Gróf Tisza István Kórház Módosította: Briczky Gábor Felelős: Briczky Gábor SZABÁLYZAT Ellenőrizte: Dr. Pete László AS0105018 Változat: 7 Lapszám: 73 Dátum: 2013.12.01. Jóváhagyta: Dr. Muraközi Zoltán ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Jelen szabályzat 2013. december 1. napjával lép hatályba a korábban kiadott szabályzat hatályát veszti. A szabályzat mellékleteivel együtt érvényes.
TARTALOMJEGYZÉK 1. Bevezető...5 2. Az adatkezelésre vonatkozó általános információk...6 2.1. A szabályzatban használt rövidítések...6 2.2. Az egészségügyi adatkezelést meghatározó jogszabályi környezet...6 3. Fogalmak...7 4. A Kórház adatkezelési filozófiája...10 4.1. Az Adatkezelési Szabályzat célja...10 4.2. A Szabályzat hatálya...10 4.3. A Szabályzat megismerése és használata...11 4.4. A Szabályzat módosítása...11 5. Az adatkezelési rendszer általános biztonsági előírásai...12 6. Az adatkezelés a kórházban, az adatkezelés céljai...14 6.1. Adatkezelés gyógykezelés céljából...14 6.2. Orvosi titok védelme...15 6.3. Hozzáférés a beteg személyi és egészségügyi adataihoz, dokumentációjához...15 6.4. A gyógykezelés során jelen lévő személyek...16 6.4.1. Jelen lehet továbbá:...16 6.4.2. Ezen túlmenően jelen lehet az,...16 6.4.3. Kórházunkban egészségügyi szakemberképzés céljából...16 6.5. Adattovábbítás az intézményen belül...17 7. Tájékoztatás...18 7.1. A beteg joga a tájékoztatáshoz...18 7.2. Hozzátartozó és más személy tájékoztatása...18 7.3. Egészségügyi dokumentáció...18 7.4. Elhunyt beteg...19 8. Egészségügyi dokumentáció...20 8.1. Adatkezelés közegészségügyi, járványügyi célból...20 8.2. Adatkezelés tudományos kutatási, epidemiológiai vizsgálati, statisztikai célból...21 9. Az adatok biztonsága...22 9.1. Az adatkezelési rendszer környezetének védelme...22 9.2. Az adatkezelés korlátai...22 9.3. Az adatok sérülésének, elvesztésének megelőzésére, illetve a következményeinek felszámolására tervezett intézkedések...23 9.4. Az adatok eltulajdonítása elleni védekezés szabályai...23 9.5. Adatfelvétel...24 9.6. Adatmódosítás...24 9.7. Eljárás az adatok sérülése esetén...24 9.8. Egészségügyi dokumentáció megőrzése...24 9.9. Egészségügyi és személyes adatok megsemmisítése...25 9.10. Diagnosztikai vizsgálatok leletei...25 10. Adattovábbítás az intézményen kívülre...26 10.1. Társadalombiztosítási ellátás és az ellátás finanszírozása...26 10.2. Megnevezett hivatalos szervek...26 10.3. Bűncselekményből eredő sérülés esetén...26 2
10.4. Egyéb célokból...26 10.5. Adatok továbbításának nyilvántartása...27 11. A közérdekű adatok, valamint a közérdekből nyilvános adatok megismerésére irányuló igények és intézésük...29 11.1. A közérdekű adatigénylések teljesítésének eljárási rendje...29 11.2. Az igény benyújtásának helye és módja...29 11.2.1. Szóbeli igények benyújtása...29 11.2.2. Írásbeli igények benyújtása...29 11.3. A benyújtott igények teljesítése...29 11.3.1. Az igények intézése, a titkárság feladata, kötelessége...29 11.3.2. Az adatkezelő, adatfeldolgozó feladata, kötelessége...30 11.3.3. A főigazgató (illetve az általa kijelölt személy) átvett adatokkal kapcsolatos feladata, kötelessége...30 11.3.4. Az adatok átadása, ha az igénylő az adatokat személyesen, közvetlenül kívánja megismerni...30 11.3.5. Szóban előterjesztett igény szóbeli teljesítése...31 11.3.6. Az igény teljesítése technikai eszközzel...31 11.3.7. Az igény teljesítésének határideje...32 11.3.8. Az igény teljesítésének megtagadása...32 11.3.9. Az igények elutasításainak nyilvántartása, és jelentése...32 11.3.10. A beadott igény nyelve...32 11.3.11. A közérdekű adatok igényelt másolatainak kiadása...32 11.3.12. A másolatok költségtérítése, számla kiállítás...32 11.3.13. A másolatokkal kapcsolatos jogok és kötelezettségek...32 11.3.14. Nagy terjedelmű másolatok...33 11.3.15. A nem közérdekű adatok felismerhetetlenné tétele...33 11.3.16. Az adatigénylések kiadmányozása...33 11.4. Adatvédelmi előírások...33 11.4.1. Személyes adatok kezelése az adatszolgáltatás kapcsán...33 11.4.2. Személyes adatok törlése az adatszolgáltatás kapcsán...33 11.5. A közérdekű adatok közzétételének rendje...34 11.5.1. Költségvetési adatok közzététele...34 11.5.2. Közzététel az Internetes honlapon...34 11.5.3. Közzétételi lista folyamatos karbantartása...34 11.5.4. Az általános és szűkített közzétételi listák...34 11.5.5. Közzétett adatok törlése...34 11.5.6. Az intézmény kötelezően közzétett közérdekű adatai...35 12. Intézményközi Információs Rendszer (IKIR)...36 12.1. Az IKIR adatok elérhetősége...36 12.2. Az IKIR adatok hozzáférhetősége...36 12.3. Az IKIR adatok továbbítása a beteg hozzájárulása nélkül...37 12.4. Az IKIR adatok nyilvánosságra hozása...37 13. Az adatvédelmi szabályzat betartása elektronikus adatkezelés során...38 13.1. Adathozzáférés...38 13.2. A hozzáférési jogok általános rendje...38 13.2.1. Kórházba felvett, vagy szakrendelésen ellátott beteg...39 13.2.2. Távoztatott beteg...39 13.2.3. Adatmódosítás...39 13.2.4. Leletek, zárójelentések módosítása...39 13.2.5. Személyes adat módosítása...39 3
13.2.6. Személyes adatok törlése...40 14. Adatbiztonság...41 14.1. Rendelkezésre állás és működőképesség...41 14.2. Sértetlenség...41 14.3. Bizalmasság...41 14.4. Hitelesség...41 14.4.1. Azonosítás és hitelesítés...41 14.4.2. Jogosultság kiosztás és ellenőrzés...41 14.4.3. Bizonyítékbiztosítás...42 14.5. Fenyegető tényezők...42 14.5.1. Vírusvédelem...42 14.5.2. Elemi kár...43 14.5.3. Jogosulatlan tartózkodás elleni védelem...43 14.5.4. Hálózati elemek védelme...43 14.6. Eljárás a kórházi informatikai rendszer üzemzavar esetén...43 14.6.1. Eljárás a kórházi informatikai rendszer üzemzavara, központi elemeinek sérülése vagy megsemmisülés esetén...43 15. Elektronikus adatkezelés a kórházi informatikai rendszerbe nem integrált önálló számítógépeken...45 16. ÁLTALÁNOS RENDELKEZÉSEK...46 16.1. Hatályosság...46 16.2. Adatvédelmi képzés...46 16.3. Kórházi adatvédelmi felelős...46 16.4. Osztályos adatvédelmi felelős...46 16.4.1. Az osztályos adatvédelmi felelős feladatai...47 17. Mellékletek...48 4
1. Bevezető A Gróf Tisza István kórház Adatvédelmi Szabályzata (a továbbiakban AVSZ) az intézmény által ellátottak személyes adatainak védelmével kapcsolatos hagyományos, azaz manuális adatok ügyrendjét rögzíti, valamint kiterjed az intézmény számítógépes adatfeldolgozási folyamataira. Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. 5
2. Az adatkezelésre vonatkozó általános információk 2.1. A szabályzatban használt rövidítések AVSZ Adatvédelmi Szabályzat AVF IAVF OEP IBSZ Egység Adatvédelmi Felelős Intézmény Adatvédelmi Felelős Országos Egészségbiztosítási Pénztár Informatikai Biztonsági Szabályzat 2.2. Az egészségügyi adatkezelést meghatározó jogszabályi környezet 9/1993. (IV. 2.) NM rendelet az egészségügyi szakellátás társadalombiztosítási finanszírozásának egyes kérdéseiről (7 sz. IVK) 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról (116/95 EK) 102/1995. (VIII. 25.) Kormányrendelet a keresőképtelenség és keresőképesség orvosi elbírálásáról és annak ellenőrzéséről (15/99 EK) 1996. évi XX. törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról (10/96 IVK) 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (12/97 EK) 1997. évi CLIV. törvény az egészségügyről (1/98 IVK) 62/1997. (XII. 21.) NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről (49/97 MK) 24/1999. (VII. 6.) EüM rendelet egyes daganatos megbetegedések bejelentésének rendjéről (14/99EK) 43/1999. (III. 3.) Kormányrendelet az egészségügyi szolgáltatók Egészségbiztosítási Alapból történő finanszírozásának részletes szabályairól (5/99 EK) 76/2004. (VIII. 19.) EszCsM rendelet az egyes személyazonosításra alkalmatlan ágazati (egészségügyi, szakmai) adatok körének meghatározására, gyűjtésére, feldolgozására vonatkozó részletes szabályokról ( 18/2004. EK) 2007. évi CI. törvény a döntéselőkészítéshez szükséges adatok hozzáférhetőségének biztosításáról 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (továbbiakban: Info.törvény) 2011. évi CXCV. törvény az államháztartásról 368/2011. (XII. 31.) Korm. Rendelet az államháztartásról szóló törvény végrehajtásáról (továbbiakban: Ávr.) OEP szerződésben meghatározott adatközlések. 6
3. Fogalmak adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a művelet végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől; adatfeldolgozó: az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából az egészségügyi és személyazonosító adatok feldolgozását végzi; adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is; adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; adatkezelő az egészségügyi adatok kezelése szempontjából továbbá: a betegellátó; az intézményvezető; az adatvédelmi felelős; a betegjogi képviselőket foglalkoztató szerv; az egészségügyi dokumentációt kezelő szerv; továbbá közegészségügyi-járványügyi közérdekből meghatározott szervek és személyek; adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges. adatvédelem: az adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatkezelés során betegellátó: a kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy (pl.: a gyógyszerész, az adminisztrátor, a beteghordó); betegfogadási lista: a betegellátás sorrendjét az ellátás igénybevételének időpontjával meghatározó lista, mely tartalmazza a beteg családi és utónevét, társadalombiztosítási azonosító jelé, az ellátásra történő jelentkezés és az ellátás igénybevételének pontosan meghatározott időpontját és helyét; egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátó hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl.: magatartás, környezet, foglalkozás). Amennyiben az egészségügyi ellátás miatt indokolt, a szexuális szokásokra vonatkozó adat is egészségügyi adatnak minősül; 7
egészségügyi dokumentáció: a gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától; gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyfürdőellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is; kezelést végző orvos: az érintett gyógykezelését végző vagy abban közreműködő orvos; közeli hozzátartozó: a házastárs, az egyenes ágbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs; közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; különleges adat: a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre vonatkozó személyes adatok; nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik; orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat; sürgős szükség: az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne; személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy 8
ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására; személyes adat: a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi a minőségét, amíg kapcsolata az érintettel helyreállítható; várólista: az adott egészségügyi ellátásra besorolt betegek legfontosabb személyazonosító adatait (családi és utónév, anyja neve, nem, születési év, lakóhely, társadalombiztosítási azonosító jel) és az ellátásra való jogosultság sorrendjét tartalmazza. 9
4. A Kórház adatkezelési filozófiája A Kórház fontosnak tartja, hogy személyes adatokat csak törvényes cél eléréséhez szükséges esetekben és mértékben, a Törvény szabályozása szerint kezeljenek. Kimondja, hogy a beteg-dokumentáció a Kórház tulajdona és azt a beteg javára és érdekében kell karbantartani és megőrizni. A Kórház vallja azt az elvet, hogy a betegellátás jó minősége csak a dokumentáció jó minőségével együtt érhető el. Ezért az integrált minőség- és környezetirányítási törekvéseiben is kifejezésre juttatja a dokumentáció és adatkezelés korrektségét és fontosságát. 4.1. Az Adatkezelési Szabályzat célja A Szabályzat célja, hogy a vonatkozó jogszabályoknak megfelelően és azokkal együttesen meghatározza a Kórház ellátottaival (továbbiakban beteg) kapcsolatos adatok kezelésének feltételeit: a társadalom és ellátott személy érdekeinek megfelelően védje az ellátása során keletkezett adatokat, segítséget nyújtson az orvosi titoktartás és az adatvédelmi előírások megsértésének megelőzéséhez. Ugyanakkor az egészségügyi és a személyazonosító adatok kezelése során biztosítsa az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férhessen hozzá. 4.2. A Szabályzat hatálya - Az AVSZ személyi hatálya az intézmény valamennyi fő- és másodállású, mellék- és részfoglalkozású dolgozójára, az egészségügyi ellátással kapcsolatba került, vagy kerülő külső szolgáltató dolgozóira, illetve a számítástechnikai eljárásban résztvevő más szervezetek dolgozóira egyaránt kiterjed. - Az AVSZ tárgyi hatálya a Törvény előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatra; - a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől, és az adatok fizikai megjelenési formájuktól függetlenül; - az intézet tulajdonában lévő, illetve az általa bérelt valamennyi számítástechnikai berendezésre, valamint a gépek műszaki dokumentációira is; - a számítástechnikai folyamatban szereplő összes dokumentációra; - a rendszer- és felhasználói programokra; - az adatok felhasználására vonatkozó utasításokra; - az adathordozók tárolására, felhasználásra; - a számítástechnikai berendezések és az elsődleges egészségügyi dokumentáció elhelyezésére szolgáló helyiségek védelmére; - az üzemeltetett számítógépek, azok kiegészítő eszközeinek rendeltetésszerű használatára; - az üzembiztonságot szolgáló karbantartásra és fenntartásra; - a munkaállomásokon lekérdezhető adatok körének meghatározására; - az adatállományok biztonságos mentésére; 10
- a feldolgozás folyamatát fenyegető veszélyek megelőzésére, elhárítására; - a programfejlesztés folyamatának adatvédelmi, biztonsági szabályaira kiterjed. 4.3. A Szabályzat megismerése és használata A Szabályzat a Kórház minden dolgozója előtt nyitott. A Szabályzat szükséges ismerete a munkába lépés feltétele legyen. A Szabályzatról készült másolatokat minden dolgozó számára hozzáférhetővé kell tenni (valamennyi egység vezetőjét egy példánnyal el kell látni). Valamennyi dolgozónak a munkaköréhez szükséges mértékben meg kell ismernie a Szabályzatot és annak előírásait mindenki köteles betartani. A Szabályzat naprakészségének biztosítása az IAVF feladata. 4.4. A Szabályzat módosítása A Szabályzatot folyamatosan egyeztetni kell a változó helyi körülményekkel, a megjelenő új jogszabályokkal és ütközés vagy hiányosság esetén kezdeményezni kell a módosítást. Ez elsősorban az IAVF feladata, de a Kórház bármely dolgozója nyújthat be módosítási javaslatot az IAVF-nek, aki dönt a módosítás szükségességéről. Az IAVF köteles a módosítást az illetékes fórum elé terjeszteni jóváhagyásra. Ez a fórum a Kórház vezető testületéből áll. Elfogadás esetén a módosítást az IAVF-nek be kell integrálnia a Szabályzatba. 11
5. Az adatkezelési rendszer általános biztonsági előírásai Az adatbiztonság követelménye Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az adatvédelmi törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja a) a jogosulatlan adatbevitel megakadályozását; b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. Kiemelt fontossága és speciális szerepe van az orvosi titoktartásnak. (Bővebben a 6.2 fejezetben) Az adatokat keletkezésükkor, megfelelő minőségű (hagyományos papír, ill. információ technológiai) adathordozóra kell rögzíteni. Az adatok olvashatóságáért az azokat felvevő, ill. rögzítő (leíró) személy felel. Az adatokat az ellátás időtartama alatt, az ellátást követő 30-, ill. 50 évig, a Törvény által előírt módon, rendezett, visszakereshető formában, zárható körülmények között, ill. megfelelő felügyelet mellett kell tárolni. 12
Az adatok visszakereshetőségét olyan megoldással kell biztosítani, hogy az ellátáshoz szükséges optimális időn belül, ill. egyéni igény esetén elfogadható határidővel megvalósítható legyen. A manuális dokumentumokat a véletlen megsemmisítéstől, ill. a szándékos károkozástól, eltulajdonítástól óvni kell, ill. ezen események megelőzésére az adott lehetőségeket is figyelembe véve mindent el kell követni. A megsemmisült, eltulajdonított, vagy eltűnt hagyományos dokumentumok reprodukálhatóságát a lehetőségek figyelembevételével biztosítani kell. Az adatok, dokumentumok megőrzésére elrendelt határidőn túli megsemmisítését a Kórháznak biztonságos megoldással kell megvalósítania. Az adatkezelés- és az adatvédelem a Törvény- és a jelen Szabályzatban meghatározottak szerinti érvényesülését megfelelő ellenőrzési rendszerrel támogatni kell. 13
6. Az adatkezelés a kórházban, az adatkezelés céljai A Gróf Tisza István kórházban egészségügyi és személyazonosító adatot az alábbi célokból kezelnek: - az egészség megőrzésének, fenntartásának előmozdítása; - a betegellátó eredményes gyógykezelési tevékenységének elősegítése; - a gyógykezelt személy egészségi állapotának nyomon követése; - a közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele; - tudományos kutatás; - statisztikai vizsgálat; - egészségügyi ellátásokat finanszírozó szervek feladatainak ellátásához. A kórházban az egészségügyi és személyazonosító adatok kezelésére jogosult: - a betegellátó; - a főigazgató; - az adatvédelmi felelős. - várólista vezetéséért felelős - fekvőbeteg osztály/részleg osztály/részlegvezető főorvosa, járóbeteg szakrendelés vezető főorvosa (továbbiakban: osztályos adatvédelmi felelős) A fenti körbe nem tartozó személyes adatkezelést a főigazgatótól vagy az adatvédelmi felelőstől kapott megbízás alapján végezhetnek. Az osztályos adatvédelmi felelős terjeszti elő az osztályon azon személyek megbízásának javaslatát a főigazgató jóváhagyására, akiknek adatkezelést kell végezniük és azt megbízás alapján végezhetik. A megbízások egy példányát a dolgozó személyi anyagához csatolni kell. 6.1. Adatkezelés gyógykezelés céljából Az egészségügyi adatok felvétele a gyógykezelés része. Az egészségügyi és a személyazonosító adatoknak a gyógykezelt személy részéről történő szolgáltatása - az egészségügyi ellátás igénybevételéhez kötelezően előírt személyazonosító kivételével önkéntes. Abban az esetben, ha a gyógykezelt személy önként fordul a kórházhoz, a gyógykezeléssel összefüggő egészségügyi és személyazonosító adatainak kezelésére szolgáló hozzájárulását ellenkező nyilatkozat hiányában- megadottnak kell tekinteni, és erről az érintettet (törvényes képviselőjét) tájékoztatni kell (lásd: mellékletek). Sürgős szükség, valamint a gyógykezelt személy belátási képességének hiánya esetén az önkéntességet védelmezni kell. Adatfelvétel során a gyógykezelés alatt az egészségügyi dokumentációban rögzíteni kell a szakmai szabályoknak megfelelően felvett adatokat. A kezelést végző orvos dönti el, hogy a szakmai szabálynak megfelelően, a kötelezően felveendő adatokon kívül- mely egészségügyi adat felvétele szükséges. Kerülni kell azon adatok rögzítését, amik közvetlenül nem kapcsolatosak a beteg gyógykezelésével. Ezen adatok felvételére a kórlapba csak akkor kerülhet sor, ha azok a beteg gyógykezelésében szerepet játszanak. Ilyen adat pl.: a beteg családi állapota. 14
Az így felvett adatokat különös gondossággal kell kezelni. Ezen adatokat elsősorban az intézményen belüli egészségügyi dokumentációban lehet felhasználni, továbbításuk a zárójelentésben csak kivételes okból megengedett, az osztályos adatvédelmi felelős jóváhagyásával. Ilyen adat például a homoszexualitásra, nemi betegségekre, illetve a drogfogyasztásra vonatkozó adat; az alkoholizmus, illetve a dohányzás szokása. Hasonlóan gondosan kell kezelni a művi abortuszra vonatkozó adatokat. Ilyen adat továbbá például a Wassermann-teszt vizsgálati eredménye. A gyógykezelés során az egészségügyi dokumentáció kezelésének rendjét úgy kell kialakítani, hogy a dokumentációhoz, illetve a beteg személyes adataihoz kizárólag a gyógykezelt személy gyógykezelését végzők férhessenek hozzá. 6.2. Orvosi titok védelme A betegellátót, valamint a kórházzal közalkalmazotti jogviszonyban (vagy szerződésben) álló más személyt a beteg egészségi állapotával kapcsolatos adat, továbbá a munkavégzéssel kapcsolatosan tudomására jutott egyéb adat vonatkozásában időbeli korlátozás nélkül titoktartási kötelezettség terheli. A titoktartási kötelezettség független attól, hogy az adatokat milyen módon ismerte meg. A titoktartási kötelezettség tehát nemcsak a kezelőorvost, illetve a nővéreket köti, hanem az intézmény minden dolgozóját. Ilyen személyek lehetnek például a betegszállítók vagy a beteg diétáját készítő dolgozók. A betegellátót a gyógykezelt személy választott háziorvosa, valamint az igazságügyi orvos szakértő kivételével a titoktartási kötelezettség azzal a betegellátóval szemben is köti, aki a beteg gyógykezelésében nem működött közre, kivéve, ha az adatok a gyógykezelt személy további gyógykezelése érdekében szükségesek, vagy a beteg az Intézményközi Információs Rendszerben (IKIR) másképp nem rendelkezett. A titoktartási kötelezettség alól írásban felmentést adhat a beteg, vagy a jogszabályi kötelezettség. Az orvosi titok védelme érdekében szükséges, hogy az intézmény valamennyi dolgozója kötelezettséget vállaljon az orvosi titok megtartására. A kötelezettséget a dolgozó munkaköri leírásába kell foglalni, illetve ahhoz csatolni kell. 6.3. Hozzáférés a beteg személyi és egészségügyi adataihoz, dokumentációjához Az Adatvédelmi törvény előírásainak a figyelembevételével, a helyszínen tekinthet be a betegdokumentációba: - az intézmény felső vezetése az ellátást végző egység vezetőjének jelenlétében, - az ellátásért felelős, abban résztvevő kórházi egészségügyi szakszemélyzet, - az ellátáshoz közvetlenül kapcsolódó kórházon kívüli egészségügyi szakszemélyzet (pl. háziorvos, konzultációt végző orvos, gondozó orvosa, diagnosztikát és terápiát végző orvos, házi ápolás) az ellátásért felelős kórházi kezelőorvos jelenlétében, amennyiben a megismerés célja törvényben rögzített. Az adatfeldolgozást végző Informatika osztály és a Kontrolling csoport a Törvény figyelembevételével. 15
A belső és külső betegszállítás kísérő személyzete kizárólagos dokumentáció átadási céllal. Külső szervek, hatósági megkeresések jogszabálynak megfelelően, Érintett és jogszabályban meghatározott hozzátartozója. Telefonon információ nem adható, kivétel azonban olyan akut és a beteg ellátásával kapcsolatos szituáció, és biztosan azonosítható orvos kolléga kérése, mely az információt kiadó orvos megítélése szerint indokolt, és nem ellenkezik a Törvénnyel, az információt adó felelősségére. 6.4. A gyógykezelés során jelen lévő személyek A gyógykezelés során a kezelést végző orvos és a betegellátásban részt vevő más személyek lehetnek jelen. 6.4.1. Jelen lehet továbbá: - más személy, ha a gyógykezelés rendje több beteg egyidejű ellátását igényli (ilyen eset például az intenzív osztályokon történő kezelés, vagy más olyan osztályokon, ahol a beteg vagy a betegtársak mobilizálása állapotromlás veszélyével járhat); - fogva tartott vagy szabadságelvonással büntetett személy esetében a rendőrség hivatásos állományú tagja vagy a büntetés-végrehajtási szervezet jogviszonyban álló tagja. (Fenti esetekben a gyógykezelt személy hozzájárulására nincs szükség, de a beteg emberi jogait és méltóságát tiszteletben kell tartani); - más személy, ha a gyógykezelt személy ehhez hozzájárult (lásd 1. számú melléklet); - a beteg kezelésében részt vevő consiliárus, ill. szükséges szakdolgozó (pl.: asszisztens, gyógytornász) 6.4.2. Ezen túlmenően jelen lehet az, - aki a beteget az adott betegség miatt már kezelte; - akinek a főigazgató, vagy az adatvédelmi felelős szakmai ok miatti engedélyt adott. A gyógykezelt személy kifejezett tiltakozásának ebben az esetben helyt kell adni. 6.4.3. Kórházunkban egészségügyi szakemberképzés céljából oktatókórház jellegére tekintettel jelen lehet: - orvos, orvostanhallgató; - egészségügyi szakdolgozó, egészségügyi főiskola vagy szakközépiskola, vagy szakiskola hallgatója, feltéve, hogy a megjelölt személy képzésére a kórház ki van jelölve. Ebben az esetben a gyógykezelt személy hozzájárulására nincs szükség, de a betegtájékoztatóban a kórház oktató jellegéről és a szakemberképzésről a gyógykezelteket tájékoztatni kell. Fentieken kívül olyan személy lehet jelen, akinek a jelenlétéhez a gyógykezelt személy hozzájárul. A hozzájárulást a gyógykezelt személy szóban is megteheti a kezelőorvosnak, de tiltakozását írásban kell rögzíteni. 16
6.5. Adattovábbítás az intézményen belül A gyógykezelt személy betegségével kapcsolatba hozható minden egészségügyi adat továbbítható az intézményen belül, amely a gyógykezelés érdekében fontos. A beteg a kórházba történt felvételkor vagy később rendelkezhet arról, hogy ezt megtiltsa. A beteget a rendelkezés lehetőségéről tájékoztatni kell. A tiltás nem érvényes akkor, ha az adattovábbítást jogszabály írja elő. Nem továbbítható ugyanakkor a gyógykezelt személy hozzájárulása nélkül olyan adat, mely a fennálló betegséggel össze nem függő, korábbi betegségre vonatkozik. (lásd 1. számú melléklet) 17
7. Tájékoztatás 7.1. A beteg joga a tájékoztatáshoz A beteget felvételekor tájékoztatni kell a kórház adatvédelmi rendjéről. A beteggel aláíratandó tájékoztató a szabályzat mellékletében található. A beteg tájékoztatása a kórházi adatvédelemről a felvevő orvos kötelessége. A tájékoztatás megadását a beteg aláírásával igazolja. Az aláírt tájékoztatót a beteg egészségügyi dokumentációjához csatolni kell. A beteg dokumentációjához csatolni kell a beteg esetleges korlátozó nyilatkozatát. A gyógykezelt személy gyógykezelésével kapcsolatos tájékoztatást a beteg kezelőorvosa vagy a betegellátó osztály vezetője adja meg. A beteg gyógykezelésének ápolási vonatkozásairól az őt ellátó diplomás ápoló, a főnővér, rehabilitációs vonatkozásairól az őt ellátó főiskolai végzettségű gyógytornász is felvilágosítást adhat. Nővér, illetve más dolgozó a beteg gyógykezeléséről tájékoztatást nem adhat, kivéve, ha a beteg kezelőorvosa erre az adott beteg esetében felhatalmazta. A tájékoztatás személyesen történik. Telefonon a beteg gyógykezeléséről érdemi tájékoztatás nem adható. A kezelőorvos, az osztály más orvosa, illetve nővér a beteg kórházi kezelésének tényét a beteg ellenkező értelmű nyilatkozata hiányában megerősítheti. Ezen túlmenően, a beteg általános állapotára vonatkozó információt orvos megadhat azon közeli hozzátartozóknak, akiket azonosítani tud és a beteg erre az általános tájékoztató keretén belül feljogosítja. 7.2. Hozzátartozó és más személy tájékoztatása A beteg a kórházba történt felvételekor vagy később rendelkezhet arról, hogy egyes közeli hozzátartozóit kizárja a tájékoztatásra jogosultak köréből. A beteget a rendelkezés lehetőségéről tájékoztatni kell. Az ehhez használatos nyilatkozat mintája e szabályzat mellékletében található. Ennek hiányában a közeli hozzátartozók tájékoztatásához a beteg hozzájárulása megadottnak tekinthető. A beteg a kórházba történt felvételekor vagy később rendelkezhet arról is, hogy minden személyt kizár a tájékoztatásra jogosultak köréből. A beteget a rendelkezés lehetőségéről tájékoztatni kell. Ebben az esetben intézkedni kell, hogy a beteg tájékoztatási tiltása megjelenjék az informatikai rendszerből lekérhető listákon is. Más hozzátartozók és egyéb személyek csak a gyógykezelt személy írásos felhatalmazása alapján kaphatnak tájékoztatást. 7.3. Egészségügyi dokumentáció A beteg (törvényes képviselője) jogosult tájékoztatást kapni a rá vonatkozó személyazonosító és egészségügyi adatokról, betekinthet az egészségügyi dokumentációba, illetve azokról saját költségére másolatot kérhet. A másolat kérés menete: A beteg, vagy törvényes képviselője bejelenti másolatkérési igényét a kezelőorvosnak. A kezelőorvos tájékoztatja az igénylőt a másolás feltételeiről, költségeiről és intézési módjáról. Az igény fenntartása esetén kitölti az 5. számú mellékletet képező kérőlapot (AB0105005). Ezzel a kérőlappal az igénylő elmegy a Pénztárba és befizeti a másolás összegét. A pénztári befizetésről Befizetési pénztárbizonylatot kap, melyet az osztályon leadva az osztályos adminisztrátortól megkapja a kért másolatot. Másolatot csak a nyilvántartó irodában lévő fénymásolóval lehet készíteni. 18
Amennyiben a kért dokumentum már nem található az osztályon, hanem a központi irattárba került, akkor a másolatkészítés ideje 3 nap. A másolat készítésének költsége: Ha a kért dokumentum az osztályon van, elkészítési ideje 1 nap 300.- Ft/oldal Ha a kért dokumentum a központi irattárban van, elkészítési ideje 3 nap 500.- Ft/oldal Megkezdett, de még nem befejezett ellátás esetén a tájékoztatást az adott ellátással kapcsolatban a kezelőorvos adja meg. Folyamatban lévő ellátás esetén a beteg a dokumentációról másolatot saját költségére kaphat a kezelőorvos által. Távoztatott beteg esetén a dokumentációba betekintést és másolat kiadását a törvényi feltételek vizsgálata mellett az ellátást végző osztályvezető főorvos engedélyezhet. A másolat kiadásának tényét a kórlapban rögzíteni kell. 7.4. Elhunyt beteg A gyógykezelt személy halála esetén a halál okával összefüggésbe hozható, továbbá a halál bekövetkeztét megelőző gyógykezeléssel kapcsolatos adatokat megismerheti az elhunyt - törvényes képviselője; - közeli hozzátartozója; - örököse; a jogcím hiteles igazolása után. A megjelölt személyek a fenti adatokról saját költségükre másolatot kaphatnak. A másolat kiadása a Pathologiai osztály által történik. 19