Conformitatea GDPR in Telemedicina
Article Conformitate GDPR in Telemedicina

 

 

Deși la momentul actual în Romania prin intermediul aplicațiilor de telemedicina se oferă doar sfaturi și opinii specializate iar medicii nu elaborează rapoarte sau rețete medicale la finalul intalnirii intrucat in Romania nu exista o lege care sa reglementeze telemedicina, situația a fost schimbată temporar pe perioada stării de urgență generată de pandemia COVID-19 și prelungită temporar până în luna septembrie.

Aceasta modificare legislativa temporara, permite medicilor de familie să-și consulte pacienții prin intermediul aplicațiilor de telemedicina iar activitatea lor sa fie decontata de CNAS.

Ce este telemedicina?

Telemedicina – reprezinta furnizarea de la distanță a serviciilor medicale – bazată pe utilizarea IT, în situații în care cadrul medical și pacientul (sau două ori mai multe cadre medicale) se află în locații diferite si care presupune transmiterea în siguranță a datelor și informațiilor medicale, sub formă de text, sunet, imagine sau în alte formate necesare pentru prevenirea, diagnosticarea, tratarea și urmărirea pacienților. 

Ce intra în categoria telemedicinei?

Telemedicina cuprinde o mare varietate de servicii - teleconsultația, telemonitorizarea, telechirurgia, centrele de apel / centrele de informare online pentru pacienți, consultațiile la distanță / e-vizitele sau videoconferințele între cadre medicale, toate fac parte din activități de telemedicina.

Ce activități nu intra în categoria telemedicinei?

Portalurile de informații din domeniul sănătății, fișele medicale electronice, transmiterea pe cale electronică a rețetelor și trimiterilor (e-rețete, e-trimiteri) nu sunt considerate servicii de telemedicină în sensul legislației europene aplicabile la acest moment.

Deși din perspectiva GDPR nu este relevantă aceasta diferenta pentru ca ambele tipuri de instrumente contin date personale, este important diferenta din perspectiva regulilor de dezvoltare tehnică ca aceasta sa respecte principiile privacy by design and by default.

Probleme pe care le ridica telemedicina din perspectiva GDPR

Ce intra in categoria datelor medicale conform GDPR?

GDPR introduce o definiție a datelor de sănătate și clarifică faptul că acesta acoperă "date privind sănătatea, și anume date referitoare la sănătatea fizică sau mentală a unei persoane fizice, inclusiv furnizarea de servicii de îngrijire a sănătății, care dezvăluie informații despre starea de sănătate a persoanei respective. 

Regulamentul consideră că datele privind sănătatea pot include informații despre persoana colectată în cursul înregistrării sau furnizării de servicii medicale, un număr, un simbol sau o anumită persoană fizică pentru a identifica în mod unic persoana respectivă în scopuri de sănătate, informații derivate din testarea sau examinarea unei părți a corpului, inclusiv din date genetice și probe biologice sau orice informații privind , de exemplu, o boală, un risc de boală (și anume date privind potențialul stării de sănătate viitoare a unei persoane), handicapul, istoricul medical sau tratamentul clinic al stării fiziologice sau biomedicale a unei persoane independente de sursa sa." 

Practic orice informație despre starea de sanatate a unei persoane este considerata a fi data medicala conform GDPR.

Cat de importante sunt datele medicale in GDPR?

Pentru a puncta cat mai clar cat de importante sunt datele privind sanatatea, GDPR la articolul 9 la alin. 1 creează regula potrivit careia este interzisă prelucrarea datelor personale de sanatate

Mai apoi la alineatul 2 ne arată care sunt excepțiile pe care ne putem baza atunci cand trebuie totuși sa facem o astfel de prelucrare, fiind prevăzute foarte concret acolo justificarile. 

De cele mai multe ori însă justificarile vizează prelucrări realizate direct de medic in cabinet, de medicul de medicina muncii, de angajator pentru realizarea contractului de muncă sau de stat pentru interes public (cum ar fi pandemia COVID-19).

Pe ce ne bazăm prelucrarea datelor în aplicațiile de telemedicina?

Atunci cand aveți un interes comercial în prelucrarea datelor medicale, cel mai probabil, va trebui sa va bazati prelucrarea pe consimtamantul explicit al pacientului.

Trebuie să-i spunem pacientului că veți colecta aceste date; ce aveți de gând să faceți cu datele; care va avea acces la ea; ceea ce se va întâmpla cu ea; cât timp va fi stocat; și ce se va întâmpla cu aceasta la sfârșitul activităților de prelucrare, inclusiv cu cine le partajați.

Toate aceste aspecte practice vor trebui să fie integrate în aplicația de telemedicina, în cazul în care permite colectarea datelor personale de sănătate ale unui pacient.

Consimtamant vs. consimțământ explicit

Dacă ne intemeiem prelucrare pe consimțământ, trebuie sa înțelegem ca fiind vorba de date personale sensibile acesta trebuie sa indeplineasca niște condiții specifice.

Definitia consimtamantul este prevăzută de art. 4 alin 11 din GDPR, iar pentru prelucrarea datelor de sanatate este nevoie de obținerea unui consimțământ explicit conform art. 4 alineatul 11 care sa indeplineasca toate criteriile prevăzute la art 7 si sa respecte recomandările Grupului de lucru 29, care ne clarifica termenul "explicit" ca fiind o declaratie expresă de consimțământ pe care trebuie sa o dea pacientul.

 

Astfel, o declarație de consimțământ explicită ar trebui să se refere în mod specific la:

  1. setul de date specific care urmează să fie prelucrat; (de exemplu - se prelucrează rezultatul analizelor pentru stabilirea diagnosticului)
  2. scopul exact al prelucrării (inclusiv orice proces decizional automatizat);
  3. ar trebui să identifice orice riscuri și/sau implicații care ar putea apărea pentru persoana vizată ca urmare a prelucrării datelor și
  4. ar trebui să furnizeze orice alte informații relevante și specifice care ar putea influența decizia unei persoane vizate de a-și da sau nu consimțământul.

Dacă declaratia expresa de consimtamant nu contine toate aceste informatii ea nu reprezinta un consimtamant valid pentru prelucrarea datelor medicale.

Ce reguli trebuie sa implementeze aplicațiile de telemedicina conform GDPR?

Pe langa principiile prevăzute de GDPR, toți dezvoltatorii de aplicații de health ar trebuie sa respecte atât recomandările Grupului de lucru 29 precum si Codul de conduită privind aplicațiile Health ( care deși nu a intrat in vigoare este un instrument de lucru destinat dezvoltatorilor fără acces la resurse juridice, și poate fi folosit cu usurinta ca reper). 

Traducerea principiilor și recomandărilor în acțiuni concrete trebuie sa vizeze cel puțin următoarele aspecte:

  1. limitarea scopului prelucrării  și reducerea la minimum a datelor prelucrate;
  2. confidențialitatea prin proiectare și în mod implicit (privacy by design & privacy by default)
  3. cerințele privind drepturile pacienților conform GDPR;
  4. păstrarea datelor;
  5. măsuri de securitate;
  6. reguli clare privind publicitatea în aplicațiile de Health;
  7. reguli pentru utilizarea datelor cu caracter personal în scopuri secundare;
  8. divulgarea datelor către terți pentru operațiuni de prelucrare;
  9. transferuri de date;
  10. încălcarea datelor cu caracter personal 
  11. datele colectate depre minori

Toate aceste aspecte practice pot fi analizate de catre clienti, înainte de achiziția unei aplicații de telemedicina prin intermediul unui audit/analiza GAP care va scoate la iveala punctele forte si punctele slabe ale aplicației din perspectiva GDPR.

Aceasta analiza este importanata, intrucat este singurul instrument pe care un client care vrea sa achiziționeze o aplicație de telemedicina va putea sa înțeleagă riscurile la care se expune prin achiziția acelei aplicații din perspectiva amenzilor impuse de GDPR.

Reglementarea relației medic-aplicatie-pacient din perspectiva GDPR.

Raportul acesta dintre medic, aplicație si pacient trebuie analizat de la caz la caz in funcție de obiectivul pe care platforma de ehealth si-l propune să îl realizeze. Din perspectiva GDPR acest tip de relație implica răspundere diferită în funcție de rolul pe care paltforma și-l asumă, și anume simplu intermediar între medic si pacient sau are un rol mai complex, în baza căruia prelucrează datele personale și în nume propriu.

Răspunderea aplicației

Compania care dezvolta aplicația este răspunzătoare in totalitate ca aceasta sa respecte si sa aiba dezvoltat functionalitate care permit medicilor respectarea tuturor prevederilor GDPR si care dau libertate pacienților sa își exercite drepturile prevăzute de GDPR.

Întrucât de cele mai multe ori aplicațiile de telemedicina preiau date și le prelucrează la solcitiarea unui medic, au calitatea de Imputerniciti conform GDPR, ceea ce înseamnă că au fost mandatați de medic sa colecteze si sa prelucreze date personale ale pacientului.

Situația devine mai complexă cand aplicatia face prelucrări în nume propriu sa când are un interes comercial sa facă anumite prelucrări împreună cu medicul/clinica iar în acea situație poate avea calitatea de Operator sau operator asociat. 

Răspunderea medicului

În scenariul în care vorbim de o aplicație care prelucrează date în numele unui medic, cu simplu scop de a facilita accesul pacientului la medic –  de exemplu, colectați date referitoare la semnele vitale ale pacientului pentru un medic iar acesta le  manipulează și le prelucrează datele pentru a ajunge la un diagnostic – acest medic este răspunzător de prelucrare  conform GDPR și are obligația sa aleagă o aplicatie conforma, altfel va putea fi amendat el pentur prelcurarea neconforma a platformei.

Tocmai de aceea este foarte periculos ca un spital / clinică sau un medic sa aleagă o aplicație neconforma cu prevederile GDPR, intrucat poate răspunde cot la cot cu dezvoltatorii aplicației.

Drepturile pacienților

După cum am menționat, dacă colectați datele unui pacient, trebuie să le spuneți că le colectați. Este primul drept pe care aceștia il au, acela de a fi informați despre prelucrare.

Aceștia  trebuie să aibă acces la aceste date; trebuie să aibă dreptul de a corecta datele; trebuie să aibă dreptul de a le șterge.

În anumite circumstanțe, trebuie să poată restricționa prelucrarea; trebuie să li se acorde dreptul de a-și lua datele și de a le transfera unei alte terțe părți (acest lucru ar putea avea implicații dacă efectuați un studiu pe aplicație) și pacienții nu trebuie să facă obiectul unei decizii bazate pe prelucrare automată.

Pacientul are dreptul să știe ce date au fost colectate și ce se va întâmpla cu acestea pe tot parcursul acțiunilor din aplicație.

HIPAA vs. GDPR

Industria de device-uri medicale din SUA este  familiarizata cu respectarea vieții private și standardelor de securitate privind pacienții, acestea fiind prevăzute in principal de HIPAA (Health Insurance Portability and Accountability Act). Cu toate acestea, GDPR, protejează datele și viața privată a cetățenilor UE indiferent dacă sunt comercianți sau pacienți și nu doar pentru date privind sănătatea.

Aplicarea GDPR vizează inclusiv aplicațiile de telemedicina din SUA care prelucrează date ale pacienților europeni.

Deci si daca lansezi aplicația de telemedicina in SUA, dacă planurile tale sunt să fie folosită în UE sau pentru pacienții europeni tratați în SUA, tot va trebuie sa respecti standardele impuse de GDPR, chiar daca aplicatia ta este conforma cu prevederile HIPAA.

Daca sunt conform HIPAA sunt automat si conform GDPR?

Răspunsul scurt este NU. Așa cum precizam si mai sus o aplicație conforma HIPAA vizeaza doar securitatea datelor de sanatate ale pacienților, in schimb prevederile GDPR se aplica tuturor datelor personale prelucrare in legatura cu cetatni europeni. Pe de alta parte însă o aplicație de telemedicina care este conforma cu prevederile GDPR va fi conforma in mare parte si cu prevederile HIPAA.


Mai jos regasiti un tabel cu principalele diferente intre GDPR si HIPAA

 

GDPR

HIPAA

Orice date care se referă la sau pot duce la identificarea unei persoane în viață.

Orice informații despre starea de sănătate, îngrijirea sau plata care este creată sau colectată de o entitate acoperită HIPAA (sau de un asociat de afaceri al unei entități acoperite), care pot fi legate de o anumită persoană.

Scop

Stabilește standarde de conformitate pentru toate entitățile care prelucreaza date de sanatate.

Stabilește standarde doar pentru entitățile vizate  și asociații lor de afaceri

Consimtamant

Consimțământul explicit este obligatoriu pentru prelucrarea datelor personale de sanatatei. Cu toate acestea, datele pot fi prelucrate fără consimțământ dacă îndeplinesc una dintre condițiile de prelucrare prevăzute la articolul 9 din GDPR.

Permite divulgarea unor date personale în "scopuri de tratament", fără consimțământul persoanei.

Dreptul de ștergere

GDPR ofera pacientilro dreptul de a solicita stergerea datelor detinute despre ei.

HIPAA nu prevede acest drept pentru pacienti.

Bresele de date

Autoritatea de supraveghere trebuie notificată în termen de 72 de ore. Persoanele afectate trebuie, de asemenea, notificate.

Organizațiile trebuie să protejeze datele personale și să limiteze dezvăluirea în temeiul regulii de confidențialitate prevazute de HIPAA. Entitățile trebuie, de asemenea, să notifice persoanelor afectate cu privire la bresele de date. În cazul în care mai mult de 500 de persoane sunt afectate, atât persoanele afectate, cât și Departamentul de Sănătate trebuie să fie informate în termen de 60 de zile.

Concluzii

Pentru serviciile de telemedicina conformarea cu prevederile GDPR rămâne o provocare datorită nivelului de complexitate privind datele personale implicate si tocmai de aceea companiile trebuie sa caute sfaturile unui specialist in protectia datelor, cat mai repede. Cu cat procesul de dezvoltare al aplicație este mai înaintat cu atât va crește complexitatea procesului de conformitate GDPR. De aceea recomandăm abordarea acestui subiect cât mai la începutul proiectului.

De asemenea  nu trebuie pierdut din vedere ca GDPR a instituit obligația ca fiecare companie ce prelucrează date de sanatate să desemneze un DPO (responsabil cu protectia datelor) care sa asiste și să ghideze compania în procesul de conformitate. 

 

Dacă vrei sa dezvolți o aplicație de telemedicina sau detii deja o aplicatie de telemedicina si vrei sa o aliniezi cu prevederile GDPR ne puteți contacta aici.

Dacă sunteți un client care vrea sa achiziționeze o aplicație de telemedicina pentru a o utiliza și doriți sa o auditati din perspectiva riscurilor GDPR ne puteți scrie aici.

 

Bibliografie:

Text oficial Regulamentul 679/2017 https://eur-lex.europa.eu/legal-content/EN-RO/TXT/?uri=CELEX:32016R0679&from=EN

HIPAA Journal, January 4, 2018, www.hipaajournal.com/largest-healthcare-data-breaches-2017/ 

European Journal of Law and Technology -Vol. 10 nr. 1/2019 -   Health apps, their privacy policies and the GDPR

Ghid grupul de Lucru 29 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

Guidline EFP https://www.eu-patient.eu/whatwedo/Policy/Data-Protection/

Proiect Codul de conduita al dezvoltatorilor de aplicatii de telemedicina https://ec.europa.eu/digital-single-market/en/news/code-conduct-privacy-mhealth-apps-has-been-finalised 

Studiile clinice si GDPR https://www.hrb.ie/funding/gdpr-guidance-for-researchers/

Privacy and Data Protection Issues of Biometric Applications: A Comparative Legal Analysis by  Els J. Kindt

 

Share:
Cristiana Deca
Autor: Cristiana Deca Expert in protectia datelor, Privacy UX, Business Consultant
Cristiana are o experienta de 10 ani in antreprenoriat, timp in care a dezvoltat mai multe business-uri in diverse domenii. Pasionata de protectia datelor si project management, de 7 ani coordoneaza proiectele de implementare a strategiilor GDPR in companii.

PUNE O INTREBARE