Betegek, orvosok, ipar. Adatok és adatvédelem
GDPR – lemaradtunk az adatvédelmi szabályozás bevezetésével
Nem sikerült kihasználni a felkészülésre szánt időt, így Magyarország – más tagállamok mellett – meglehetősen rosszul áll az Európai Unió egészére vonatkozó egységes adatvédelmi szabályozás bevezetésével – derült ki a Medical Tribune február 15-ei konferenciáján.
Miközben a kormány és a parlamenti pártok gőzerővel készülnek az április 8-ai választásokra, háttérbe szorulni látszik a törvényalkotási munka, így nem készültek el a május 25-én bevezetendő európai általános adatvédelmi rendelet (GDPR) zökkenőmentes bevezetéséhez szükséges törvénymódosítások – hangoztatták az előadók a Medical Tribune GDPR – Betegek, orvosok, ipar. Adatok és adatvédelem című konferenciáján. Kiderült az is, meglehetősen kevés figyelmet fordítanak az érintettek tájékoztatására. Míg az egészségügyben érintett nemzetközi iparvállalatok könnyebben, addig a kis- és közepes vállalkozások, vagy az önkéntes alapon létrehozott betegszervezetek kevés, vagy szinte semmilyen támogatást nem kapnak annak érdekében, hogy megfeleljenek az egységes szabályozásban foglalt rendelkezéseknek.
Késésben vagyunk
A digitalizáció okozta változások követése, ehhez kapcsolódva az egységes adatvédelmi gyakorlat bevezetése a célja a május 25-én hatályba lépő GDPR-nek, amelynek számos rendelkezése alapvetően befolyásolja a nemzeti adatkezelést – mondta előadásában Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke a konferencián.
Bár lehetőség lenne arra, hogy az egészségügyi adatok kezeléséről szóló nemzeti szabályozást a GDPR 9. cikkelyében foglaltaknak megfelelően alakítsuk át, a NAIH elnöke egyelőre nem tud arról, hogy az Emberi Erőforrások Minisztériuma (Emmi) kezdeményezte volna a kormánynál az ide vonatkozó jogszabályok módosítását. Ahogyan egyelőre arra sem történt központi intézkedés, hogy a GDPR hatálybalépése előtt elkészüljön az a kétharmados többséget igénylő törvénymódosítás, amely lehetővé teszi, hogy a NAIH május 25-e után is adatvédelmi hatóságként tudjon eljárni a kérdéses ügyekben.
Mindeközben a tagállamok nemzeti hatóságainak jelentési kötelezettségük van az Európai Bizottság felé arról, hogyan állnak az egységes adatvédelmi szabályozás bevezetésének előkészületeivel; a késlekedőkkel szemben Péterfalvi Attila szerint akár kötelezettségszegési eljárást is indíthat az EB. Az egységes szabályozás bevezetésével egységes hivatali hálózat is létrejön, így a NAIH az Európai Adatvédelmi Hatóság helyi szervezetévé válik. A GDPR-hez kapcsolódva a napokban alakult meg az általános adatvédelmi rendelet alkalmazásáért felelős uniós szerv, az Európai Adatvédelmi Testület, amelynek állásfoglalásait valamennyi tagországnak kötelező lesz befogadni.
A globalizált, digatalizált adatkezelésnek törvényesnek, etikusnak és átláthatónak kell lennie – hangsúlyozta a NAIH elnöke, aki szerint kiemelt figyelmet kell fordítani az állampolgárok tájékoztatására, lehetővé téve, hogy nyomon tudják követni adataik kezelését. A felkészüléshez az adatkezelők és adatfeldolgozók részére elérhető egy 12 lépésből álló iránymutatás a NAIH honlapján, ugyanitt elérhetőek a NAIH Adatvédelmi Munkacsoportjának egyéb iránymutatásai is az uniós adatvédelmi reformmal kapcsolatban.
Jó hír! Vagy mégsem?
A GDPR kötelező alkalmazása jó hír kellene hogy legyen, de elérte az a bizonytalansági faktor, ami általában a gyógyszeripert jellemzi – fogalmazott előadásában dr. Straubinger Zsófia ügyvéd, egészségügyi jogász. Az erős központi közösségi szabályozás májustól Magyarországon is közvetlenül és kötelezően alkalmazandóvá válik, ugyanakkor a tagállamok számára nyitva hagyja a lehetőséget hogy attól eltérő szabályokat határozzanak meg. A bizonytalansági faktort az okozza, hogy az Infotörvény és az ágazati szabályok módosítása egyelőre nem ismert. A GDPR bevezetése változásokat hoz a gyógyszermarketingben, az orvosi adatok kezelésében a személyes adatok kezelésére, míg a betegadatok esetében az érzékeny adatok kezelésére vonatkozó szabályozás válik relevánssá, amelyek sokkal erősebb védelem alá kerülnek, mint korábban.
Bár az előzetes tájékoztatási kötelezettség, és annak tartalma tekintetében nem lesz változás, az érintettek jogai alaposan átalakulnak. A személyes adatokkal végzett minden műveletről historikus tájékoztatást, úgynevezett adattérképet kell készíteni. Az adatvédelmi tájékoztatásnak érthetőnek, világosnak, és könnyen átláthatónak kell lennie, az adatkezeléshez való hozzájárulás visszavonásának pedig éppolyan egyszerűen kell megtörténnie, mint a beleegyezésnek.
Applikációkra hangolva
Hozzávetőleg 350 ezer naplózás- és eszközalapú egészségügyi applikáció érhető el jelenleg a piacon, utóbbiak többsége számos más rendszerhez kapcsolódik, a személyes adatok – egységes kódrendszerben – orvoshoz, rendszergazdához, más személyekhez is eljuthatnak. Az egészségügyi piacon speciális világba tartoznak az applikációk Ugrai Péter, a Medigen vezérigazgatója szerint. Az adatvédelemre vonatkozó, részletes, mindenre kiterjedő adatvédelmi tájékoztatás jellemzően egy egyszerű, egyoldalas tájékoztató, amelynek részletei a több tíz oldalas, általános szerződési feltételekben kerül kibontásra.
Miközben Péterfalvi Attila arról beszélt, hogy a NAIH már amerikai és kínai felekkel is tárgyalt, hogy tájékozódjon arról, miként készülnek az egységes európai adatkezelés életbelépésre, Ugrai Péter is arra hívta fel a figyelmet, hogy számos, nem uniós állam is kínál egészségügyi applikációkat, kérdés, ezekre hogyan vonatkozik majd a szabályozás.
A GDPR legnagyobb újdonsága az elszámoltathatóság, dokumentálni és prezentálni kell, hogy az adott vállalat ennek megfelel. Az még a NAIH elnöke számára is kérdés, hogy a kkv-k milyen erőforrásból lesznek képesek a meglévő adatkezelési gyakorlatuk felülvizsgálatára, az infotechnológiai környezet biztosítására, hogy teljesíteni tudják az adatbiztonság követelményeit május 25-e után. Hasonló problémát vetett fel a Medigen vezérigazgatója is, aki szerint az appok piaca egyelőre nagyon alacsony jövedelemtermelő-képességgel bír, így nehezen képzelhető el, hogy valamennyi app rendelkezni fog „saját adatvédelmi biztossal”.
Adatvédelmi tisztviselő alkalmazását is előírja a vállalkozások számára a GDPR – jelezte előadásában Ági Tamás, a 77 Elektronika kereskedelmi igazgatója, aki arra is felhívta a figyelmet, hogy az adattakarékosság elvének megfelelően kiemelt szerepe van a jogszerű és releváns adathasználatnak. A GDPR jó lehetőséget ad arra, hogy az adattudatosság útjára lépjünk – vélte a kérdést az IT fejlesztők szempontjából elemezve Sepsy Zoltán, az Areus Infokommunikációs Zrt. üzletfejlesztési vezetője, hozzátéve, az egységes szabályozás bevezetését nemcsak azért övezi pánik, mert a jogi háttér hiányos, hanem azért is, mert egyelőre az ehhez kapcsolódó műszaki koncepció sem született meg.
Oázis a sivatagban?
Pozitív változást eredményez a GDPR az emberi jogok hazai sivatagában – fogalmazott dr. Alexin Zoltán adatvédelmi szakértő, aki szerint 700 olyan jogszabály van, amely kötelező adatkezelést ír elő az állampolgároknak, az egészségügyi adatkezelés jellemzően ebbe a körbe esik. Mint mondta, sok esetben úgy kérnek hozzájárulást az adatok kiadásához, hogy az nem önkéntes, hanem feltétele például egy orvosi igazolás kiállításának. Mint fogalmazott, gátlástalan (adat)fosztogatás folyik az egészségügyben, a betegekről számos hivatalba küldenek adatokat a magyar orvosok, erről a páciens semmiféle tájékoztatást nem kap, és tiltakozásra, sőt, jogorvoslatra sincs lehetősége.
Úgy tűnik, a tájékoztatás hiányára megoldást kínál az egységes adatkezelési gyakorlat bevezetése – vélekedett Alexin Zoltán, aki szerint a jelenleg jogellenesen működő regiszterek és orvosi kutatások területén a GDPR fogja biztosítani a betegek számára a tájékozódáshoz és a tiltakozáshoz való jogot.
Sem a tájékoztatás, sem az együttműködés területén nem hoz nagy változást a GDPR a transzparenciakódex tekintetében – vezette le Pallagi Katalin (Merckgroup Compliance Officer South). Bár a tájékoztatás rendszere változhat, és lesznek olyan részletek, amelyeket bele kell foglalni a jelenlegi tájékoztatóba, ám a kódex az önkéntességen alapul, így az orvos élhet az önrendelkezési jogával.
Felkészülni, vigyázz, kész…?
Szervezeteink szinte minden téren érintettek lehetnek – állapította meg a gyakorlati dilemmákat és kihívásokat elemző kerekasztal mellett a GDPR-t orvosi szempontokból elemezve dr. Oberfrank Ferenc. Ugyanakkor bár az orvosok személy szerint részt vesznek a kutatásokban, a fejlesztésekben és a gyógyításban, a MOTESZ megválasztott elnöke nem számít arra, hogy azok a szabályok, amelyek most rájuk vonatkoznak, sokkal szigorúbbak lennének a jövőben. A szakma etikai elvei nincsenek jó állapotban, és ezen a területen az egységes szabályozás bevezetése ellenére is fennmarad a bizonytalanság.
A betegszervezetek zöme civil szervezet, amely önkéntes alapon, fizetett alkalmazottak nélkül működik – vette át a szót a betegoldal képviseletében dr. Pogány Gábor, a Nemzeti Betegfórum elnöke, feltéve a kérdést: ezeknek az egyesületeknek ki fog segíteni abban, hogy megfeleljenek a GDPR elvárásainak? Pedig relevanciája lenne, hiszen ezek a szervezetek nagyon sok adatot, köztük személyes és egészségügyi adatokat is kezelnek, nyilvántartásuk van az adományozókról, a betegekről, a szakemberekről és az ellátókról is.
Sok bizonytalanság és extra terhek vállalása mellett a gyógyszeripari cégek a jelenleg ismert feltételeknek megfelelnek – mondta dr. Holchacker Péter, az Innovatív Gyógyszergyártók Egyesületének (AIPM) igazgatója. Úgy vélte, a jó kezdeményezés megvalósításába számos hiba csúszott, döntően azonban nem a nagy piaci szereplőknél, hanem a szürkezónában tevékenykedőknél. Hozzátette: a GDPR adatvédelmi előírásainak való megfelelés új terheket jelent a vállalatok számára.
Hasonlóképpen nyilatkozott a gyártók és beszállítók tekintetében Csató András, az Egészségügyi Technológiai és Orvostechnikai Szállítók Egyesülete (ETOSZ) elnöke, aki arról is beszámolt, tagszervezeteiket igyekeztek felkészíteni a várható változásokra, ám a Medical Tribune konferenciája után csak a kérdőjelek száma gyarapodott, hiszen a hazai jogalkotás késésben van, és kicsi az esély, hogy az ágazati szereplők a májusi bevezetés előtt megismerhessék a hazai jogrend vonatkozó változásait. Úgy vélte, a legnagyobb szükség az illetékes hatóság mielőbbi kijelölésére lenne.
Valóban minden rendben van? – tette fel a kérdést az egészségipari szereplők optimizmusát hallva dr. Zalai Péter ügyvéd. Megjegyezte, a cégeknél az adatvédelmi és adatkezelési tudatosság sok esetben csak addig terjed, hogy hozzájárulást kérnek az adatkezeléshez, azonban a problémák leginkább az adattörlés gyakorlatánál merülhetnek fel.
