zárójelentéseket, a járóbeteg-szakellátásban kiállított ambuláns lapokat, a szövettani és patológiai leleteket, a laborleleteket, a képalkotó diagnosztikai ellátások leleteit, valamint a műtéti leírásokat tartalmazza.
Így például a rendszerben az egészségügyi dokumentáció részeként elérhetők az érintettre vonatkozó leletek, amelyeket pdf formátumban le is tölthetnek a jogosultak. Az adatok azonban a pdf file-okban strukturálatlan formában szerepelnek, így azok elsősorban az emberek számára tartalmaznak értelmezhető információkat, géppel, automatizált módon csak nehezen kereshetők. Ez abból a szempontból hátrányt jelent a rendszer felhasználói számára, hogy bizonyos adatok, például meghatározott vizsgálaton való részvétel dátuma nem kereshető.
Magán egészségügyi szolgáltatók csatlakozása
Az Eüaktv. részletesen meghatározza, hogy mely szervezeteknek volt kötelező, illetve volt lehetősége csatlakozni az EESZT-hez. A gyógyszertárakon, házi orvosokon és egészségügyi ellátó intézményeken kívül csatlakozott az állami mentőszolgálat, az Országos Gyógyszerészeti és Élelmiszer-egészségügyi Intézet, a Nemzeti Egészségbiztosítási Alapkezelő és az Országos Közegészségügyi Intézet is.
Az EESZT-hez nem állami tulajdonú szervezetnek – a gyógyszertárakat ide nem értve – 2017. szeptember 1. óta van lehetőség csatlakozni. Azon magánszolgáltatóknak, akik a Központi Implantátumregiszterbe vagy a Protézis regiszterbe jogszabály alapján adatszolgáltatásra kötelezettek 2018. november 1-jéig kötelezően kellett csatlakozniuk az EESZT-hez.
A csatlakozás kötelezettségekkel is jár. Így adatott kell szolgáltatni a nyújtott szolgáltatásokkal kapcsolatban a központi eseménykatalógusba, valamint az egészségügyi dokumentáció nyilvántartásába. A csatlakozott szolgáltatónál dolgozó orvos a vényt szintén az EESZT útján rendelheti kiadni.
Fotó: 123rf.com
A csatlakozás jogi feltétele, hogy az adatkezelő csatlakozási megállapodást kössön az ÁEEK-kel. Ennek technikai feltételei közé tartozik az ÁEEK részéről lefolytatott vizsgálat, amely az adatbiztonsági technikai követelményeknek az ellenőrzését is magában foglalja.
Az EESZT felhasználóiról és csatlakozó adatkezelőiről az ÁEEK azonosítási és jogosultságkezelési nyilvántartást vezet. Az ÁEEK a személyes adatot tartalmazó törzsadathoz való hozzáférést az EESZT kizárólag azon felhasználói részére biztosítja, akik ehhez a megfelelő jogosultsággal rendelkeznek. Más, személyes adatot nem tartalmazó nyilvántartás vagy kódtörzs közzétételét, vagy az ezekhez az EESZT szolgáltatásán keresztül való hozzáférést bármely csatlakozott adatkezelő kezdeményezheti, vagy maga a működtető is biztosíthatja.
Rendelkezési jog és hozzáférési szabályok
Az EESZT széles körű, komplex jogosultságkezelést tesz lehetővé az ellátottak számára. A betegek önrendelkezési jogára figyelemmel minden érintett maga állíthatja be, hogy mely egészségügyi személyes adatához ki és milyen formában férhet hozzá. Erről az ÁEEK önrendelkezési nyilvántartást vezet, amely szintén az egészségügyi dokumentáció része.
Adatvédelmi szempontból az EESZT-vel szemben megfogalmazható kifogás, hogy a GDPR beépített- és alapértelmezett adatvédelemmel kapcsolatos előírásaival ellentétesen a rendszeren belül a kezelőorvosok, háziorvosok, intézmények munkatársai alapértelmezés szerint láthatják az érintett beteg összes adatát. Így a kezelőorvos a különösen érzékeny egészségügyi adatokon kívül mindent egyéb adathoz hozzáfér, amikor a kezelést végzi. Kizárólag az adott szakterület orvosai láthatják viszont a pszichiátriai, az addiktológiai, a szexuális úton terjedő, valamint a HIV/AIDS fertőzéssel kapcsolatos adatokat.
Az EESZT-ben lehetőség van egyszerűsített és összetett rendelkezések megtételére, akár a teljes tiltást is beleértve. Teljes tiltás esetében sincs azonban lehetőség rendelkezést hozni a még ki nem váltott eRecept és a még érvényesíthető eBeutaló dokumentumaival kapcsolatban, így ezek továbbra is hozzáférhetők maradnak. Továbbá az az egészségügyről szóló 1997. évi CLIV. törvényben (Eütv.) meghatározott sürgős szükség esetén az ellátó orvos – naplózottan – továbbra is hozzáférhet a beteg egészségügyi személyes adataihoz. Összetett rendelkezések esetén lehetőség van akár egyetlen orvosra, illetve egészségügyi intézményre korlátozni a hozzáférést, akár dokumentum-típus megadásával is, azaz teljesen egyedi rendelkezéseket lehet a szabályok beállításával létrehozni. Természetesen a nem megfelelően elvégzett, a felhasználók nem megfelelő oktatásából fakadó téves beállításoknak vannak hátrányai is, és akár közvetlen egészségügyi kockázatai is. Lehetőség van továbbá a házi orvos részére 24 órás egyedi engedélyt is adni a digitális önrendelkezés felületén vagy az orvosnál írásban.
A rendszerben az orvosokat pecsétszám alapján kell megjelölni a tiltáshoz, illetve engedélyezéshez. A jogosultságok beállítását elektronikusan, ügyfélkapun keresztül vagy írásban személyesen, illetve meghatalmazott vagy törvényes képviselő útján is végre lehet hajtani. Az önrendelkezési nyilvántartásban rögzített hozzáférési szabálymódosítások huszonnégy órán belül érvénybe lépnek.
Az ÁEEK-től az érintett a közvetlen hozzáférési felület útján tájékoztatást kaphat arról, hogy mely felhasználó fért hozzá, vagy kísérelt meg hozzáférni az adataihoz, és mely csatlakozott adatkezelő melyik szervezeti egysége nevében járt el. Az ÁEEK jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet a személyes adatok EESZT útján történő kezeléséről.
Van-e lehetőség a kutatási célú felhasználásra?
Mind az Eüaktv., mind pedig a GDPR lehetővé teszi, hogy tudományos célból – a megfelelő garanciákkal, így különösen adattakarékosság elvének betartásával, álnevesítéssel – egészségügyi személyes adatokat kezeljenek. Ezek az előírások azonban nem értelmezhetőek az EESZT-re, mivel azok a papír alapú kutatásra állapítanak meg szabályokat, míg elektronikus formában ‒ így az EESZT-ben ‒ tárolt iratokra és adatokra nézve nem tartalmaznak rendelkezéseket. Ennek megfelelően az Eüaktv. 21. §-a nem terjed ki az EESZT-re, az ugyanis az intézmény kezelésében lévő személyes adatokra vonatkozik. Rögzíti az Eüaktv., hogy tudományos kutatás során a tárolt adatokról nem készíthető személyazonosító adatokat is tartalmazó másolat. Az EMMI rendelet ezen felül rögzíti, hogy a betegségregiszterek személyazonosításra alkalmatlan módon tárolt adataihoz, bármely csatlakozott adatkezelő hozzáférhet. Kérdéses, hogy ezen adatok mennyiben alkalmasak tudományos célú kutatás elvégzésére.
Mérlegelve az imént említetteket, az adatkezelés célhoz kötöttségének, valamint az adattakarékosság és adatminimum elvét, valamint az EESZT-ben megvalósított részletes jogosultsági szabályrendszert, jelenleg nincs arra jogszabályi lehetőség, hogy egy csatlakozó adatkezelő az EESZT-ben tárolt személyes adatokat kutatási, tudományos célból felhasználja. Az EESZT kutathatóságára vonatkozó felhatalmazás megteremtése tehát törvénymódosítást igényelne. Jelenleg azonban ez a kérdés vitatott és nem létezik nyilvános szabályozási koncepció arra nézve, hogy a jogalkotó a kutatásokat milyen garanciális, a páciensek érdekeit és jogait biztosító feltételek mellett tegye lehetővé.
© Baker McKenzie –
Dr. Bereczki Tamás, CISM, CRISC, CIPP/E, ügyvéd és
Dr. Liber Ádám, LL.M. (SULS), FIP, CIPP/E, CIPM, ügyvéd
