Planowane przez NFZ wprowadzenie w tym roku systemu, który umożliwi pacjentom dostęp online do informacji o udzielonych im świadczeniach, budzi wątpliwości - uważa GIODO Rafał Wiewiórowski. Podkreśla, że to dane wrażliwe, wymagające szczególnego zabezpieczenia.
Od 1 stycznia 2013 r. za pomocą systemu Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców (eWUŚ) możliwe jest, po podaniu numeru PESEL, sprawdzenie w placówce ochrony zdrowia naszych uprawnień do bezpłatnej opieki zdrowotnej. Jak zapowiada NFZ, jeszcze w tym roku pacjenci będą mogli online sprawdzać czy są ubezpieczeni, a ponadto będą mieli dostęp do listy swoich wizyt lekarskich, hospitalizacji i badań diagnostycznych oraz kosztów tych świadczeń.
Generalny Inspektor Ochrony Danych Osobowych w środę podczas briefingu prasowego podkreślił, że system eWUŚ, który funkcjonuje od 1 stycznia i umożliwia potwierdzanie na podstawie numeru PESEL prawa pacjenta do bezpłatnych świadczeń zdrowotnych to dobre rozwiązanie, potrzebne pacjentom. "Moje wątpliwości nie odnoszą się do istoty systemu" - mówił.
Zaznaczył, że sama informacja o tym, czy ktoś ma prawo do bezpłatnej opieki zdrowotnej nie budzi wątpliwości, ponieważ nie chodzi tu o dostęp do danych medycznych. Jednocześnie zapowiedział, że GIODO będzie prowadził planowe kontrole w placówkach ochrony zdrowia, m.in. dot. archiwizowania potwierdzeń z eWUŚ przez świadczeniodawców.
Zwrócił uwagę, że według zapowiedzi NFZ "w 2013 r. ma zostać uruchomiony także II etap systemu eWUŚ, czyli umożliwienie pacjentom dostępu do informacji o udzielonych im świadczeniach medycznych". "W rozporządzeniu ministra zdrowia, które dotyczy tego rozwiązania, nie uwzględniono uwag GIODO dotyczących m.in. określenia sposobu logowania się do tego systemu" - podkreślił Wiewiórowski.
W jego ocenie podstawy prawne regulujące zabezpieczenie systemu są niewystarczające. "My uważamy, że takich podstaw prawnych nie ma, a powinny być zawarte w rozporządzeniu ministra zdrowia, z kolei resort zdrowia uważa, że wynikają one z ogólnych przepisów obowiązujących w naszym kraju" - wyjaśnił GIODO.
"Każdy system informatyczny, który jest dostępny dla osoby, która +miękko+ loguje się do niego, używając systemu haseł, jest systemem niebezpiecznym, z którego mogą nastąpić wycieki" - ocenił. "Chcielibyśmy dowiedzieć się znacznie więcej na temat sposobu zabezpieczenia dostępu do systemu NFZ, zanim zostanie on fizycznie uruchomiony" - dodał i zapowiedział inspekcję tego systemu, gdy zostanie przygotowany do działania.
Wiewiórowski zaznaczył, że nie neguje prawa pacjentów do informacji o udzielonych im świadczeniach, jednak jego niepokój budzi, że baza takich informacji jest "przymusowa". Pacjenci nie mają bowiem wyboru czy chcą, aby takie dane o nich były gromadzone, czy nie. "Dostęp do tej bazy będzie możliwy przy pomocy internetu z dowolnego miejsca na świecie, a system logowania będzie +dość delikatny+" - mówił Wiewiórowski.
Wyjaśnił, że np. w Holandii wprowadzono podobny system, jednak funkcjonują w nim pacjenci, którzy wyrazili na to zgodę i wiedzą o zagrożeniach związanych z prowadzeniem takiej bazy informatycznej - np. wycieku informacji po ataku hakerskim lub użyciu indywidualnego loginu i hasła przez inną osobę.
Ponadto według GIODO może pojawić się zagrożenie, że ubezpieczyciele będą +prosili+ swych potencjalnych klientów o informacje nt. udzielonych im świadczeń zdrowotnych i od tego będą uzależniali podpisanie umowy np. na życie. "Taka sytuacja byłaby przez GIODO traktowana jako wymuszona zgoda na udostępnienie danych, a więc sprzeczna z prawem" - zapowiedział. Dodał, że "trudno byłoby zapisać zakaz takich praktyk np. w kodeksie cywilnym".
Jak powiedział PAP rzecznik prasowy NFZ Andrzej Troszyński, rozwiązania dotyczące systemu eWUŚ były przed jego wprowadzeniem konsultowane w zakresie ochrony danych osobowych. Zapewnił ponadto, że także system dostępu pacjentów online o udzielonych im świadczeniach jest konsultowany w tym obszarze. "System ten będzie spełniał wszystkie standardy bezpieczeństwa" - zapewnił.(PAP)
bpi/ pz/ gma/
