A 29. CIKK alapján létrehozott adatvédelmi munkacsoport

Átírás

1 A 29. CIKK alapján létrehozott adatvédelmi munkacsoport 00323/07/HU WP 131 Munkadokumentum az elektronikus egészségügyi nyilvántartásban (EHR) tárolt, egészségi állapotra vonatkozó személyes adatok feldolgozásáról Elfogadva február 15-én Ezt a munkacsoportot a 95/46/EK irányelv 29. cikke alapján hozták létre. Független, az adatok és a magánélet védelmével foglalkozó európai tanácsadó testület. Feladatairól a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke rendelkezik. A titkárságot az Európai Bizottság Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának C. Igazgatósága (Polgári igazságszolgáltatás, alapvető jogok és uniós polgárság) biztosítja; B-1049 Brussels (Brüsszel), Belgium, Iroda: LX-46 01/43. Honlap:

2 BEVEZETŐ ÖSSZEFOGLALÁS Ebben, az egészségi állapotra vonatkozó személyes adatok elektronikus egészségügyi nyilvántartásban (EHR) történő feldolgozásáról szóló munkadokumentumban a 29. cikk alapján létrehozott munkacsoport iránymutatást kíván adni az EHR-rendszerekre alkalmazandó adatvédelmi jogi keret értelmezéséhez, valamint magyaráz néhány általános elvet. A munkadokumentum emellett jelzi, milyen adatvédelmi feltételekkel lehet EHR-rendszereket létrehozni, és milyen garanciákat kell alkalmazni. A 29. cikk alapján létrehozott munkacsoport először is az EHR-rendszerekre alkalmazandó általános adatvédelmi jogi keretet vizsgálja meg. A 29. cikk alapján létrehozott munkacsoport emlékeztet az egészségi állapotra vonatkozó személyes adatok feldolgozásának a 95/46/EK adatvédelmi irányelv 8. cikke (1) bekezdésében lefektetett tilalmára, majd megvitatja az irányelv 8. cikkének (2), (3) és (4) bekezdésében meghatározott eltérések lehetséges alkalmazását az EHR-rendszerekkel összefüggésben, s egyúttal hangsúlyozza, hogy az ilyen eltéréseket megszorítóan kell értelmezni. A 29. cikk alapján létrehozott munkacsoport felvázol emellett egy, az EHR-rendszerekre alkalmazandó megfelelő jogi keretet is, és ajánlásokat fogalmaz meg tizenegy olyan témában, ahol a betegek és egyének adatvédelmi jogainak biztosítása érdekében különösen szükségesnek látszik, hogy az EHR-rendszerekbe különleges garanciákat építsenek be. Ezek a témák a következők: 1. Az önrendelkezés tiszteletben tartása 2. A betegek és egészségügyi szakemberek azonosítása és hitelesítése 3. Az EHR-rendszerekhez az adatokba való betekintés, illetve adatbeírás céljából történő hozzáférés engedélyezése 4. Az EHR-rendszerek egyéb célú felhasználása 5. Az EHR-rendszerek szervezeti felépítése 6. Az EHR-rendszerekben tárolt adatok kategóriái és megjelenítésük módjai 7. Az egészségügyi adatok nemzetközi cseréje 8. Adatbiztonság 9. Átláthatóság 10. Felelősség 11. Az EHR-rendszerekben végzett adatfeldolgozás ellenőrzési mechanizmusai A 29. cikk alapján létrehozott munkacsoport felkéri az orvosi szakmát, az egészségügyi szakembereket, minden egyéb érintett személyt és intézményt, valamint a széles nyilvánosságot, hogy fűzzön megjegyzéseket e munkadokumentumhoz. 2 / 24

3 TARTALOMJEGYZÉK I. BEVEZETÉS... 4 II. AZ ELEKTRONIKUS EGÉSZSÉGÜGYI NYILVÁNTARTÁSOK ADATVÉDELMI KERETE Általános elvek Az érzékeny személyes adatok különleges védelme Az egészségi állapotra vonatkozó személyes adatok feldolgozásának általános tilalma és az ettől való eltérések A 8. cikk (2) bekezdésének a) pontja: Kifejezett hozzájárulás A 8. cikk (2) bekezdésének c) pontja: az érintett létfontosságú érdekei A 8. cikk (3) bekezdése: (orvosi) adatok egészségügyi szakemberek általi feldolgozása A 8. cikk (4) bekezdése: mentességek alapvető közérdek esetén III. GONDOLATOK AZ EHR-RENDSZEREK MEGFELELŐ JOGI KERETÉHEZ Az önrendelkezés tiszteletben tartása A betegek és egészségügyi szakemberek azonosítása és hitelesítése Az EHR-rendszerhez az adatokba való betekintés, illetve adatbeírás céljából történő hozzáférés engedélyezése Az EHR-rendszerek egyéb célú felhasználása Az EHR-rendszerek szervezeti felépítése Az EHR-rendszerekben tárolt adatok kategóriái és megjelenítésük módjai Az egészségügyi adatok nemzetközi cseréje Adatbiztonság Átláthatóság Felelősség Az EHR-rendszerekben végzett adatfeldolgozás ellenőrzési mechanizmusai IV. VÉGKÖVETKEZTETÉS / 24

4 A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN AZ EGYÉNEK VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT, tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre 1, és különösen annak 29. cikkére és 30. cikke (1) bekezdésének b) pontjára, tekintettel a munkacsoport eljárási szabályzatára 2, és különösen annak 12. és 14. cikkére, ELFOGADTA A KÖVETKEZŐ MUNKADOKUMENTUMOT: I. Bevezetés Ebben munkadokumentumban a 29. cikk alapján létrehozott munkacsoport iránymutatást kíván adni az elektronikus egészségügyi nyilvántartó (EHR) rendszerekre alkalmazandó adatvédelmi jogi keret értelmezéséhez, valamint le kíván fektetni néhány általános elvet. Célja továbbá, hogy meghatározza az országos EHR-rendszerek létrehozásának adatvédelmi feltételeit és az alkalmazandó garanciákat. A közegészségügyi ellátó rendszerek költségei drámai módon emelkednek, a kormányok pedig a kérdés megoldása érdekében új stratégiák kidolgozására hívnak fel. Az egyik gyakran felmerülő javaslat az elektronikus egészségügyi nyilvántartás (EHR). Ezzel kapcsolatban a következő kifejezések fordulnak elő: elektronikus egészségügyi dokumentáció (EMR), elektronikus betegnyilvántartás (EPR), elektronikus egészségügyi nyilvántartás (EHR), számítógépes betegnyilvántartás (CPR) stb. A fenti kifejezések egymással szabadon felcserélhetőek. E munkadokumentum alkalmazásában elektronikus egészségügyi nyilvántartás (a továbbiakban: EHR) : Elektronikus formában tárolt, egyének múltbeli és pillanatnyi fizikai és mentális állapotára vonatkozó átfogó egészségügyi nyilvántartás vagy ahhoz hasonló dokumentáció, amely lehetővé teszi, hogy orvosi kezelés vagy egyéb, azzal szorosan összefüggő cél 3 érdekében ezen adatokhoz könnyen hozzá lehessen férni. Az egyes orvosi kezelésekre vonatkozó dokumentációt hagyományosan a különböző egészségügyi szakemberek nyilvántartásában el lehetett érni, de közös nyilvántartásban nem szokták őket egyesíteni. Ezzel szemben az EHR-rendszerek célja, hogy az egyéneken elvégzett orvosi kezeléseket tartalmazó, különböző forrásokból és időpontokból származó, már meglévő dokumentációt egybeszerkesszék. Tehát amennyire csak lehet, teljes körűen és hosszabb, esetenként akár az egész életre ( a bölcsőtől a sírig ) terjedő időszakra vonatkozóan szolgáltatnának információt az egyén múltbeli és pillanatnyi egészségi állapotáról. A már egybeszerkesztett EHR-adatok ahol és amikor csak szükség van rájuk Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról; HL L 281., , 31. o. (a továbbiakban: az irányelv); elérhetősége: A munkacsoport szeptember 11-én tartott harmadik ülésén elfogadott szabályzat. Az orvosi kezelés vagy azzal szorosan összefüggő cél kifejezés az irányelv 8. cikkének (3) bekezdésében említett célokra utal. 4 / 24

5 elektronikus formában a jogosult egészségügyi szakemberek és egyéb, hozzáférésre jogosult intézmények rendelkezésére állnának. Az EHR-rendszerről azt tartják, hogy megfelelő eszköz a kezelések minőségének javítására, mivel jobb tájékoztatást nyújt a betegről; az orvosi kezelések költséghatékonyságának növelésére és ezáltal annak megakadályozására, hogy az egészségügyi ellátás költségvetési hiánya rohamos ütemben növekedjen tovább; az egészségügyi ágazati minőségellenőrzéshez, statisztikákhoz és tervezéshez szükséges adatok biztosítására, ami kedvező hatással lehet a közegészségügyi ellátó rendszerek költségvetésére is. Az európai adatvédelmi felügyeleti hatóságokhoz 2005-ben intézett kérdőívre adott válaszokból kiderült, hogy a legtöbb tagállamban fontos és sürgető kérdés az országos EHRrendszerek kiépítése. A megvalósítás előrehaladottsága azonban nagy különbségeket mutat: míg a legtöbb tagállam csak az EHR-rendszer megvitatásánál tart, néhány már legalábbis részben kivitelezte őket. Mivel az egészségügyi szolgáltatások egyre inkább átnyúlnak a határokon, az Európai Bizottság Elektronikus egészségügy jobb egészségügyi ellátást az európai polgároknak: Az európai elektronikus egészségügyi térség megteremtését célzó cselekvési terv 4 című közleményében is hangsúlyozta az elektronikus egészségügyi szolgáltatások és elektronikus egészségügyi nyilvántartások interoperabilitásának jelentőségét. Az Európai Bizottság emellett finanszíroz kapcsolódó projekteket is, többek között az elektronikus betegnyilvántartásokkal, illetve betegazonosítókkal (pl. az európai egészségbiztosítási kártya) kapcsolatosan. A fenti programok végrehajtásakor a Bizottság és a tagállamok biztosítják a személyes adatok védelmére vonatkozó valamennyi jogszabály betartását és indokolt esetben az ilyen adatok titkosságát és biztonságát garantáló mechanizmusok bevezetését 5. Az EHR-rendszerekben megvan annak a lehetősége, hogy jobb minőségű és biztonságosabb egészségügyi tájékoztatást nyújtsanak, mint a hagyományos egészségügyi nyilvántartások. Adatvédelmi szempontból azonban hangsúlyozni kell, hogy az EHR-rendszerekben nem csak az a lehetőség rejlik, hogy több személyes adatot tudnak általa (pl. új összefüggésekben vagy összesítve) feldolgozni, hanem az is, hogy a betegek adataihoz a felhasználók szélesebb köre a korábbinál könnyebben férhet hozzá. Meg kell jegyeznünk továbbá, hogy az egészségi állapotra vonatkozó, EHR-rendszerekben található elektronikus információk amellett, hogy az egészségügyi szakemberek rendelkezésére állnak általában harmadik felek, többek között biztosítótársaságok és bűnüldöző szervek érdeklődését is kiválthatják. Az EHR-rendszerek a személyes adatok védelme szempontjából újfajta kockázati tényezőket vetnek fel amiatt, hogy az egyénre vonatkozó, különböző forrásokból származó, már létező orvosi információkat egybeszerkesztik, és ezáltal könnyebb és szélesebb körű hozzáférhetést tesznek lehetővé a szóban forgó érzékeny adatokhoz, megváltoztatva az egyénekre vonatkozó orvosi információkkal való visszaélés lehetséges módozatainak teljes skáláját. Noha ezen új kockázati tényezők a legtöbb projekt esetében csak a teljes körű végrehajtás egy jövőbeli szakaszában fognak teljes egészében érvényesülni, a veszélyekkel már most is tisztában kell lenni, amikor a legtöbb létező modell csak korlátozott vagy részleges alkalmazást (pl. csak alapvető orvosi adatokra vagy egy bizonyos régió kórházaira vonatkozóan) tesz lehetővé, hiszen csak idő kérdése, hogy e rendszerek általánosan alkalmazhatóak legyenek. 4 5 COM (2004) 356, végleges Lásd pl. az 1786/2002/EK határozat 5. cikkének (5) bekezdését. 5 / 24

6 II. Az elektronikus egészségügyi nyilvántartások adatvédelmi kerete Az EHR-rendszerekben elvégzett mindennemű személyesadat-feldolgozásnak teljes mértékben meg kell felelni a személyes adatok védelmére vonatkozó szabályoknak. A munkacsoport hangsúlyozza hogy az EHR-rendszerek használatára alkalmazandó keretet az irányelv (2) preambulumbekezdésben fektették le: az adatfeldolgozási rendszerek célja az emberek szolgálata; ( ) a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat, és hozzá kell járulniuk a gazdasági és társadalmi fejlődéshez, a kereskedelem fejlődéséhez, valamint az egyének jólétéhez. A személyes adatok védelméhez való alapvető jog lényegében az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény (a továbbiakban: az egyezmény) 8. cikkén és az Európai Unió Alapjogi Chartájának 8. cikkén alapul 6. A részletesebb szabályokat különösen a 95/46/EK közösségi adatvédelmi irányelvben és a magánélet védelméről és az elektronikus hírközlésről szóló 2002/58/EK irányelvben 7, valamint a fenti irányelveket végrehajtó tagállami nemzeti jogszabályokban fektették le. Az EHR-rendszerekben elvégzett minden személyesadat-feldolgozásnak összhangban kell lennie az Európa Tanácsnak az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményében (ETS 108) és a 108. számú egyezménynek a felügyelő hatóságokról és az adatok határon átnyúló áramlásáról szóló kiegészítő jegyzőkönyvében (ETS 181) lefektetett szabályokkal is. Az EHR-rendszerekkel összefüggésben a munkacsoport külön felhívja a figyelmet az Európa Tanács R (97) 5. számú, az orvosi adatok védelméről szóló, február 13-i ajánlására. Hivatkozik emellett a nemzetközi távközlési adatvédelmi munkacsoport által készített Munkadokumentum az elektronikus egészségügyi nyilvántartások hálózati elérhetőségéről 8 című anyagban megfogalmazott ajánlásokra is. 1. Általános elvek Az adatkezelőknek a EHR-alkalmazásokkal összefüggésben tehát tiszteletben kell tartaniuk minden általános adatvédelmi elvet, köztük az alábbiakat: Felhasználási korlátozás elve (célhoz kötöttség elve): Ez az elv, amelyet többek között az irányelv 6. cikke (1) bekezdésének b) pontja is részben kifejt, többek között megtiltja az adatoknak a gyűjtés céljával (céljaival) össze nem egyeztethető további feldolgozását. Az adatok minőségének elve: Ez az irányelvben lefektetett elv megköveteli, hogy a személyes adatok a gyűjtésük célja szempontjából relevánsak és nem túlzott mértékűek legyenek. Tilos tehát olyan adatokat gyűjteni, amelyek nem relevánsak, ha pedig mégis összegyűjtötték őket, törölni kell őket (a 6. cikk (1) bekezdésének c) 6 A személyes adatok védelméhez való jog nem abszolút jog; amennyiben különleges közérdek megköveteli, korlátozható. A személyes adatok védelmébe a közérdek céljából történő beavatkozás azonban csak akkor indokolható, ha jogszerű, továbbá egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges, és nem aránytalan az elérni kívánt célhoz képest (az egyezmény 8. cikkének (2) bekezdése). 7 Az Európai Parlamenti és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (HL L 201., , o.). 8 Elfogadva a munkacsoport 39., április 6-7-i találkozóján Washington D.C-ben (). 6 / 24

7 pontja). Követelmény továbbá az is, hogy az adatok pontosak és napra készek legyenek. Az adatmegőrzés elve: Ez elv megköveteli, hogy a személyes adatokat csak addig őrizzék meg, ameddig gyűjtésük és további feldolgozásuk céljából szükséges. Tájékoztatási követelmények: Az irányelv 10. cikke értelmében az EHR-rendszerekben információkat feldolgozó adatkezelőknek tájékoztatni kell az érintetteket a következőkről: az adatkezelő személye, az adatfeldolgozás célja, az adatok címzettjei, illetve az adatokba való betekintési jog. Az érintettek hozzáférési joga: Az irányelv 12. cikke biztosítja az érintettek számára, hogy ellenőrizhessék az adatok pontosságát, és gondoskodhassanak róla, hogy az adatok napra készek legyenek. Ezek a jogok teljes mértékben érvényesek az EHR-rendszerekben található személyes adatok esetében is. Biztonsággal kapcsolatos kötelezettségek: Az irányelv 17. cikke kötelezi az adatkezelőket, hogy a személyes adatok véletlen vagy jogellenes megsemmisülése, illetve a jogosulatlan adatszolgáltatás ellen hozott megfelelő technikai és szervezési intézkedéseket végrehajtsák. Ezek az intézkedések lehetnek akár szervezési, akár technikai jellegűek. 2. Az érzékeny személyes adatok különleges védelme Amikor azonban az ilyen személyes adatok feldolgozása a személyek egészségi állapotával kapcsolatos, a feldolgozás különösen érzékeny kérdés, tehát különleges védelmet követel meg. A 95/46/EK irányelv 2. cikkének a) pontja a következőképpen határozza meg a személyes adatokat:»személyes adat«az azonosított vagy azonosítható természetes személyre ( érintettre ) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén. Az irányelv 8. cikkének (1) bekezdése a következőképpen határozza meg a különleges adatokat: A tagállamok megtilthatják az olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak. Az, hogy valakinek megsérült a lábfeje, és ezért orvosi indokból csak részmunkaidőben dolgozik, az irányelv 8. cikkének (1) bekezdése értelmében egészségi állapotra vonatkozó személyes adatnak minősül 9. A fenti meghatározás azokra a személyes adatokra is vonatkozik, amelyek világosan és szorosan kapcsolódnak egy adott személy egészségi állapotának leírásához: a gyógyszer-, alkohol- vagy kábítószer-fogyasztásra vonatkozó, valamint a genetikai adatok kétségkívül egészségi állapotra vonatkozó személyes adatok, különösen akkor, ha orvosi akta részét képezik. Érzékeny adatnak kell tekinteni minden egyéb, egy adott beteg kezelésének orvosi dokumentációjában található adatot pl. az adminisztratív adatokat (társadalombiztosítási szám, kórházba kerülés ideje stb.) is; ha nem 9 Az Európai Bíróságnak a a C-101/01. sz. Bodil Lindqvist-ügyben november 6-án hozott ítélete. 7 / 24

8 lennének relevánsak a beteg kezelését illetően, nem kerültek volna, illetve nem lett volna szabad belekerülniük az orvosi aktába. Következésképpen a munkacsoport tagjai úgy vélik, hogy az orvosi nyilvántartásokban, elektronikus egészségügyi nyilvántartásokban és EHR-rendszerekben található valamennyi adatot érzékeny személyes adatnak kellene tekinteni. Ezért tehát nem csak a személyes adatok védelmére az irányelvben megállapított valamennyi általános szabály, hanem az érzékeny adatok feldolgozása tekintetében az irányelv 8. cikkében lefektetett különleges adatvédelmi szabályok is vonatkoznak rájuk. 3. Az egészségi állapotra vonatkozó személyes adatok feldolgozásának általános tilalma és az ettől való eltérések A 95/46/EK adatvédelmi irányelv 8. cikkének (1) bekezdése általánosságban megtiltja az egészségi állapotra vonatkozó személyes adatok feldolgozását. Ugyanígy rendelkezik az Európa Tanács 108. számú egyezményének 6. cikke is. A 8. cikk (1) bekezdésében lefektetett különleges védelem kiegészíti az irányelv egyéb rendelkezéseit, különösen az adatok minőségére vonatkozó elvekről szóló 6. cikket és az adatfeldolgozás jogszerűségének kritériumairól szóló 7. cikket. Mivel azonban ahhoz, hogy a beteg megfelelő orvosi kezelésben részesülhessen, fontos, hogy a rá vonatkozó információkat fel lehessen használni, az egészségi állapotra vonatkozó adatok feldolgozásának általános tilalmától el lehet térni. Az adatvédelmi irányelv rendelkezik kötelező eltérésekről (a 8. cikk (2) és (3) bekezdése), valamint egy választható mentességről (a 8. cikk (4) bekezdése). A szóban forgó valamennyi eltérés korlátozott és kimerítő, és megszorítóan kell értelmezni őket. 4. A 8. cikk (2) bekezdésének a) pontja: Kifejezett hozzájárulás Az irányelv 8. cikke (2) bekezdésének a) pontja értelmében: Az (1) bekezdés nem alkalmazható abban az esetben, ha: a) az érintett kifejezett hozzájárulását adta az említett adatok feldolgozásához, kivéve, ha a tagállam joga úgy rendelkezik, hogy az (1) bekezdésben említett tilalom alól nem engedhető kivétel az érintett hozzájárulásával sem. a) Az érzékeny adatok feldolgozását tehát indokolhatja, ha az érintett hozzájárulását adta. 10 Amint azt a munkacsoport előző két, WP12 11 és WP munkadokumentumában jelezte, fontos körülmény, hogy a beleegyezés csak akkor érvényes, ha az irányelv 2. cikke h) pontjának megfelelően függetlenül a beleegyezés körülményeitől az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása. aa) A hozzájárulást önkéntesen kell adni: Az önkéntes hozzájárulás szellemi képességeik teljes birtokában lévő egyének minden társadalmi, gazdasági, pszichológiai vagy egyéb kényszer alkalmazása nélkül hozott önkéntes döntését 10 Azáltal, hogy valaki beleegyezik bizonyos orvosi kezelés elvégzésébe, még nem adja automatikusan a 2. cikk h) pontja szerinti hozzájárulását az adott kezelés során összegyűjtött személyes adatok feldolgozásához (különösen nem nyilvánosságra hozatalához vagy továbbításához). 11 A 29. cikk alapján létrehozott munkacsoport által készített Munkadokumentum: A személyes adatok továbbítása harmadik országokba: Az európai uniós adatvédelmi irányelv 25. és 26. cikkének alkalmazása (WP 12, július 24.). 12 A 29. cikk alapján létrehozott munkacsoport által készített Munkadokumentum az október 24-i, 95/46/EK irányelv 26. cikke (1) bekezdésének közös értelmezéséről (WP 114, november 25.). 8 / 24

9 jelenti. Nem tekinthető önkéntes hozzájárulásnak az, ha valaki egy adott orvosi helyzetben azért adja beleegyezését, mert a kezelés megtagadásával vagy alacsonyabb szintű kezeléssel fenyegetik meg. Nem tekinthető érvényesnek a hozzájárulás, ha az érintettnek nem volt valódi lehetősége a választásra, illetve ha kész tények elé állították. A 29. cikk alapján létrehozott munkacsoport úgy véli, amikor az orvosi helyzet szükséges és elkerülhetetlen velejárója, hogy egy egészségügyi szakember EHR-rendszerben személyes adatokat dolgozzon fel, félrevezető lehet, ha az illető a beteg hozzájárulásának megszerzésével próbálja a feldolgozás jogosságát indokolni. A hozzájárulásos megoldásra csak azokban az esetekben kellene hagyatkozni, ahol az érintett egyén valóban szabadon választhat, következésképpen a már megadott hozzájárulást, mindenféle hátrányos következmény nélkül, akár vissza is vonhatja. 13. bb) A hozzájárulásnak konkrétnak kell lennie: A konkrét hozzájárulásnak a tervezett orvosi adatfeldolgozás egy jól körülhatárolt, konkrét helyzetre kell vonatkoznia. Következésképpen az érintett általános beleegyezése, hogy például orvosi adatait egy EHR-rendszerben összegyűjtsék és múltbeli és jövőbeli orvosi adatait ezt követően a kezelésben érintett egészségügyi szakembereknek továbbítsák, nem meríti ki az irányelv 2. cikkének h) pontjában meghatározott hozzájárulás fogalmát. cc) A hozzájárulást tájékozottan kell adni: A tájékozott hozzájárulás az érintettnek az adott cselekvéssel kapcsolatos tények és következmények értékelésén és megértésén alapuló hozzájárulását jelenti. Az érintett egyénnek világos és érthető módon, pontos és teljes körű tájékoztatást kell adni valamennyi, különösen az irányelv 10. és 11. cikkében meghatározott releváns kérdésről, például a feldolgozott adatok természetéről, a feldolgozás céljáról, a lehetséges adattovábbítás címzettjeiről, valamint az érintettek jogairól. Ide tartozik még annak tudatosítása is, hogy milyen következményei lehetnek, ha valaki nem járul hozzá a szóban forgó adatfeldolgozáshoz. b) Az irányelv 7. cikkének rendelkezéseivel ellentétben az érzékeny adatok esetében, következésképpen az EHR-rendszereknél is, a hozzájárulásnak kifejezettnek kell lenni. Nem meríti ki a kifejezett fogalmát, ha csak közlik az illetővel az adatfeldolgozásból való kimaradás lehetőségét. Az általános meghatározással összhangban, miszerint a hozzájárulás szándéknyilatkozatot feltételez, a kifejezett jelleget különösen az adatok érzékenységére kell vonatkoztatni. Az érintettnek tudatában kell lennie, hogy különleges védelemről mond le. Írásbeli hozzájárulás azonban nem szükséges. c) A 29. cikk alapján létrehozott munkacsoport azt is megjegyzi, hogy helyenként gyakorlati nehézségek miatt bonyolult megszerezni az érintett hozzájárulását, különösen amikor az adatkezelő és az érintettek nem állnak közvetlen kapcsolatban egymással. Bármilyen nehézség merül is fel, az adatkezelőnek minden esetben tudnia kell bizonyítani, hogy minden érintett félreértést kizáróan megadta a hozzájárulást, és hogy ezt a kifejezett hozzájárulást megfelelően pontos információk alapján adták. d) A 7. cikkel ellentétben a 8. cikk (2) bekezdésének a) pontja elismeri azt is, hogy előfordulhatnak olyan esetek, amikor még az érintett kifejezett hozzájárulása sem 13 Lásd még a 29. cikk alapján létrehozott munkacsoport által készített 8/2001 vélemény a személyes adatok feldolgozásáról a foglalkoztatás kontextusában című dokumentumot (WP 84, 10. pont). 9 / 24

10 mentesíthet az érzékeny adatok feldolgozásának tilalma alól. A tagállamok szabadon dönthetnek, kívánják-e és ha igen, hogyan az ilyen eseteket részletesen szabályozni. 5. A 8. cikk (2) bekezdésének c) pontja: az érintett létfontosságú érdekei Amennyiben az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni, indokolható az érzékeny személyes adatok feldolgozásának jogossága azzal, hogy az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges. Az adatfeldolgozásnak az érintett vagy más személy alapvető egyéni érdekeihez kell kapcsolódnia, és egészségügyi összefüggésben életmentő kezeléshez kell szükségesnek lennie olyan helyzetekben, amikor az érintett nem képes akaratát kinyilvánítani. Ennek megfelelően a fenti kivételt csak a kezelések kis hányadánál lehet alkalmazni, a személyes orvosi adatok olyan feldolgozására pedig egyáltalán nem, amelynek célja nem az érintett kezelése például csak a távoli jövőben eredményeket hozó, általános orvosi kutatás. 14 Tegyük fel például, hogy az érintett egy balesetet követően eszméletét vesztette, ezért bár szükséges lenne képtelen hozzájárulását adni az ismert allergiákra vonatkozó adatszolgáltatáshoz. Az EHR-rendszerekre értelmezve a fenti rendelkezés biztosítaná az egészségügyi szakemberek számára az EHR-rendszerben tárolt információkhoz való hozzáférést, hogy visszakereshessék az érintett ismert allergiáira vonatkozó részleteket, mivel ez a kezelés megválasztása szempontjából döntő jelentőségű lehet. 6. A 8. cikk (3) bekezdése: (orvosi) adatok egészségügyi szakemberek általi feldolgozása A 8. cikk (3) bekezdése három feltétel együttes teljesülése esetén teszi lehetővé az érzékeny személyes adatok feldolgozását: ha az érzékeny személyes adatok feldolgozása szükséges, ha megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy feldolgozás alkalmazása vagy egészségügyi szolgáltatások igazgatása céljából történik, és ha a szóban forgó személyes adatokat a nemzeti jog vagy az illetékes nemzeti testületek által meghatározott szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy azzal egyenértékű titoktartási kötelezettség alá eső más személy dolgozza fel. a) Ez az eltérés csak a személyes adatok konkrét céllal, vagyis megelőző, diagnosztikai, gyógyászati vagy utógondozási jellegű egészségügyi szolgáltatások nyújtása, illetve az említett egészségügyi szolgáltatások igazgatása például számlázás, könyvelés vagy statisztika érdekében történő felhasználására vonatkozik. Nem tartozik ide az adatok olyan további feldolgozása, amely nem közvetlenül szükséges az említett szolgáltatások nyújtásához ilyen például az orvosi kutatás, a költségeknek egy betegbiztosító általi utólagos visszatérítése, illetve a kártérítési igények rendezése. Ugyanígy a 8. cikk (3) bekezdésének alkalmazási körén kívül esnek bizonyos egyéb, például a közegészségügy és szociális védelem területén végzett feldolgozási műveletek is, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek amint ezeket az irányelv (34) preambulumbekezdése is, a 8. cikk (4) bekezdésére utalva, említi. 14 A 26. cikk (1) bekezdésének e) pontjában lefektetett hasonló, az Európai Unión kívüli országokba irányuló adattovábbításra vonatkozó rendelkezés értelmezéséhez lásd a 29. cikk alapján létrehozott munkacsoport Munkadokumentum az október 24-i 95/46/EK irányelv 26. cikke (1) bekezdésének közös értelmezéséről szóló anyagát, WP 114, (2005. november 25.). 10 / 24

11 b) A 8. cikk (3) bekezdése alapján végzett személyesadat-feldolgozásnak ezen túlmenően az a) pontban lefektetett különleges célok szempontjából szükségesnek kell lennie. A munkacsoport hangsúlyozza: ez az EHR-rendszerek tekintetében azt jelenti, hogy személyes adatokat csak teljes mértékben indokolt esetekben lehet az EHR-rendszerekbe felvenni; az, hogy a szóban forgó személyes adatok megléte az EHR-rendszerben csupán hasznos lehet, még nem elégséges indok. c) A 8. cikk (3) bekezdésében lefektetett harmadik feltétel, hogy az érzékeny személyes adatokat szakmai (orvosi) titoktartási kötelezettség vagy azzal egyenértékű titoktartási kötelezettség alá eső egészségügyi szakember vagy más alkalmazott dolgozza fel. Az orvosi szakma titoktartásra vonatkozó erkölcsi követelményét először a hippokratészi eskü 15 fektette le, majd később az Orvosi Világszövetség genfi nyilatkozata (1948) is megerősítette. E kötelezettség az egészségügyi szakemberek által a betegek kezelése során összegyűjtött információk védelmére vonatkozik. Az ilyen információkat csak a kezelési szerződés határain belül szabad felhasználni. Ez a titoktartáson alapuló kapcsolat kizár mindenféle harmadik személyt, legyen az akár más egészségügyi szakember, kivéve ha a beteg beleegyezik, illetve különösen ha törvény előírja, hogy adatait továbbadják. A munkacsoport rámutat, hogy a különleges szakmai titoktartási kötelezettséget vagy a tagállamok nemzeti jogában, vagy pedig az illetékes, a szakmára nézve kötelező szabályok elfogadására felhatalmazott országos szakmai testületeknek kell megállapítani. A szakmai titoktartási kötelezettségre vonatkozó nemzeti szabályoknak rendelkezniük kell a szabályszegés esetén alkalmazandó hatékony szankciókról is. Az irányelv szerint abban az esetben, ha szükségessé válna, hogy nem egészségügyi dolgozó dolgozza fel az említett érzékeny személyes adatokat, őket is legalább ugyanilyen szintű titoktartást és védelmet biztosító szabályok betartására kell kötelezni. E szabályoknak különösen tartalmazniuk kell azt a kötelezettséget, hogy az adatokat csak a 8. cikk (3) bekezdésében említett célokra használják fel. A betegek kezeléséért közvetlenül felelős egészségügyi szakembereket általában kötelezi a jog, hogy az általuk végzett orvosi kezeléseket (beavatkozások, felírt gyógyszerek stb.) a betegnyilvántartásban dokumentálják. Az egészségügyi szakemberek szakmai titoktartási kötelezettségére vonatkozó számos, már létező jogi rendelkezésnek megfelelően a betegnyilvántartások vezetése és felhasználása hagyományosan a beteg és a beteg által felkeresett egészségügyi szakember/egészségügyi intézmény közötti kétoldalú kapcsolatra korlátozódik. d) Mivel az irányelv 8. cikkének (3) bekezdése az érzékeny adatok feldolgozásának általános tilalma alóli kivétel, ezt az kivételt megszorítóan kell értelmezni. e) Amennyiben felmerülne a kérdés, hogy az irányelv 8. cikkének (3) bekezdése vajon egyedüli jogalapként szolgálhat-e a személyes adatok EHR-rendszerekben történő feldolgozására, a 29. cikk alapján létrehozott munkacsoport azon a véleményen van, hogy a 8. cikk (3) bekezdése az orvosi adatoknak szigorúan csak az ott említett orvosi és egészségügyi célú feldolgozására vonatkozik, és szigorúan csak azzal feltétellel, hogy a feldolgozás szükséges, és szakmai vagy azzal egyenértékű titoktartási kötelezettség alá eső egészségügyi szakember, illetve más személy végzi. Amennyiben a személyes adatok EHR-rendszerben történő feldolgozása bármilyen módon túllép a fent említett célokon, illetve az említett feltételek nem teljesülnek, a 8. cikk (3) bekezdése nem szolgálhat egyedüli jogalapul a szóban forgó személyes adatok feldolgozásához. 15 Amit kezelés közben látok, vagy hallok akár kezelésen kívül is a társadalmi érintkezésben nem fogom kifecsegni, hanem megőrzöm. (Forrás: 11 / 24

12 A 29. cikk alapján létrehozott munkacsoport kénytelen azonban felhívni a figyelmet, hogy az EHR-rendszerek még az összes fenti előfeltétel teljesülése esetén is újfajta kockázati tényezőt vetnek fel, és ennek ellensúlyozása további új garanciákat tesz szükségessé. Az EHR-rendszerek közvetlen hozzáférést biztosítanak egy, konkrét személyeken életük során elvégzett orvosi kezelésekre vonatkozó, különböző forrásokból (pl. kórházaktól, egészségügyi szakemberektől) származó, már meglévő dokumentációkból egybeszerkesztett nyilvántartáshoz. Következésképpen az ilyen EHR-rendszerek átlépik az egyes betegek és az egészségügyi szakemberek illetve intézmények közötti közvetlen kapcsolat hagyományos határait. Az orvosi információk EHR-rendszerekben tárolása túlmegy a betegekre vonatkozó egészségügyi nyilvántartások vezetésének és használatának hagyományos módszerein. Ha egy internethez hasonló nyílt hálózathoz több elérési ponton lehet csatlakozni, ez technikai szempontból megnöveli a betegekre vonatkozó adatok elfogásának lehetőségeit. Amint az elektronikus egészségügyi nyilvántartásokat a hálózaton hozzáférhetővé teszik, a hagyományos papíralapú nyilvántartások esetében megfelelő titoktartási jogi normák fenntartása elégtelennek bizonyulhat ahhoz, hogy a betegek magánélethez való jogával kapcsolatos érdekeit megvédhessék. A teljesen kifejlesztett EHR-rendszerek jellegéből adódik tehát, hogy megnyitják vagy megkönnyítik a hozzáférést az orvosi információkhoz és érzékeny személyes adatokhoz. Az EHR-rendszerekkel kapcsolatban jelentős kihívásként vetődik fel, sikerül-e biztosítani, hogy csak a megfelelő egészségügyi szakemberek és csak az érintett ellátásához kapcsolódó törvényes céllal férhessenek hozzá az információkhoz. Mindez az érzékeny személyes adatok feldolgozását még összetettebbé teszi, aminek közvetlen kihatása van az egyének jogaira is. Következésképpen az érzékeny személyes adatok védelme szempontjából az EHR-rendszereket újfajta kockázati tényezőként kell tekinteni. A 8. cikk (3) bekezdésében foglalt fő, hagyományos garancia a célhoz kötöttség és a szigorú szükségesség követelménye mellett az egészségügyi szakemberek titoktartási kötelezettsége a betegeikkel kapcsolatos orvosi adatok vonatkozásában. Ez az EHR-rendszerekkel összefüggésben már nem teljesen alkalmazható, hiszen ezek egyik fő célja, hogy kezelés céljából olyan szakemberek is hozzáférjenek az egészségügyi nyilvántartáshoz, akik a korábbi, az orvosi aktában dokumentált kezelésben nem vettek részt. A 29. cikk alapján létrehozott munkacsoport ezért nincs róla meggyőződve, hogy még ha adatfeldolgozás jogosságának indokolása a 8. cikk (3) bekezdésén alapul is az EHR-rendszerek esetében elégséges védelmet biztosít-e, ha csupán a szakmai titoktartási kötelezettségre hagyatkoznak. Az új kockázati tényező további, feltehetőleg új a 8. cikk (3) bekezdésében előírtakon túlmenő garanciákat követel meg annak érdekében, hogy a személyes adatoknak az EHR-rendszerekkel összefüggésben is megfelelő védelmet lehessen biztosítani. 7. A 8. cikk (4) bekezdése: mentességek alapvető közérdek esetén Az irányelv számos rendelkezése jelentős fokú rugalmasságot biztosít annak érdekében, hogy egyrészről az érintett jogainak védelme, másrészről az adatkezelők és harmadik felek jogos érdekei, illetve esetleg fennálló közérdekek közötti megfelelő egyensúlyt biztosítani lehessen. Az irányelv 8. cikkének (4) bekezdése lehetővé teszi a tagállamoknak, hogy ennél nagyobb mértékben is eltérjenek a különleges (érzékeny) kategóriába tartozó adatok feldolgozásának tilalmától: Megfelelő garanciák nyújtása mellett a tagállamok, alapvető közérdekből, nemzeti jogszabályaikban vagy a felügyelő hatóság határozatában további mentességeket állapíthatnak meg a (2) bekezdésben foglaltakon kívül. 12 / 24

13 A (34) preambulumbekezdés a következőképpen szól: (34) mivel ha az fontos közérdek alapján indokolt, a tagállamok eltérhetnek a különleges adatok feldolgozásának tilalmától, amennyiben ezt fontos közérdekű okok indokolják olyan területeken, mint a közegészségügy, vagy a szociális védelem elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek, a tudományos kutatások és állami statisztikai tevékenységek körében; mivel mindazonáltal a tagállamokra hárul a meghatározott megfelelő biztosítékok garantálása az egyének alapvető jogainak és magánéletének védelme érdekében; a) Következésképpen ha valamely tagállamnak esetleg szándékában áll az említett lehetőséggel élni, a mentességet jogszabályban, illetve a felügyelő hatóság határozatában kell rögzíteni (különleges jogalap). b) Az érzékeny adatok ilyen feldolgozását csak alapvető közérdek indokolhatja. Az irányelv (34) preambulumbekezdése példákat is felsorol arra, hogy különösen milyen területeken merülhet fel fontos közérdek. Ilyen terület többek között a közegészségügy és a társadalombiztosítás is, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások minőségét és költséghatékonyságát biztosítani lehessen. A tagállamoknak minden egyes esetben, a mentességet kapó adatfeldolgozás teljes körére vonatkozóan fel kell mutatni az alapvető közérdeket, az adatfeldolgozásnak pedig ezen alapvető közérdek szempontjából szükségesnek kell lennie. A kérdéses intézkedéseknek arányosnak kell lenni, azaz nem állhatnak rendelkezésre kevésbé kényszerítő intézkedések. A magánélethez és családi élethez való jogba történő bármilyen beavatkozás továbbá csak akkor lehet jogszerű, ha összhangban van a az emberi jogokról szóló európai egyezmény 8. cikkével, és a strasbourgi ítélkezési gyakorlat alapján értelmezik: a törvényben meghatározott módon kell történjen, és egy demokratikus társadalomban közérdekű célból szükségesnek kell lennie. A strasbourgi ítélkezési gyakorlat számos alkalommal felhívta a figyelmet arra, hogy a beavatkozást lehetővé tévő törvénynek kellő egyértelműséggel meg kell jelölnie az illetékes hatóságokra ruházott mérlegelési jogkör terjedelmét és gyakorlásának módját tekintettel a szóban forgó intézkedés jogszerű céljára ahhoz, hogy megfelelő védelmet biztosítson az egyén számára az önkényes beavatkozással szemben. c) Ezzel összefüggésben a tagállamok az egyének alapvető jogainak és magánéletének védelme érdekében kötelesek meghatározott, megfelelő garanciákat biztosítani. d) Amennyiben egy tagállam él a 8. cikk (4) bekezdésében lefektetett lehetőséggel, erről az irányelv 8. cikkének (6) bekezdése értelmében értesítenie kell a Bizottságot. A 29. cikk alapján létrehozott munkacsoport az EHR-rendszerekkel összefüggésben megjegyzi, hogy az EHR-rendszerek bevezetésének indokolásakor is (vö. a fenti I. résszel) hivatkozhatnak alapvető közérdekre. Egyes tagállamokban az egészség védelméhez való jogot az alkotmány rögzíti. Ezzel hangsúlyozzák, milyen nagy jelentőséget tulajdonítanak az egészségvédelem megvalósításához szükséges valamennyi megfelelő eszköznek. Ilyen jogi környezetben az EHR-rendszerek nyilván alapvető közérdeken alapulnának, lévén olyan eszközök, amelyeket alapvetően a megfelelő betegellátás biztosításának céljára szántak. 13 / 24

14 Az irányelv 8. cikkének (4) bekezdése tehát szolgálhat az EHR-rendszerek esetében jogalapul, feltéve hogy az ott említett valamennyi feltétel teljesül. Rendelkezni kell különösen olyan garanciákról, amelyek az EHR-rendszerekben a személyes adatok megfelelő védelmét biztosítják. A munkacsoport a fent említett lehetséges garanciákat, valamint az EHR-rendszerek megfelelő jogi keretét a következő részben kívánja megvitatni. III. Gondolatok az EHR-rendszerek megfelelő jogi keretéhez A 29. cikk alapján létrehozott munkacsoport az alábbiakban részletezi, melyek azok a témák, ahol a betegek adatvédelmi jogainak biztosítása érdekében különösen nagy szükség van az EHR-rendszereken belüli különleges garanciákra 16. Az EHR-rendszerek várható hatására és e rendszerek átláthatóságának különleges szükségességére tekintettel a garanciákat lehetőleg külön, átfogó jogi keretben kellene meghatározni. 1. Az önrendelkezés tiszteletben tartása A beteg önrendelkezésének azzal kapcsolatban, hogy adatait mikor és hogyan használják fel, egyik fő garanciaként még akkor is jelentős szerepet kellene játszania, ha valamely EHR-rendszer nem teljes egészében a hozzájárulásra mint jogalapra épül (8. cikk (2) bekezdés). 17 a) A beleegyezés a megfelelő garanciákkal összefüggésben másként működik, mint az irányelv 8. cikkének (2) bekezdése szerinti hozzájárulás, tehát nem szükséges a 8. cikk (2) bekezdése szerinti valamennyi követelménynek megfelelnie: például míg az egészségi állapotra vonatkozó adatfeldolgozás jogalapjául szolgáló hozzájárulásnak 8. cikk (2) bekezdése értelmében mindig kifejezettnek kell lenni, a garanciaként szolgáló beleegyezés nem feltétlenül csak a részvételi szándék kinyilvánítása lehet az önrendelkezés a helyzet függvényében a kimaradás lehetősége, illetve a megtagadás joga formájában is gyakorolható. b) Az egészségi állapotra vonatkozó különféle információkban rejlő, változó mértékű károkozási lehetőségek fényében el kellene különíteni a felhasználás eseteinek különböző kategóriáit annak megfelelően, hogy az önrendelkezés gyakorlásának lehetőségeivel milyen mértékben lehet élni: Az EHR-rendszereket bevezető jogi rendelkezésekben szabályként le kellene fektetni, hogy az EHR-rendszerekbe történő adatbevitelt, illetve az ilyen adatokhoz való hozzáférést a különösen a fokozott kockázatokat rejtő, például pszichiátriai vagy abortuszra vonatkozó adatok 18 feldolgozása esetében előzetes hozzájáruláshoz ( opt-in ), illetve a magánélet 16 A személyes adatok jogszerű feldolgozásának a 95/46/EK irányelvben lefektetett általános követelményeit a dokumentumnak ebben a részében nem ismételjük meg, hiszen mindenképpen alkalmazni kell őket. Ez a dokumentum csak az EHR-rendszerekben végzett adatfeldolgozás további, különleges követelményeit tárgyalja, amelyek előreláthatólag az EHR-rendszerek által okozott, magánéletet érintő kockázati tényezők ellensúlyozásához szükségesek. 17 Egyes jogrendszerekben nem csak az adatvédelemhez való alapvető jog létezik, hanem az optimális egészségvédelemhez való alkotmányos jog is: ebből a követelményből eredően az optimális kezelés biztosítása érdekében egyes tagállamok az egészségügyi szakemberek számára kötelezően biztosítják a hozzáférést az EHR-rendszeren keresztül rendelkezésre álló adatokhoz. Ez elfogadhatónak látszik mindaddig, amíg a szükséges egyensúly elérhető egyéb garanciák hangsúlyozásával, például részletes, a jogszerű hozzáférés körülményeire és a hozzáférési jogokkal való visszaélés esetén alkalmazott szigorú következményekre vonatkozó szabályozással. 18 Lehetséges volna különleges eszközök, például zárt boríték alkalmazása, amelyet csak az érintett együttműködése esetén nyithatnának ki. 14 / 24

15 védelmét kevésbé érintő adatok 19 esetében a kimaradás ( opt-out ) lehetőségének biztosításához kell kötni. Ezáltal garantálni lehet egyrészt a megfelelő mértékű védelmet, másrészt a szükséges megvalósíthatóságot és rugalmasságot. c) Elvben a betegnek, amennyiben így dönt, mindig biztosítani kellene a lehetőséget, hogy megakadályozza a rá vonatkozó, egy bizonyos egészségügyi szakember által a kezelés során rögzített orvosi adatok közlését más egészségügyi szakemberekkel. Érdemes továbbá megfontolni azt is, hogyan kellene az EHR-rendszerekben az információkhoz való hozzáférés letiltását kezelni: vajon elfedjék a letiltást, hogy ne legyen kimutatható, vagy bizonyos esetekben megjelenjen egy üzenet, miszerint létezik további információ, de csak különleges feltételek teljesülése esetén lehet hozzáférni. d) Abból a feltevésből kiindulva, hogy senkit nem lehet az EHR-rendszerben való részvételre kényszeríteni, az EHR-rendszereket bevezető jogi rendelkezésekben foglalkozni kell az EHR-rendszerből történő teljes kivonulás lehetőségének kérdésével is. Szabályokat kell lefektetni arra vonatkozóan, hogy ez az adatok teljes törlésének, vagy csupán az adatokhoz való további hozzáférés megakadályozásának kötelezettségét vonja maga után; e döntést az érintettekre is lehetne bízni. 2. A betegek és egészségügyi szakemberek azonosítása és hitelesítése a) A betegek megbízható azonosítása 20 az EHR-rendszerekben döntő fontosságú kérdés. Számos esetben végzetes következményekkel járhat, ha egy beteg helytelen azonosítása folytán nem a megfelelő személy egészségi állapotára vonatkozó adatokat használják fel. Az intelligens kártya alapú egészségbiztosítási kártyák jelentős mértékben hozzá tudnának járulni a betegek megfelelő elektronikus azonosításához és hitelesítéséhez 21, amikor hozzá szeretnének férni az EHR-rendszerben tárolt adataikhoz. b) Az egészségi állapotra vonatkozó adatok különleges szenzitivitása ezenfelül azt is megköveteli, hogy jogosulatlan személyek ne férhessenek hozzájuk. A hozzáférés megfelelő ellenőrzése a megbízható azonosítás 22 és hitelesítés függvénye. Szükséges tehát a felhasználókat egyedi azonosítókkal ellátni, és megfelelően hitelesíteni 23. Mivel az EHR-rendszerek egyik fő előnye, hogy elektronikus kapcsolattal időtől és helytől függetlenül elérhetőek, ki kell alakítani a megbízható elektronikus azonosítás és hitelesítés gyakorlati módszereit. A jelszavas hitelesítés ismert kockázatainak elkerülése érdekében legalábbis hosszú távon az elektronikus aláírás általi hitelesítéssel kellene tervezni, amelyet a jogosult felhasználóknak a megfelelő hivatalos azonosításával együtt, például intelligens kártyán bocsátanának azok rendelkezésére. 19 Ahhoz azonban, hogy kimaradási lehetőségek megfelelő garanciákként működhessenek, a beteg megfelelő tájékoztatása szükséges. 20 Azonosítás alatt azt értjük, hogy egy személyt különböző azonosítók például név, születési idő, lakcím stb. segítségével meghatároznak; e meghatározást esetünkben hivatalosan is igazolni kell születési anyakönyvi kivonattal, útlevéllel vagy egészségbiztosítási kártyával stb. 21 Hitelesítés alatt annak bizonyítását értjük, hogy egy bizonyos személyazonosságot állító személy valóban az, akinek állítja magát. Ezt általában hivatalos, személyazonosságot igazoló, fényképes dokumentum (pl. útlevél) felmutatásával, illetve az elektronika világában elektronikus aláírás használatával érik el. 22 A megbízható azonosítás során nem szabad meghatározott garanciák nélkül olyan azonosító számokat felhasználni, amelyeket egyéb összefüggésekben is széles körben alkalmaznak, mert csak így lehet elkerülni, hogy a különböző rendszerek könnyen összekapcsolhatóak legyenek (lásd az irányelv 8. cikkének (7) bekezdését). 23 Franciaországban az első, elindítás előtt álló EHR-kísérletek egy specifikus azonosítóra épülnek; még nem biztos, hogy az EHR végleges létrehozásánál is ezt a rendszert tartják-e meg. 15 / 24

16 Ki kell majd az egészségügyi szakemberek számára is fejleszteni egy olyan azonosítási és hitelesítési rendszert, amely nem csak a személyazonosságot igazolja, hanem azt is, hogy az egészségügyi szakember milyen minőségben (pl. pszichiáterként vagy ápolóként) jár el az elektronikus rendszerben. 3. Az EHR-rendszerhez az adatokba való betekintés, illetve adatbeírás céljából történő hozzáférés engedélyezése b) A hozzáférésre vonatkozó általános garanciák: Az EHR-rendszerekben tárolt adatok bizalmas orvosi feljegyzések. Az EHR-rendszerekhez való hozzáférésre vonatkozó alapelv tehát az, hogy az érintett betegen kívül csak azok az egészségügyi szakemberek (illetve az egészségügyi intézmények azon meghatalmazott alkalmazottjai) férhessenek hozzá az adatokhoz, akik az adott pillanatban a beteg kezelésével foglalkoznak. A beteg és az EHR-nyilvántartáshoz hozzáférni kívánó egészségügyi szakember között valóságos, folyamatban lévő kezelési kapcsolatnak kell fennállni. Szükséges azt is szabályozni, hogy az egészségügyi szakemberek/intézmények egyes kategóriái milyen szinteken férhetnek hozzá az EHR-rendszerben tárolt adatokhoz (háziorvosok, kórházi orvosok, gyógyszerészek, ápolók, hátgerincmasszőrök?, pszichológusok? családterapeuták? stb.). Erősíteni lehet az adatvédelmet ezen túl moduláris hozzáférési jogok megteremtésével, azaz az EHR-rendszerben tárolt adatok különböző kategóriáinak kialakításával is; ezáltal a hozzáférést az egészségügyi szakemberek/intézmények meghatározott kategóriáira korlátozhatnák 24. A moduláris felépítésű EHR-rendszer előnyeit részletesebben a 6. pont tárgyalja. b) A hozzáférésre vonatkozó különleges garanciák a beteg bevonásával: Amennyiben megvalósítható és lehetséges azaz a beteg jelen van és cselekvőképes, a betegnek biztosítani kellene a lehetőséget, hogy kívánsága szerint megakadályozhassa a hozzáférést a rá vonatkozó, EHR-rendszerben tárolt adatokhoz. Ennek előfeltétele, hogy a beteget előzetesen tájékoztassák arról, ki, mikor és miért akarhat hozzáférni a rá vonatkozó adatokhoz, valamint arról, hogy milyen következményekkel járhat, ha a hozzáférést nem engedélyezi. Eljárásokat kell kidolgozni annak elkerülésére, hogy a beteg indokolatlan pszichológiai nyomás alatt adja hozzájárulását a rá vonatkozó adatokhoz való hozzáféréshez. Azokban az esetekben, amikor szükség van bizonyítékra, hogy a beteg beleegyezését adta az EHR-rendszerben tárolt, rá vonatkozó adatokhoz való hozzáféréshez, nélkülözhetetlenek a bizonyítás megbízható eszközei, például a betegre vonatkozó vezérjel (token) elektronikus ellenőrzése, illetve amennyiben mint eszköz már általánosan rendelkezésre áll a beteg elektronikus aláírása stb. Az említett bizonyítékok bemutatását egy esetleges későbbi vizsgálat céljára elektronikusan dokumentálni kell. Szabályokat kell kidolgozni azzal kapcsolatban is, vajon az érintett kérheti-e, hogy bizonyos adatait ne vigyék be a rá vonatkozó aktába. Lehetséges volna különleges eszközök, például zárt boríték alkalmazása, amelyet csak az érintett kifejezett hozzájárulása esetén nyithatnának ki. c) A érintettek hozzáférése a rájuk vonatkozó, EHR-rendszerben tárolt adatokhoz: 24 Például a pszichiátriai kezelésre vonatkozó adatokhoz való hozzáférést első szinten korlátozhatnák a pszichiáterekre; illetve hozzáférhetővé tehetnének egy külön gyógyszerezési modult a gyógyszerészek számára is, akik viszont az EHR-rendszer többi részéhez nem férhetnének hozzá. 16 / 24

17 Hogy a betegeknek biztosítsanak-e betekintés céljából közvetlen (elektronikus) hozzáférési lehetőséget a fenti adatokhoz, az egészségügyben megvalósíthatóság kérdése. A hozzáférési jog adatvédelmi szempontból, például a 95/46/EK irányelv 12. cikke szerint, nem feltétlenül jelent mindig közvetlen hozzáférést. Mindazonáltal a közvetlen hozzáférés jelentős mértékben hozzájárulhat az EHR-rendszerekbe vetett bizalom kialakításához. Annak megakadályozása érdekében, hogy jogosulatlan személyek is hozzáférhessenek a rendszerhez, a közvetlen hozzáférés biztosításának adatvédelmi szempontból előfeltétele lenne a biztonságos elektronikus azonosítás és hitelesítés. Az EHR-rendszerekre vonatkozó rendelkezésekben szabályozni kellene azt is, vajon a betegek vihessenek-e be adatokat az EHR-rendszerben tárolt aktájukba, vagy pedig egy egészségügyi szakemberrel vitessék-e be őket. Az adatok pontosságával kapcsolatos felelősség tekintetében esetlegesen felmerülő problémákra valószínűleg megoldás lehet az, ha az EHR-nyilvántartásba bevitt tételek szerzőjét felfedő naplózási szabályok megfelelő átláthatóságot biztosítanak. Megfontolandó lehetőség az is, hogy a beírás lehetőségét az EHR-nyilvántartáson belül egy meghatározott modulra korlátozzák. Ezzel összefüggésben figyelembe kell venni a krónikus betegek, idősek, valamint a fogyatékkal élők képességeit és különleges igényeit is. 4. Az EHR-rendszerek egyéb célú felhasználása Az, hogy a polgárok elfogadják-e az EHR-rendszereket, a polgároknak a rendszer titkosságába vetett bizalmán fog múlni. Ahhoz, hogy EHR-rendszerekben tárolt adatokhoz való hozzáférés jogszerű lehessen, olyan okból kell történnie, amely megfelel az EHR-rendszer fő céljának, azaz a jobb tájékoztatás révén nyújtott sikeres orvosi kezelésnek. Következésképpen a munkacsoport azon a véleményen van, hogy az EHR-rendszerekben tárolt orvosi adatokhoz való, a 8. cikk (3) bekezdésében említett céloktól eltérő célú hozzáférést alapvetően meg kellene tiltani. Ennek következményeként például nem férhetnének hozzá az EHR-rendszerekhez azok az orvosok, akik harmadik felek szakértőjeként például magán biztosítótársaságok megbízásából, peres ügyekben, nyugdíjsegély folyósítása kapcsán, az érintett munkáltatója megbízásából stb. járnak el. A fent említett szabályok megsértésének hatásos ellensúlyozása érdekében emellett ki kellene dolgozni az egészségügyi szakemberekre alkalmazandó fegyelmi jogszabályokat is. Különleges intézkedéseket kell hozni annak megakadályozása céljából, hogy a betegek jogellenes kényszer hatására például leendő munkaadójuk vagy egy magán biztosítótársaság kérésére közöljék az EHR-rendszerben tárolt adataikat. Alapvető fontosságú a betegek tájékoztatása annak érdekében, hogy ne teljesítsék az ilyen, az adatvédelmi joggal ellentétes adatszolgáltatásra vonatkozó kéréseket. Elképzelhető technikai eszközök alkalmazása is, például különleges követelmények meghatározása az EHR-rendszerben tárolt összes adat kinyomtatásához stb. Az EHR-rendszerben tárolt adatok feldolgozása orvosi tudományos kutatás és állami statisztikák céljából a fent említett szabály alóli kivételként megengedhető, amennyiben a kivételek mind összhangban vannak az irányelvvel (vö. a 8. cikk (4) bekezdésével és a hozzá kapcsolódó (34) preambulumbekezdéssel); következésképpen jogszabályban kell rögzíteni ezen előzetesen meghatározott, konkrét célok érdekében és különleges körülmények fennállása esetén alkalmazott kivételeket, hogy az egyének alapvető jogainak és magánéletének védelme érdekében az arányosságot biztosítani lehessen ( meghatározott, megfelelő garanciák ). 17 / 24

18 Egyébként az EHR-rendszerekből származó adatokat amennyiben megvalósítható és lehetséges másfajta (pl. statisztikai vagy minőségellenőrzési) célokra csak anonimizált formában, vagy legalábbis biztonságosan álnevesítve 25 szabadna felhasználni. 5. Az EHR-rendszerek szervezeti felépítése Amikor az adatok EHR-rendszerekben történő tárolásának különböző szervezeti alternatíváit vitatják meg, általában az alábbi fő alternatívák kerülnek említésre: olyan EHR-rendszer, amely a betegein elvégzett kezelésekről nyilvántartás vezetésére kötelezett egészségügyi szakember által vezetett orvosi nyilvántartáshoz biztosít hozzáférést ezt gyakran decentralizált tárolásnak nevezik; Olyan, egységes tároló rendszerként működő EHR-rendszer, amelybe az egészségügyi szakemberek saját nyilvántartásukat átviszik; ezt gyakran központosított tárolásnak nevezik; harmadik alternatívaként engedélyezni lehetne az érintetteknek, hogy a rájuk vonatkozó orvosi nyilvántartások gazdái legyenek, azaz felajánlani, hogy egy speciális elektronikus szolgáltatás keretében a betegek maguk ellenőrizhessék a rájuk vonatkozó orvosi adatok tárolását ideértve akár a jogot annak eldöntésére is, hogy mi kerülhet be az EHR-rendszerbe. 26 a) Noha az önrendelkezés szempontjából a harmadik alternatíva (az érintettek által ellenőrzött tárolás) tűnik a legkedvezőbbnek, az ilyen nyilvántartások a pontosság és teljesség tekintetében minőségi problémákat vethetnek fel, amennyiben a rendszerbe épített orvosi szakmai korrekciók híján az érintett egyedül dönt arról, hogy a rá vonatkozó adatok közül melyik kerüljön az EHR-nyilvántartásba. b) A decentralizált tárolásos modell esetében amely csak akkor válik rendszerré, ha megteremtik a megfelelő keresési útvonalakat a különböző egészségügyi szolgáltatók adatnyilvántartásának jelenlegi felépítése változatlan maradna. A keresőrendszer minőségétől függ, hogy ebben a rendszerben milyen mértékben lehet a betegekre vonatkozó adatokat előkeresni. Ebben a szervezeti modellben az egészségügyi szakember/intézmény a kezelője az aktának (pontosabban az EHR-nyilvántartás általa létrehozott részének). Mivel e modellrendszer felépítése igen összetett, szükséges lehet egy központi szervet kinevezni, amely az egész rendszer irányításáért és ellenőrzéséért, valamint annak biztosításáért felelne, hogy a rendszer az adatvédelemmel összeegyeztethető módon működjön. Hasznos lehet az is, ha az érintettek adatvédelmi problémáikkal egy központi szervhez fordulhatnak, és nem kell számtalan adatkezelő között keresgélniük. c) Az úgynevezett központosított tárolás fő előnye vélhetőleg a magasabb technikai biztonság és elérhetőség (24 órás hozzáférés) lenne, amely nem könnyen garantálható, ha egy EHR-rendszer túlnyúlik a kórházak keretein. Az egész rendszer egyetlen adatkezelő alá tartozik, amely független a nyilvántartásukat részben vagy teljesen a központi rendszernek továbbító egészségügyi szakemberektől/intézményektől. 25 Álnevesítés alatt azt értjük, amikor egyes azonosítókat (például neveket és születési dátumokat stb.) lehetőleg titkosítás útján új megnevezés alá rendelünk annak érdekében, hogy az információ címzettje ne tudja az érintett személyt azonosítani. 26 Ez a jelenleg megvalósítás alatt álló francia modell, amelyben a szolgáltatókat házigazdának ( hébergeurs ) nevezik, helyzetüket pedig egy rendelet szabályozza, amelyet a francia Országos Informatikai és Szabadságjogi Bizottság (CNIL) előzetes véleményének kikérése után fogadtak el. Összetett jogszabályról van szó, amely a fenti szolgáltatók akkreditálásával kapcsolatos kérdésekre és a rendszerbiztonságra helyezi a hangsúlyt. 18 / 24

19 Adatvédelmi szempontból olyan kifogások merülhetnek fel, hogy egy ilyen típusú rendszer esetében nagyobb a központosított adattárolással való visszaélés lehetősége. A központilag tárolt adatokkal kapcsolatos biztonsági kockázatok legalábbis jelentős fokú ellensúlyozására különleges rendelkezéseket és biztonsági intézkedéseket (pl. rejtjelezett tárolás) lehetne megállapítani. A rendszer titkosságáért való felelősséget azonban kivennék az egészségügyi szakemberek kezéből, ami hatással lehet a betegeknek az ilyen rendszerekbe vetett bizalmának mértékére. Az, hogy a betegek milyen mértékben befolyásolhatják a rájuk vonatkozó EHR-nyilvántartás tartalmát és az adatszolgáltatást, mindkét a decentralizált tárolásos és a központosított tárolásos esetben az adott rendszer kialakításától függ (lásd a 3. rész b) pontját). 6. Az EHR-rendszerekben tárolt adatok kategóriái és megjelenítésük módjai Az EHR-rendszereknek alapvetően az a célja, hogy egy adott személyre vonatkozóan összegyűjtsék az összes, egészségi állapottal kapcsolatos, az illető egészségi állapotára nézve hosszú távon feltehetőleg jelentőséggel bíró adatot annak érdekében, hogy egy jövőbeli kezelés esetére átfogó, lényeges információk álljanak rendelkezésre, a betegeknek pedig jobb esélyei legyenek a sikeres kezelésre. A munkacsoport meglátása szerint ez a következő főbb problémákat vetheti fel: a) Az egészségi állapotra vonatkozó akták teljessége gyakorlatilag lehetetlen, és nem is kívánatos. Az EHR-rendszerekbe csakis a releváns információkat kellene bevinni. Az EHR-rendszerek létesítésekor felmerülő egyik legnehezebb kérdés tehát annak eldöntése, hogy az orvosi adatok mely kategóriáit kellene az EHR-rendszerben összegyűjteni, és ezeket mennyi ideig kellene tárolni 27. Habár e kérdés megválaszolása elsősorban orvosszakértői feladat, adatvédelmi vetületei is vannak: az adatgyűjtés lényegességének és arányosságának elve értelmében az adatok egybeszerkesztésének minden esetben azokra azt adatokra kell korlátozódnia, amelyek az adatfeldolgozás megjelölt célja szempontjából relevánsak és nem túlzott mértékűek (az irányelv 6. cikke (1) bekezdésének c) pontja). Az EHR-rendszerek jogszerűsége tehát attól is függ, sikerül-e megfelelő módon kiválasztani a helyes adatkategóriákat és a helyes időtartamokat, ameddig az EHR-rendszerben az információkat tárolni lehet. b) Az EHR-rendszerben tárolt adatok megjelenítése: Mivel az egészségi állapotra vonatkozó adatoknak egymástól egészen különböző fokú titkosságot igénylő kategóriáit lehet elkülöníteni, általában hasznos lehet egy EHR-rendszeren belül különböző adatmodulokat létrehozni, amelyekhez különböző hozzáférési követelmények társíthatók. Egy védőoltási modulhoz az érintettnek mindig hozzá kellene tudni férnie, és e modult hozzáférhetővé lehetne tenni az egészségügyi szolgáltatásokban dolgozó személyzet széles rétegei számára is; egy gyógyszerezési adatmodulhoz a beteg beleegyezése esetén különleges hozzáférést kaphatnának a gyógyszerészek 28 ; egy sürgősségi adatmodulhoz pedig különleges hozzáférési eszközöket társíthatnának stb. Ésszerű lehet modulokat létrehozni különleges emlékeztető rendszerek céljából is, amelyek automatikusan figyelmeztetnék a beteget a szükséges védőoltásokra, egészségügyi ellenőrzésekre és kezeléseket követő felülvizsgálatokra. 27 Léteznek az adatoknak olyan kategóriái, amelyek a beteg egész életében fontosak lehetnek (pl. allergiák), de olyan adatok is amelyek csak rövid ideig bírnak nagy jelentőséggel, mint például az egyes kezelések össze nem egyeztethetősége. 28 Egy ilyen gyógyszerezési modul az EHR-rendszerben kettős haszonnal járna, hiszen a kezelőorvosnak is lehetőséget biztosítana, hogy egyszerre lássa a beteg által szedett valamennyi gyógyszert. 19 / 24

20 A különlegesen érzékeny adatokat is jobban lehetne védeni azáltal, hogy elkülönített modulokban tárolják őket, amelyekhez különösen szigorú feltételekkel lehetne csak hozzáférni. Ide tartozhatnának például a pszichiátriai kezelésre, AIDS-re vagy abortuszra vonatkozó adatok. Ahelyett, hogy az ilyen adatokat kizárnánk az EHR-rendszerekből ami végzetes hatással lehetne egy jövőbeli kezelés sikerére, különös korlátozásokat kellene beépíteni a rendszerbe az EHR-rendszerekben tárolt ilyen adatokhoz való hozzáférésre vonatkozóan, ideértve a beteg kifejezett hozzájárulását és a különleges technikai korlátokat (pl. zárt borítékok ) is. c) Az EHR-nyilvántartások szerkezetének felépítésekor figyelembe kell venni a visszatérő különleges információigényeket is. Például: előfordulhat, hogy a nemzeti jog szerint a magán biztosítótársaságok jogosultak az egészségügyi nyilvántartásokkal kapcsolatban bizonyos (korlátozott) információkat megkapni, amennyiben erre a biztosított betegekkel szembeni szerződéses kötelezettségeik teljesítésével összefüggésben van szükség. Az, hogy a magán biztosítótársaságok számára hozzáférést biztosítsanak a betegek EHR-rendszerben tárolt adataihoz, elfogadhatatlan. Megoldást jelenthet viszont, ha létrehoznak egy egységesített különleges dokumentációs csomagot, amely szükség esetén kielégíti a biztosító törvényes információs érdekeit, és a beteg által adott felhatalmazás esetén (elektronikusan) továbbítható a magán biztosítótársaság részére. 7. Az egészségügyi adatok nemzetközi cseréje Az EHR-rendszerekben található orvosi adatok elektronikus elérhetősége jelentős mértékben megnövelheti a diagnosztikai és kezelési lehetőségeket azáltal, hogy felhasználhatóvá válik a csak külföldi orvosi intézményekben meglevő orvosi szaktudás is. A diagnosztikai célú, külföldi szakemberekkel folytatott kiegészítő konzultációhoz általában nem szükséges felfedni a beteg személyazonosságát. Ezért, ahol lehetséges, az ilyen adatokat az Európai Unión/Európai Gazdasági Térségen kívüli országokba csak anonimizált vagy legalább álnevesített formában kellene továbbítani. Amennyiben nem áll rendelkezésre az érintettnek a személyes adatok továbbításához való kifejezett hozzájárulása a személyes adatok továbbításához 29, ezáltal elkerülhető lenne a szóban forgó adattovábbításhoz szükséges engedély megszerzése, hiszen a címzett számára nem megállapítható az érintett személyazonossága. Tekintve, hogy az EHR-rendszerekben tárolt személyes adatok fokozott kockázatnak vannak kitéve olyan környezetben, amely nem nyújt megfelelő védelmet, a 29. cikk alapján létrehozott munkacsoport alá kívánja húzni, hogy az EHR-rendszerekből származó adatok feldolgozása és különösen tárolása csak olyan jogrendszerekben engedhető meg, ahol az EU adatvédelmi irányelvet, illetve más, megfelelő adatvédelmi jogi keretet alkalmaznak. Különleges problémát vet fel a klinikai kutatások során előforduló, határokon átnyúló adatáramlás is: a betegekkel közvetlenül foglalkozó kutatócsoportoknak időnként szüksége lehet rá, hogy eredeti, személyhez köthető formában férjenek hozzá az EHR-rendszerben tárolt adatokhoz. A klinikai kutatásból származó adatoknak a szponzorok vagy egyéb, a kutatásban törvényesen részt vevő intézmények részére történő továbbítása során azonban minimális előfeltételként különösen a megfelelő adatvédelmet nem biztosító országokban letelepedett szponzorok esetében mindig meg kell követelni a biztonságos álnevesítést. 29 Azokban az esetekben, amikor a beteg fizikailag képtelen eleget tenni a hozzájárulására irányuló kérésnek (pl. mert kómában van), orvosi adatait az irányelv 26. cikke (1) bekezdésének e) pontja értelmében amennyiben a beteg létfontosságú érdekei megkövetelik mégis továbbíthatnák olyan országokba is, ahol nem megfelelően biztosított az adatvédelem.. 20 / 24