28 Ιανουαρίου, 2016

«Νοσοκομεία δημοσιοποιούν ευαίσθητα δεδομένα υγείας ασθενών»

Είναι αυτονόητο ότι η ανάρτηση των πράξεων όλων των οργάνων της Διοίκησης στη Διαύγεια είναι αναγκαία, γιατί μόνο έτσι εξασφαλίζεται η διαφάνεια και η λογοδοσία από την πλευρά των φορέων άσκησης δημόσιας εξουσίας.

Ωστόσο, σύμφωνα με το άρθρο 5 εδ. 1 (Προστασία δεδομένων προσωπικού χαρακτήρα και απόρρητα) του ν. 3861/2010 «Η ανάρτηση των πράξεων που αναφέρονται στο άρθρο 2 στο Διαδίκτυο και η οργάνωση της αναζήτησης πληροφοριών πραγματοποιείται με την επιφύλαξη των κανόνων για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Δεν αναρτώνται πράξεις, στις οποίες περιλαμβάνονται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στην κείμενη νομοθεσία».

Καθημερινά αναρτώνται στη «Διαύγεια» δεκάδες αποφάσεις από υπηρεσίες Νοσοκομείων στις οποίες αναφέρονται τα πλήρη στοιχεία των ασθενών (ονοματεπώνυμο, ΑΜΚΑ, ηλικία, ασφαλιστικός φορέας, πάθηση). Χαρακτηριστική είναι η απόφαση του Διοικητή του Ιπποκράτειου Νοσοκομείου της Θεσσαλονίκης (26/02/2014) περί έγκρισης τοποθέτησης βηματοδότη σε ασθενή, στην οποία αναφέρεται το όνομα, η ηλικία και το ασφαλιστικό ταμείο του ασθενούς. Παρόμοια είναι η απόφαση του ΔΣ του Γενικού Νοσοκομείου Κέρκυρας (18/11/2014) για προμήθεια υλικών για ολική αρθροπλαστική ισχίου για ασθενή της οποίας το ονοματεπώνυμο αναγράφεται στην απόφαση. Ακόμα, υπάρχει απόφαση του ΔΣ του Ιπποκράτειου Γενικού Νοσοκομείου της Αθήνας (11/03/2014) για έγκριση της προμήθειας απινιδωτή για ασθενή του καρδιολογικού τμήματος, στην οποία παρόλο που αναφέρονται τα αρχικά του ονόματος του ασθενούς, ωστόσο αναφέρεται ο αριθμός μητρώου του.

Ακολουθεί το πλήρες κείμενο της ερώτησης:

ΠΡΟΣ ΤΟΝ ΥΠΟΥΡΓΟ ΥΓΕΙΑΣ

ΘΕΜΑ: «Νοσοκομεία δημοσιοποιούν ευαίσθητα δεδομένα υγείας ασθενών»

Καθημερινά αναρτώνται στη «Διαύγεια» δεκάδες αποφάσεις από υπηρεσίες Νοσοκομείων στις οποίες αναφέρονται τα πλήρη στοιχεία των ασθενών (ονοματεπώνυμο, ΑΜΚΑ, ηλικία, ασφαλιστικός φορέας, πάθηση). Την παράνομη αυτή πρακτική ακολουθούν πολλά νοσοκομεία της χώρας. Χαρακτηριστική είναι η απόφαση του Διοικητή του Ιπποκράτειου Νοσοκομείου της Θεσσαλονίκης (26/02/2014) περί έγκρισης τοποθέτησης βηματοδότη σε ασθενή, στην οποία αναφέρεται το όνομα, η ηλικία και το ασφαλιστικό ταμείο του ασθενούς. Αντίστοιχη είναι η απόφαση του Γενικού Νοσοκομείου Ηλείας (20/01/2014) για την προμήθεια ολικής αρθροπλαστικής γόνατος υβρίδιο για ασθενή. Παρόμοια είναι η απόφαση του ΔΣ του Γενικού Νοσοκομείου Κέρκυρας (18/11/2014) για προμήθεια υλικών για ολική αρθροπλαστική ισχίου για ασθενή της οποίας το ονοματεπώνυμο αναγράφεται στην απόφαση. Ακόμα, υπάρχει απόφαση του ΔΣ του Ιπποκράτειου Γενικού Νοσοκομείου της Αθήνας (11/03/2014) για έγκριση της προμήθειας απινιδωτή για ασθενή του καρδιολογικού τμήματος, στην οποία παρόλο που αναφέρονται τα αρχικά του ονόματος του ασθενούς, ωστόσο αναφέρεται ο αριθμός μητρώου του.

Είναι αυτονόητο ότι η ανάρτηση των πράξεων όλων των οργάνων της Διοίκησης στη Διαύγεια είναι αναγκαία, γιατί μόνο έτσι εξασφαλίζεται η διαφάνεια και η λογοδοσία από την πλευρά των φορέων άσκησης δημόσιας εξουσίας. Ωστόσο, σύμφωνα με το άρθρο 5 εδ. 1 (Προστασία δεδομένων προσωπικού χαρακτήρα και απόρρητα) του ν. 3861/2010 «Ενίσχυση της  διαφάνειας με την υποχρεωτική ανάρτηση νόμων  και πράξεων των κυβερνητικών, διοικητικών και  αυτοδιοικητικών οργάνων στο διαδίκτυο «Πρόγραμμα Διαύγεια» και άλλες διατάξεις», όπως τροποποιήθηκε από το ν. 4057/2012, «Η ανάρτηση των πράξεων που αναφέρονται στο άρθρο 2 στο Διαδίκτυο και η οργάνωση της αναζήτησης πληροφοριών πραγματοποιείται με την επιφύλαξη των κανόνων για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Δεν αναρτώνται πράξεις, στις οποίες περιλαμβάνονται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στην κείμενη νομοθεσία».

Με το άρθρο 23 παρ. 1 του ν. 3471/2006 τροποποιήθηκε εν μέρει η διατύπωση του στοιχείου δ΄ της παρ. 1 του άρθρου 7Α του ν. 2472/1997 αντικαθιστώντας τον προηγούμενο όρο «ιατρικά δεδομένα» με τον όρο «δεδομένα υγείας». Ο όρος «δεδομένα υγείας είναι ευρύτερος και περιλαμβάνει -πέρα από το ιατρικό ιστορικό του ασθενούς- και τις έννοιες των γενετικών και ιατρικών δεδομένων, όπως και κάθε άλλη πληροφορία που αφορά θέματα υγείας, όπως ιατρικές διαγνώσεις, ασθένειες, επεμβάσεις, τη χρήση, τη λήψη φαρμάκων, τα δεδομένα της ηλεκτρονικής συνταγογράφησης, αποτελέσματα εργαστηριακών εξετάσεων αλλά και στοιχεία που σχετίζονται με τον τρόπο ζωής, όπως η χρήση ναρκωτικών ουσιών, η σεξουαλική ζωή, το οικογενειακό ιατρικό ιστορικό. Με την τροποποίηση αυτή ο νομοθέτης αποσυνδέει την προστατευόμενη πληροφορία υγείας από την προέλευση του δεδομένου. Δηλαδή, δεν απαιτείται η πληροφορία να προέρχεται από ιατρική πηγή, για να εμπίπτει στον όρο που πλέον υιοθετείται.

Η ακολουθούμενη πρακτική των νοσοκομείων παραβιάζει πληθώρα διατάξεων, πέραν αυτών που έχουν ήδη αναφερθεί. Ειδικότερα, το άρθρο 9Α του Συντάγματος που κατοχυρώνει ρητά το δικαίωμα της πληροφοριακής αυτοδιάθεσης, σύμφωνα με το οποίο «Καθένας έχει δικαίωμα προστασίας από την συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». Εκτός από τη συνταγματική προστασία, ο ν. 2749/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» περιέχει μια σειρά διατάξεων, οι οποίες προβλέπουν κυρώσεις διοικητικές (άρθρο 21), ποινικές (άρθρο 22) και ζητήματα αστικής ευθύνης (άρθρο 23).

Με το ν. 2472/1997 εντάχθηκε στο εθνικό δίκαιο η οδηγία 95/46/EK που αποτελεί την κύρια νομοθετική πράξη της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Βεβαίως, ο ταχύς ρυθμός των τεχνολογικών αλλαγών κατέστησε την οδηγία μάλλον ξεπερασμένη. Η ανάγκη επικαιροποίησης έγινε αντιληπτή στις 25/01/2012, οπότε η Επιτροπή της ΕΕ παρουσίασε Πρόταση Κανονισμού, η οποία περιέχει καινοτομίες, όπως η εισαγωγή νέων δικαιωμάτων, το δικαίωμα στη λήθη και στη φορητότητα, το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών και η ρητή δυνατότητα ανάκλησης συγκατάθεσης του υποκειμένου. Η ψήφιση του Κανονισμού αναμένεται τις προσεχείς ημέρες.

Επειδή η έλλειψη κοινού τρόπου διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία συνιστά ακόμα ένα –μεταξύ πολλών- πρόβλημα του ΕΣΥ,

Επειδή ελλοχεύει ο κίνδυνος οι ασθενείς, των οποίων τα δεδομένα δημοσιοποιούνται, να προσφύγουν δικαστικά και να δικαιωθούν, επιβαρύνοντας οικονομικά τα νοσοκομεία,

ερωτάται ο κ. Υπουργός:

1) Είναι σε γνώση του Υπουργείου Υγείας η ακολουθούμενη πρακτική πολλών Νοσοκομείων να αναρτούν στη Διαύγεια αποφάσεις που παραβιάζουν το νομικό πλαίσιο περί δεδομένων υγείας των ασθενών;

2) Σε ποιες ενέργειες σκοπεύετε να προβείτε, ώστε να υπάρχει απαρέγκλιτη τήρηση του νομικού πλαισίου αφενός και ενιαίος τρόπος διαχείρισης των δεδομένων υγείας των ασθενών από τα νοσοκομεία αφετέρου;

3) Τι έχει πράξει η Αρχή Προστασίας Προσωπικών Δεδομένων στο πλαίσιο τόσο της ρυθμιστικής όσο και της ελεγκτικής της αρμοδιότητας;

4) Έχουν εκδοθεί δικαστικές αποφάσεις εις βάρος του ελληνικού Δημοσίου για παραβίαση των δεδομένων υγείας ασθενών; Εάν ναι, ποιο είναι το συνολικό ποσό που έχει εκταμιευτεί από το Υπουργείο Υγείας σε εκτέλεση αυτών;

Ο ερωτών βουλευτής
Κωνσταντίνος Μπαργιώτας - Λάρισας