Definicija „zdravstvenih podataka“
Češki zakonodavac oslanja se na definiciju zdravstvenih podataka koju daje Opća uredba o zaštiti podataka (GDPR) - osobni podaci koji se odnose na fizičko ili mentalno zdravlje pojedinca, uključujući pružanje zdravstvenih usluga, a koji otkrivaju informacije o njihovom zdravstvenom stanju.
U praksi se često javljaju granični slučajevi kada se podaci koji se primarno ne smatraju zdravstvenim podacima mogu smatrati takvima na temelju konteksta njihove obrade (npr. ako se čuvaju u zdravstvenim kartonima prema češkom Zakonu o zdravstvenim uslugama). Iako se češki Zakon o zdravstvenim uslugama odnosi na anonimizirane podatke, ne daje definiciju te se primjenjuje GDPR. Također, ne postoji posebna definicija anonimiziranih zdravstvenih podataka radi pojednostavljenja medicinskog istraživanja.
Pravna zaštita zdravstvenih podataka
Podaci o zdravlju spadaju u posebne kategorije osobnih podataka kojima je zajamčena viša razina zaštite prema GDPR-u. Obrada posebnih kategorija osobnih podataka podliježe većim ograničenjima i u nekim slučajevima može dovesti do potrebe za provođenjem daljnjih procjena te obično zahtijeva složenije sigurnosne mjere.
Detaljna regulacija zdravstvenih kartona dodatno je propisana češkim Zakonom o zdravstvenim uslugama i Uredbom br. 444/2024 Coll. o zdravstvenim kartonima. Zdravstvenim kartonima mogu pristupiti isključivo osobe i u svrhe navedene u Uredbi. Uredba nadalje uređuje određene tehničke i organizacijske mjere koje moraju biti na snazi kako bi se osigurala cjelovitost kartona, uz fiksna razdoblja pohrane podataka.
Podliježu li anonimizirani zdravstveni podaci posebnim propisima ili smjernicama?
Pravilno anonimizirani podaci izvan su područja primjene Opće uredbe o zaštiti podataka (GDPR) i ne smatraju se osobnim podacima. Također ne postoje nikakvi daljnji propisi koji bi se primjenjivali na anonimizirane zdravstvene podatke. Međutim, u praksi može biti prilično izazovno postići stvarnu anonimizaciju na potpun i nepovratan način, a podaci koji se smatraju anonimnima često su samo pseudonimizirani. To se još više odnosi na zdravstvene podatke pacijenata s rijetkim bolestima.
Provedba
Češki Ured za zaštitu osobnih podataka (UOOU) ima nadležnost za provedbu propisa o zaštiti podataka.
U svom godišnjem izvješću, UOOU je dao svoju konačnu izjavu o usklađenosti Ministarstva zdravstva u vezi s elektroničkim certifikatom EU COVID-19 dostupnim na ocko.uzis.cz, kao i s povezanim aplikacijama Tečka i čTečka. UOOU se usredotočio na sigurnost obrade osobnih podataka i utvrdio da Ministarstvo zdravstva nije bilo usklađeno jer: (1) u vezi s izdavanjem izvornih certifikata, kada je čitač na mobilnom uređaju pročitao QR kod, otkriveni su podaci o osiguranju vlasnika certifikata; i (2) aplikacija čTečka nije spriječila snimanje zaslona, što je suprotno svrsi aplikacije (tj. provjeri valjanosti potvrda), bez ostavljanja elektroničkog traga s osobnim podacima o toj provjeri.
UOOU je nadalje proveo inspekciju dobavljača online sustava za rezervaciju cijepljenja, koji je omogućio prikaz broja osigurane osobe (a time i rodnog broja) i njegov naknadni prijenos u Sjedinjene Američke Države putem alata za statističko dohvaćanje podataka Google Analytics.
Izvršitelj obrade, je proglašen solidarno odgovornim s voditeljem obrade za kršenje članka 32(1)(b) Opće uredbe o zaštiti podataka (GDPR) jer, kao stručnjak, nije upozorio voditelja obrade na neprimjerenost upute za postavljanje sustava u kojem URL sadrži broj osigurane osobe (rodni broj) i obrađuje ga pomoću Google Analyticsa, čime su procurili URL-ovi koji uključuju brojeve osiguranih osoba u opsegu od približno 80.000 ispitanika. Inače, nije bilo značajnijih regulatornih ili privatno-provedbenih radnji u vezi s digitalnim tehnologijama zdravstvene zaštite.
Kazne izrečene prema GDPR-u mogu iznositi 20 milijuna eura ili do 4 posto ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Pojedinci također mogu podnijeti građansku tužbu kada su im prekršena prava na identitet ili privatnost i tražiti odštetu.
Kibernetička sigurnost
Češki Zakon o kibernetičkoj sigurnosti uređuje pitanja kibernetičke sigurnosti i zaštite kritične informacijske infrastrukture, važnih informacijskih sustava i drugih sustava. Subjekti navedeni u Zakonu o kibernetičkoj sigurnosti (uključujući pružatelje informacijskih sustava kritične informacijske infrastrukture i pružatelje osnovnih usluga) moraju uvesti sigurnosne mjere kako bi osigurali sigurnost infrastrukture, procijenili svoje dobavljače IT usluga i ugovorno osigurali sigurnost usluga. Subjekti navedeni u Zakonu o kibernetičkoj sigurnosti moraju prijaviti svako kršenje kibernetičke sigurnosti Nacionalnoj agenciji za kibernetičku i informacijsku sigurnost (NUKIB).
Češke bolnice bile su mete povećanog broja kibernetičkih napada. NUKIB je reagirao na situaciju naloživši nekoliko subjekata da slijede zaštitne postupke i uspostave mjere za zaštitu češkog zdravstva od drugih napada. U siječnju 2021. NUKIB je redefinirao pojam pružatelja osnovnih usluga tako da je uključio više bolnica i pružatelja zdravstvenih usluga, čime je tim subjektima nametnuo više standarde kibernetičke sigurnosti. Trenutno se raspravlja o još široj definiciji koja bi uključivala više bolnica. Vlada je 2021. godine objavila Akcijski plan za strategiju kibernetičke sigurnosti, koji predviđa veću zaštitu pružatelja zdravstvenih usluga. U listopadu 2021. održana je povijesno prva sektorska vježba kibernetičke sigurnosti. U vježbi su sudjelovale četrdeset četiri bolnice koje pružaju osnovne usluge, a slijedila je scenarij kibernetičkog napada. Vježba je također poslužila kao revizija mjera kibernetičke sigurnosti koje su na snazi. Ministarstvo zdravstva objavilo je svoju strategiju za kibernetičku sigurnost u kolovozu 2021., koja predviđa sektorske standarde kibernetičke sigurnosti.
U pripremi za uvođenje odgovarajuće razine kibernetičke sigurnosti za usluge e-zdravstva prema češkom Zakonu o digitalizaciji zdravstva, Ministarstvo zdravstva, u suradnji s odabranim liječnicima opće prakse, pripremilo je Kibernetički priručnik za liječnike.
Implementacija NIS2 trenutno se raspravlja i priprema od strane nadležnih tijela.
Najbolje prakse i praktični savjeti
Zaštita podataka u digitalnom zdravstvu trenutno je aktualna tema u Češkoj Republici, uključujući sekundarnu upotrebu osobnih podataka. Međutim, trenutno ne postoje smjernice ili zakoni specifični za sektor digitalnog zdravstva.
Korištenje i obrada zdravstvenih podataka putem različitih digitalnih zdravstvenih rješenja stoga nisu obuhvaćeni iznimkama utvrđenim u članku 9. stavku 2. Opće uredbe o zaštiti podataka (GDPR) koje se odnose na nacionalne propise. Kao rezultat toga, potreban je pristanak ispitanika (uglavnom pacijenta). To se odnosi i na sekundarnu upotrebu zdravstvenih podataka. Ne postoji propis koji bi omogućio pružateljima zdravstvene skrbi ili istraživačkim organizacijama korištenje pseudonimiziranih podataka za istraživanje bez davanja privole.
Što se tiče anonimiziranih podataka, preporučuje se pažljiva procjena prilikom provođenja anonimizacije. Podaci ne bi smjeli biti skloni izdvajanju, povezivanju ili zaključivanju. To je posebno važno prilikom objavljivanja takvih skupova podataka. U rijetkim medicinskim slučajevima, ispitanik se može relativno jednostavno ponovno identificirati na temelju dijagnoze. To je posebno slučaj kada se podaci stavljaju na raspolaganje drugim stručnjacima (stručni članci, konferencije) koji mogu imati pristup dodatnim informacijama koje im omogućuju ponovnu identifikaciju ispitanika.
Obrada podataka za projekte digitalnog zdravstva, posebno korištenje umjetne inteligencije, može donijeti izazove u smislu usklađenosti. Korištenje otvorenih sustava umjetne inteligencije predstavlja problem za koji još ne postoji zadovoljavajuće rješenje te ga stoga treba pažljivo razmotriti ako se obrađuju zdravstveni podaci.
