Od kilku lat NFZ i Ministerstwo Zdrowia przymierzają się do stworzenia centralnej bazy danych o wykonanych usługach medycznych tzw. Rejestru Usług Medycznych. Elektroniczne informacje m.in. o chorobach wszystkich pacjentów będą gromadzone w jednym miejscu. Bardzo duża grupa pracowników służby zdrowia będzie miała do nich dostęp.
Teraz intymność relacji lekarz-pacjent jest dość dobrze chroniona. Informacje zebrane w trakcie wywiadu z pacjentem i historia jego chorób są przechowywane w papierowej kartotece albo w lokalnym systemie komputerowym. Dane są rozproszone i mała liczba osób ma do nich dostęp.
Centralny system to zmieni. Samo istnienie centralnej bazy z danymi wszystkich pacjentów będzie bardzo kuszące i inspirujące. Firmy farmaceutyczne, ubezpieczeniowe, doractwa personalnego, obce wywiady i inne będą silnie zmotywowane aby zdobyć kopie całego rejestru lub uzyskać informacje o stanie zdrowia konkretnych osób.
Postępującej informatyzacji służby zdrowia nie da się powstrzymać. Musimy się skupić na stworzeniu skutecznego systemu ochrony poufności danych pacjentów. Anonimizacja danych osobowych jest realnym i optymalnym rozwiązaniem.
Kiedy informacje stają się danymi osobowymi?
Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (wg ustawy o ochronie danych osobowych). Granica między danymi osobowymi a informacjami nie zawsze jest wyraźna. Wiedząc jedynie, że ktoś regularnie gra w tenisa i w zeszłym roku poddał się operacji trzustki bardzo trudno zidentyfikować osobę, której te informacje dotyczą. Jeśli dodatkowo poznamy nazwisko i datę urodzenia, to radykalnie wzrasta prawdopodobieństwo jej zidentyfikowania. Znając numer PESEL prawdopodobieństwo stanie się pewnością.
Nazwisko, imię, PESEL, NIP, etc. są identyfikatorami ułatwiającymi rozróżnianie osób w dużych zbiorowościach. Identyfikator nazywamy unikalnym, jeśli nie można znaleźć dwóch osób z tą samą wartością identyfikatora. PESEL jest unikalnym identyfikatorem. Imię może nim być tylko w bardzo małej zbiorowości. Różne cechy charakterystyczne takie jak data urodzenia, kolor oczu, wzrost, etc. są także pomocne w identyfikowaniu osób.
Anonimizacja danych osobowych polega na usunięciu z nich identyfikatorów i charakterystycznych cech osobowych. Anonimizacja może być przeprowadzona na istniejącym zbiorze danych osobowych albo na wejściu, czyli w trakcie ich wprowadzania do zbioru. Prawidłowa anonimizacja powinna być nieodwracalna.
Anonimizacja może być przeprowadzona także przez zamianę publicznych identyfikatorów i charakterystycznych cech osobowych na nowe identyfikatory niezwiązane z cechami osobowymi. Cel anonimizacji zostanie osiągnięty, jeśli sposób powiązania starych identyfikatorów z nowymi będzie utajniony. Anonimizacja będzie odwracalna tj. znajomość tajemnicy powiązania umożliwia przywrócenie starych identyfikatorów.
Anonimizacja danych osobowych w systemach służby zdrowia
Anonimizowanie danych osobowych w trakcie ich wprowadzania do systemów informatycznych jest najskuteczniejszą metodą ochrony poufności. Jest to możliwe we wszystkich systemach informatycznych służby zdrowia.
Można sobie wyobrazić sprawnie działającą służbę zdrowia, w której każdy pacjent byłby identyfikowany w systemach informatycznych przez unikalny identyfikator pacjenta, płeć i rok urodzenia. Ta ilość danych identyfikacyjnych wystarcza do właściwego wykonywania usług medycznych, planowania rozwoju i badań naukowych a jednocześnie zapewniłaby anonimowość danych pacjentów.
W bezpośrednim kontakcie z personelem medycznym pacjent nie byłby anonimowy. Posługiwałby się jednocześnie dowodem osobistym i kartą pacjenta. Jednak inne dane identyfikacyjne niż numer pacjenta, płeć i rok urodzenia znikałyby w momencie wyjścia pacjenta z placówki służby zdrowia.
Karta pacjenta wiązałaby tożsamość pacjenta z dowodu osobistego z „tożsamością” wewnątrz systemów informatycznych służby zdrowia. Karta pacjenta, aby spełnić swoją role, powinna zawierać tylko unikalny numer pacjenta, zdjęcie twarzy, imię, nazwisko, płeć, rok urodzenia i numer PESEL. Poza numerem pacjenta wszystkie dane identyfikacyjne pokrywałyby się z danymi z dowodu osobistego.
W wyjątkowych sytuacjach anonimizacja danych osobowych w systemach służby zdrowia musi być odwracalna także bez karty pacjenta. Wynika stąd konieczność powołania niezależnej instytucji chroniącej tajemnicę powiązania między numerem identyfikacyjnym pacjenta a danymi z dowodu osobistego.
Urząd Ochrony Prywatności Pacjentów (UOPP)
Głównymi zadaniami UOPP byłyby:
- generowanie unikalnych identyfikatorów pacjentów
- personalizowanie kart pacjentów
- anonimizacja danych osobowych przychodzących do systemów służby zdrowia i NFZ
- pośredniczenie w przekazywaniu informacji między służbą zdrowia a pacjentami
UOPP utrzymywałby bazę danych identyfikacyjnych wszystkich pacjentów. Rekord identyfikacyjny pacjenta zawierałby dane z dowodu osobistego, numer identyfikacyjny pacjenta i adres kontaktowy. Baza danych identyfikacyjnych byłaby ściśle tajna.
Nie ma potrzeby, aby NFZ znał wszystkie dane identyfikacyjne pacjentów. Wystarczy, jeśli NFZ będzie znał tylko numer identyfikacyjny pacjenta, który pozwala śledzić regularność płacenia składek i wyodrębnić wszystkie usługi medyczne udzielone temu pacjentowi. W obecnej sytuacji ZUS przekazuje dane o składkach bezpośrednio do NFZ.
Po wprowadzeniu anonimizacji ZUS przekazywałby dane o zapłaconych składkach do UOPP, który usuwałby dane identyfikacyjne z dowodu i wprowadzał w ich miejsce numery identyfikacyjne pacjentów a następnie zanonimizowane dane przesyłał do NFZ.
UOPP umożliwiałby także dotarcie do każdego pacjenta. Jeśli placówka służby zdrowia chciałaby się skontaktować z konkretnym pacjentem to wysłałaby do UOPP (np. e-mailem) treść informacji z numerem identyfikacyjnym pacjenta z prośbą o jej przekazanie.