A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalást adott ki a magánszektorban működtetett adatmegosztó portálokkal kapcsolatban. (2014. március 27.)
Az utóbbi években több szolgáltató is próbálkozott egészségügyi adatok megosztására alkalmas internetes szolgáltatásokat indítani. Az állami adatmegosztó hálózat késlekedése miatt indult el pl. a PraxisPlatform.hu a Magyar Telekom Nyrt. kezdeményezésére, vagy említhetném a Dcont.hu online vércukornaplóját.
A külföldi szolgáltatók közül említhetném a Microsoft HealthVault.com portálját (adatvédelmi okok miatt azóta megszűnt), vagy az USA PracticeFusion.com szolgáltatását.
Adatvédelmi szempontból különbséget kell tenni a szolgáltatók két csoportja között. Az egyik csoportba tartoznak a független harmadik felek, az olyan szolgáltatók, amelyek alapvetően az érintett pácienstől szerzik be az információkat. A feltöltött adatok hitelessége és teljessége nem számon kérhető, egyedül a páciens dönt arról, hogy mit tölt fel, később mit töröl le, illetve milyen adatok feltöltését kéri a kezelőorvosától. A másik csoportba az olyan szolgáltatók tartoznak, amelyek az információikat hiteles forrásokból (kórházakból) szerzik be, az adatokon a páciensek nem módosíthatnak, csak a hozzáférési jogokat szabályozhatják. Praktikusan ez a második csoport közvetíti a saját adatokhoz történő hozzáférés jogát a páciensek számára.
Nos, 2012-ben egy az első csoportba tartozó magyar szolgáltató honlapjával kerültem kapcsolatba. Egy informatikai vállalkozásról van szó, amely jól működik és vélhetően már több ezer ügyfele van, akik elektronikusan menedzselik személyes egészségügyi adataikat, alapvetően önkéntes feltöltéssel. Zárójelentéseket szkennelve, laboreredményeket begépelve is felvihetnek és megoszthatják az orvosukkal. Az információ hitelességének a szintje gyakorlatilag azzal egyenértékű, mintha fénymásolatokat vinne magával a beteg a korábbi ellátásairól. Orvosi szempontból mindenképpen hasznos és irányadó egy ilyen adathalmaz, de a rendszer nem garantálja a sérthetetlenséget és a teljességet.
Ezért meglepő volt számomra az, hogy a szolgáltató hatósági jogokat vont magához a közzé tett adatvédelmi szabályzat szerint, elkezdett hatalmaskodni. Úgy vélte, hogy ő betegellátó és ezért a bevitt adatokat 30 évig meg kell őrizze, sőt az Egészségügyi és a hozzájuk tartozó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény szerint joga van az adatokon hozzájárulás nélkül orvosi kutatást végezni. Ezt panaszoltam be az adatvédelmi hatóságnál és két hete megérkezett a kedvező állásfoglalás, amely anonim módon itt megtekinthető.
A hatóság válaszában osztotta a véleményemet, egy harmadik fél, nem egészségügyi adatkezelő, nem szerezhet magának olyan jogokat, amelyek az egészségügyi adatok védelméről szóló törvényben vannak. Így kötelezettségei sem keletkeznek a tárolt adatok vonatkozásában. Ha az érintett úgy dönt, hogy megszünteti az azonosítóját (előfizetését), akkor mint a kisangyal, letörlik az adatokat. Ha szeretnének orvosi kutatást végezni, akkor erre tájékoztatás után adott hozzájárulás mellett van lehetőség (az illetékes etikai bizottságtól kapott engedélyre is szükség van ehhez).
A hatóság lényegében hasonló peremfeltételekkel engedélyezte a működést, mint ahogyan a francia DMP (Dossier Medical Personnel) működik. Lásd erről az Elektronikus betegrekordokkal kapcsolatos jogaink című írásomat. A kért módosításokat a cég megtette, így már semmilyen kifogásom nincs az adatmegosztó szolgáltatással szemben.
A hatóság egy felvetésemre azonban nem válaszolt, de ebben a témában további beadványaim vannak folyamatban. Azt még mindig nem tudjuk, hogy egy magán informatikai szolgáltatónak be kell-e jelentkeznie a Nemzeti Adatvédelmi Nyilvántartásba. A külföldi szabályozás meglehetősen szigorú, mert nem csak az adatkezeléseket általában, hanem minden egyes új feldolgozást is be kell jelenteni az egészségügyi szolgáltatóknak. Franciaországban ha egy adatállományban szerepel az állami eü. azonosító szám, akkor azt csak a CNIL (adatvédelmi hatóság) egyedi engedélyével lehet feldolgozni. A közvetlen egészségügyi ellátáshoz kapcsolódó dokumentációs rendszereket nem kell bejelenteni általában. De minden másodlagos rendszert már igen. Franciaországban és Dániában a kutatási célú adatfeldolgozásokat is be kell jelenteni az adatvédelmi hatóságnak (ez 2019. augusztus 8-tól megszűnt). A hatóságok pedig előírhatnak működési feltételeket, korlátozásokat az adatkezelők számára.
Sajnos a magyar regisztrációs folyamat egy vicc, abszolút komolytalan. Az adatközléshez semmilyen felelősség nem kapcsolódik. A jog nem szankcionálja a valótlan adatközlést. Egy nyilvánvalóan valótlan regisztráció esetén sem tud mit tenni a hatóság. A Btk. társadalmi vitájában ezt felvetettem, de természetesen nem került be a törvény szövegébe szankció.
Dr. Alexin Zoltán