20 Σεπτεμβρίου, 2016

Νοσοκομεία εξακολουθούν να δημοσιοποιούν ευαίσθητα δεδομένα υγείας ασθενών

Καθημερινά αναρτώνται στη «Διαύγεια» δεκάδες αποφάσεις από υπηρεσίες Νοσοκομείων, στις οποίες αναφέρονται τα πλήρη στοιχεία των ασθενών (ονοματεπώνυμο, ΑΜΚΑ, ηλικία, ασφαλιστικός φορέας, πάθηση). Χαρακτηριστική είναι η πρόσφατη απόφαση του Διοικητή του ΠΓΝΘ ΑΧΕΠΑ περί έγκρισης εμφύτευσης απινιδωτή σε ασθενή, στην οποία αναφέρεται το όνομα, η ηλικία και η πάθηση του ασθενούς. Είναι αυτονόητο, ότι η ανάρτηση των πράξεων όλων των οργάνων της Διοίκησης στη Διαύγεια είναι αναγκαία, γιατί μόνο έτσι εξασφαλίζεται η διαφάνεια και η λογοδοσία από την πλευρά των φορέων άσκησης δημόσιας εξουσίας. Ωστόσο, η ακολουθούμενη πρακτική παραβιάζει πληθώρα διατάξεων. Σύμφωνα με το άρθρο 5 εδ. 1 (Προστασία δεδομένων προσωπικού χαρακτήρα και απόρρητα) του ν. 3861/2010, όπως τροποποιήθηκε από το ν. 4057/2012, «Δεν αναρτώνται πράξεις, στις οποίες περιλαμβάνονται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στην κείμενη νομοθεσία». Επίσης, ο ν. 2749/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» περιέχει μια σειρά διατάξεων, οι οποίες προβλέπουν κυρώσεις διοικητικές (άρθρο 21), ποινικές (άρθρο 22) και ζητήματα αστικής ευθύνης (άρθρο 23). Επιπλέον, στις 27/04/2016 εκδόθηκε ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για «την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ» που περιέχει καινοτομίες, όπως η εισαγωγή νέων δικαιωμάτων, το δικαίωμα στη λήθη και στη φορητότητα, το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών και η ρητή δυνατότητα ανάκλησης συγκατάθεσης του υποκειμένου.

Η ακολουθούμενη, παράνομη πρακτική των νοσοκομείων αναδεικνύει την έλλειψη κοινού τρόπου διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία αφενός και τον κίνδυνο δικαστικής προσφυγής ασθενών που θίγονται και επιδίκασης αποζημίωσης εις βάρος του Δημοσίου αφετέρου. Ο βουλευτής Λάρισας του Ποταμιού, κ. Κώστας Μπαργιώτας, ρωτά τον Υπουργό: Σε ποιες ενέργειες σκοπεύει να προβεί, ώστε να υπάρχει απαρέγκλιτη τήρηση του νομικού πλαισίου αφενός και ενιαίος τρόπος διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία αφετέρου; Τι έχει πράξει η Αρχή Προστασίας Προσωπικών Δεδομένων στο πλαίσιο τόσο της ρυθμιστικής όσο και της ελεγκτικής της αρμοδιότητας; Έχουν εκδοθεί δικαστικές αποφάσεις εις βάρος του ελληνικού Δημοσίου για παραβίαση των δεδομένων υγείας ασθενών; Εάν ναι, ποιο είναι το συνολικό ποσό που έχει εκταμιευτεί από το Υπουργείο Υγείας σε εκτέλεση αυτών;

Ακολουθεί το πλήρες κείμενο της ερώτησης:

ΠΡΟΣ ΤΟΝ ΥΠΟΥΡΓΟ ΥΓΕΙΑΣ

ΘΕΜΑ: «Νοσοκομεία εξακολουθούν να δημοσιοποιούν ευαίσθητα δεδομένα υγείας ασθενών»

Κύριε Υπουργέ,

στις 28/01/2016 κατέθεσα ερώτηση (αρ. πρωτ. 2732) με θέμα «Νοσοκομεία δημοσιοποιούν ευαίσθητα δεδομένα υγείας ασθενών». Έως σήμερα, οκτώ μήνες μετά, δεν έλαβα απάντηση, ενώ στη «Διαύγεια» εξακολουθούν να δημοσιεύονται αποφάσεις από υπηρεσίες Νοσοκομείων στις οποίες αναφέρονται παρανόμως τα πλήρη στοιχεία των ασθενών. Χαρακτηριστικά αναφέρω πρόσφατη απόφαση του Διοικητή του ΠΓΝΘ ΑΧΕΠΑ περί έγκρισης εμφύτευσης απινιδωτή σε ασθενή, στην οποία αναφέρεται το όνομα, η ηλικία και η πάθηση του ασθενούς.

Για τους λόγους αυτούς, επανακαταθέτω την ερώτηση επικαιροποιημένη και αναμένω απάντηση: «Καθημερινά αναρτώνται στη «Διαύγεια» δεκάδες αποφάσεις από υπηρεσίες Νοσοκομείων στις οποίες αναφέρονται τα πλήρη στοιχεία των ασθενών (ονοματεπώνυμο, ΑΜΚΑ, ηλικία, ασφαλιστικός φορέας, πάθηση). Την παράνομη αυτή πρακτική ακολουθούν πολλά νοσοκομεία της χώρας. Χαρακτηριστική είναι η απόφαση του Διοικητή του Ιπποκράτειου Νοσοκομείου της Θεσσαλονίκης (26/02/2014) περί έγκρισης τοποθέτησης βηματοδότη σε ασθενή, στην οποία αναφέρεται το όνομα, η ηλικία και το ασφαλιστικό ταμείο του ασθενούς. Αντίστοιχη είναι η απόφαση του Γενικού Νοσοκομείου Ηλείας (20/01/2014) για την προμήθεια ολικής αρθροπλαστικής γόνατος υβρίδιο για ασθενή. Παρόμοια είναι η απόφαση του ΔΣ του Γενικού Νοσοκομείου Κέρκυρας (18/11/2014) για προμήθεια υλικών για ολική αρθροπλαστική ισχίου για ασθενή της οποίας το ονοματεπώνυμο αναγράφεται στην απόφαση. Ακόμα, υπάρχει απόφαση του ΔΣ του Ιπποκράτειου Γενικού Νοσοκομείου της Αθήνας (11/03/2014) για έγκριση της προμήθειας απινιδωτή για ασθενή του καρδιολογικού τμήματος, στην οποία παρόλο που αναφέρονται τα αρχικά του ονόματος του ασθενούς, ωστόσο αναφέρεται ο αριθμός μητρώου του.

Είναι αυτονόητο ότι η ανάρτηση των πράξεων όλων των οργάνων της Διοίκησης στη Διαύγεια είναι αναγκαία, γιατί μόνο έτσι εξασφαλίζεται η διαφάνεια και η λογοδοσία από την πλευρά των φορέων άσκησης δημόσιας εξουσίας. Ωστόσο, σύμφωνα με το άρθρο 5 εδ. 1 (Προστασία δεδομένων προσωπικού χαρακτήρα και απόρρητα) του ν. 3861/2010 «Ενίσχυση της  διαφάνειας με την υποχρεωτική ανάρτηση νόμων  και πράξεων των κυβερνητικών, διοικητικών και  αυτοδιοικητικών οργάνων στο διαδίκτυο «Πρόγραμμα Διαύγεια» και άλλες διατάξεις», όπως τροποποιήθηκε από το ν. 4057/2012, «Η ανάρτηση των πράξεων που αναφέρονται στο άρθρο 2 στο Διαδίκτυο και η οργάνωση της αναζήτησης πληροφοριών πραγματοποιείται με την επιφύλαξη των κανόνων για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Δεν αναρτώνται πράξεις, στις οποίες περιλαμβάνονται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στην κείμενη νομοθεσία».

Με το άρθρο 23 παρ. 1 του ν. 3471/2006 τροποποιήθηκε εν μέρει η διατύπωση του στοιχείου δ΄ της παρ. 1 του άρθρου 7Α του ν. 2472/1997 αντικαθιστώντας τον προηγούμενο όρο «ιατρικά δεδομένα» με τον όρο «δεδομένα υγείας». Ο όρος «δεδομένα υγείας είναι ευρύτερος και περιλαμβάνει -πέρα από το ιατρικό ιστορικό του ασθενούς- και τις έννοιες των γενετικών και ιατρικών δεδομένων, όπως και κάθε άλλη πληροφορία που αφορά θέματα υγείας, όπως ιατρικές διαγνώσεις, ασθένειες, επεμβάσεις, τη χρήση, τη λήψη φαρμάκων, τα δεδομένα της ηλεκτρονικής συνταγογράφησης, αποτελέσματα εργαστηριακών εξετάσεων αλλά και στοιχεία που σχετίζονται με τον τρόπο ζωής, όπως η χρήση ναρκωτικών ουσιών, η σεξουαλική ζωή, το οικογενειακό ιατρικό ιστορικό. Με την τροποποίηση αυτή ο νομοθέτης αποσυνδέει την προστατευόμενη πληροφορία υγείας από την προέλευση του δεδομένου. Δηλαδή, δεν απαιτείται η πληροφορία να προέρχεται από ιατρική πηγή, για να εμπίπτει στον όρο που πλέον υιοθετείται.

Η ακολουθούμενη πρακτική των νοσοκομείων παραβιάζει πληθώρα διατάξεων, πέραν αυτών που έχουν ήδη αναφερθεί. Ειδικότερα, το άρθρο 9Α του Συντάγματος που κατοχυρώνει ρητά το δικαίωμα της πληροφοριακής αυτοδιάθεσης, σύμφωνα με το οποίο «Καθένας έχει δικαίωμα προστασίας από την συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». Εκτός από τη συνταγματική προστασία, ο ν. 2749/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» περιέχει μια σειρά διατάξεων, οι οποίες προβλέπουν κυρώσεις διοικητικές (άρθρο 21), ποινικές (άρθρο 22) και ζητήματα αστικής ευθύνης (άρθρο 23).

Με το ν. 2472/1997 εντάχθηκε στο εθνικό δίκαιο η Οδηγία 95/46/EK που αποτελεί την κύρια νομοθετική πράξη της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Βεβαίως, ο ταχύς ρυθμός των τεχνολογικών αλλαγών κατέστησε την Οδηγία μάλλον ξεπερασμένη. Η ανάγκη επικαιροποίησης έγινε αντιληπτή στις 25/01/2012, οπότε η Ευρωπαϊκή Επιτροπή παρουσίασε Πρόταση Κανονισμού, η οποία περιέχει καινοτομίες, όπως η εισαγωγή νέων δικαιωμάτων, το δικαίωμα στη λήθη και στη φορητότητα, το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών και η ρητή δυνατότητα ανάκλησης συγκατάθεσης του υποκειμένου. Πράγματι, στις 27/04/2016 εκδόθηκε ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για «την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ».

Επειδή η έλλειψη κοινού τρόπου διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία συνιστά ακόμα ένα –μεταξύ πολλών- πρόβλημα του ΕΣΥ,

Επειδή μία από τις προϋποθέσεις που έχει θέσει η Αρχή Προστασίας Προσωπικών Δεδομένων για τους φορείς υγείας που αναπτύσσουν Οργανωμένα Πληροφοριακά Συστήματα Υγείας (ΟΠΣΥ) είναι η υιοθέτηση ενός Κώδικα Δεοντολογίας για το προσωπικό που επεξεργάζεται και αναρτά δημοσίως τα δεδομένα υγείας,

Επειδή ελλοχεύει ο κίνδυνος οι ασθενείς, των οποίων τα δεδομένα δημοσιοποιούνται, να προσφύγουν δικαστικά και να δικαιωθούν, επιβαρύνοντας οικονομικά τα νοσοκομεία,

ερωτάται ο κ. Υπουργός:

1) Σε ποιες ενέργειες σκοπεύετε να προβείτε, ώστε να υπάρχει απαρέγκλιτη τήρηση του νομικού πλαισίου (εθνικού και ενωσιακού) αφενός και ενιαίος τρόπος διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία αφετέρου;

2) Τι έχει πράξει η Αρχή Προστασίας Προσωπικών Δεδομένων στο πλαίσιο τόσο της ρυθμιστικής όσο και της ελεγκτικής της αρμοδιότητας;

3) Έχουν εκδοθεί δικαστικές αποφάσεις εις βάρος του ελληνικού Δημοσίου για παραβίαση των δεδομένων υγείας ασθενών; Εάν ναι, ποιο είναι το συνολικό ποσό που έχει εκταμιευτεί από το Υπουργείο Υγείας σε εκτέλεση αυτών;»

Ο ερωτών βουλευτής
Κωνσταντίνος Μπαργιώτας - Λάρισας