Σε ποιον ανήκουν τα δεδομένα ενός νοσηλευομένου σε κρατικό νοσοκομείο; Ο νέος ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων, όπως άλλωστε και η παλιότερη νομοθεσία, λέει ότι ανήκουν στον ασθενή. Αλλά μια εφαρμογή υπηρεσιών του υπουργείου Υγείας σχετικά με τα συστήματα διαχείρισης της λειτουργίας των νοσοκομείων εγείρει ερωτήματα σχετικά με την τήρηση της αρχής ότι «τα δεδομένα ανήκουν στους ασθενείς», σύμφωνα με μαρτυρίες ανθρώπων της αγοράς αλλά και παραδοχές κρατικών αξιωματούχων που εμπλέκονται στο έργο και που μίλησαν στην «Κ» τις τέσσερις τελευταίες εβδομάδες.

Αποστολή πληροφοριών από μονάδες υγείας δημοσίου και ιδιωτικού τομέα σε κρατικές υπηρεσίες (Υπουργείο και Εθνική Στατιστική Υπηρεσία) γινόταν από τα μέσα της δεκαετίας του ’90.

• Το 2011 υποκατεστάθη η διαδικασία ενημέρωσης των παραπάνω στοιχείων με την υποχρέωση απόδοσης στοιχείων στο esy.net

• Τα στοιχεία στο esy.net έγιναν η «μαγιά» για ένα νέο σύστημα παρακολούθησης της πορείας των νοσοκομείων, το Βusines Intelligence (BI) το 2015, μετά τη σχετική ολοκλήρωση του διαγωνισμού προμήθειας ΒΙ συστήματος από το υπουργείο, και τυποποιήθηκαν τα συγκεντρωτικά δεδομένα που ζητούνται.

• Το σύστημα αυτό δεν ήταν αποτελεσματικό στη διαχείριση των μεγεθών των νοσοκομείων, καθώς ήταν στημένο λάθος, συγκεντρώνονταν τα λάθος στοιχεία ή τα στοιχεία που συγκεντρώνονταν δεν ήταν αξιόπιστα διότι, όπως είπε στην «Κ» πρώην διοικητής νοσοκομείου της Θεσσαλονίκης, «οι υπάλληλοι αντέγραφαν τα στοιχεία της προηγούμενης χρονιάς χωρίς να συγκεντρώνουν και να επεξεργάζονται νέα». Το υπουργείο Υγείας αναγνώρισε το πρόβλημα και ζήτησε από τις διοικήσεις των νοσοκομείων να στέλνουν αξιόπιστα στοιχεία. Στο σημείο αυτό προκηρύχθηκε η δεύτερη φάση του BI health (σ.σ.: προϋπολογισμός 820.000 ευρώ). Στόχος, η τυποποιημένη εξαγωγή στοιχείων στο υπουργείο από τα πληροφοριακά συστήματα των νοσοκομείων σε πραγματικό χρόνο.

Αυτό δημιουργεί νέες απαιτήσεις, αφού τα στοιχεία προς επεξεργασία είναι πλέον ευαίσθητα προσωπικά δεδομένα, τα οποία πρέπει να τυποποιηθούν ώστε να υπάρχει η δυνατότητα ένταξής τους στο σύστημα BI (δηλαδή να κωδικοποιηθούν τα σχετικά υλικά, οι πράξεις, τα φάρμακα, οι μονάδες και τα τμήματα υγείας, οι επαγγελματίες υγείας κ.ο.κ.). Αυτό δεν είναι πολύ απλό, καθώς ο σχεδιασμός του συστήματος έχει γίνει με ορισμένο νομικό καθεστώς και η εκτέλεσή του πρέπει να γίνει με νέο, που δεν είναι άλλο από τον κανονισμό για την προστασία των προσωπικών δεδομένων, τον περίφημο GDPR που ισχύει σε ολόκληρη την Ευρώπη.

Δεν διασφαλίζεται η κρυπτογράφηση

Τον Μάρτιο του 2015 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την υπ’ αριθμόν 3/2015 γνωμοδότησή της έδωσε άδεια στο υπουργείο Υγείας και στις υπηρεσίες του να προχωρήσουν στο έργο –το παλιότερο νομικό πλαίσιο επέβαλε την έκδοση άδειας από την Αρχή– αλλά με κάποιες προϋποθέσεις. Η σημαντικότερη αφορούσε την ανωνυμοποίηση του ΑΜΚΑ (σ.σ. ο αλγόριθμος του ΑΜΚΑ «βγαίνει» από την ημερομηνία γέννησης). Πηγές της Αρχής που μίλησαν στην «Κ» εξήγησαν πως το υπουργείο Υγείας θα έπρεπε να τεκμηριώσει την ανάγκη της εφαρμογής, «κάτι που δεν είχε κάνει». Ακόμα, η Αρχή ζήτησε από τους υπεύθυνους της επεξεργασίας να κάνουν «εκτίμηση αντικτύπου», να αξιολογήσουν δηλαδή τους κινδύνους για τα δεδομένα των ασθενών από την εφαρμογή. Στις 26/7/2017, πριν από ένα χρόνο, δηλαδή, η Αρχή έδωσε την οριστική της έγκριση.

Το υπουργείο Υγείας είχε εν τω μεταξύ δημιουργήσει έναν κωδικό κατακερματισμού του ΑΜΚΑ (σ.σ. έναν κωδικό που «κρύβει» τον ΑΜΚΑ), οι ηλικίες των ασθενών είχαν αντικατασταθεί από ένα εύρος ηλικιών και είχαν δημιουργηθεί δύο διαφορετικά «κλειδιά» για την πρόσβαση στα δεδομένα. Αλλά σύμφωνα με όσα είπε στην «Κ» ένας παράγοντας του υπουργείου Υγείας, δεν είχε γίνει η «εκτίμηση αντικτύπου», μία καταγραφή δηλαδή της στάθμισης του κινδύνου από τη συγκέντρωση τέτοιων ευαίσθητων δεδομένων που απαιτεί ο κανονισμός. «Τέτοια εκτίμηση πρέπει να γίνει ανά νοσοκομείο και ανά σύστημα», είπε στην «Κ» πηγή που είναι απολύτως εξοικειωμένη με τον νέο ευρωπαϊκό κανονισμό για την προστασία των προσωπικών δεδομένων.

Σύμφωνα με πληροφορίες της «Κ», η ηγεσία του υπουργείου Δικαιοσύνης απασχολείται έντονα με την προοπτική να επιβληθούν πρόστιμα σε κρατικά νοσοκομεία για τη μη τήρηση του κανονισμού (φθάνουν έως και μέχρι 4% του τζίρου του νοσοκομείου) και αυτή η ανησυχία είναι ένας από τους λόγους που δεν έχει κυρωθεί με εθνικό νόμο ο ευρωπαϊκός κανονισμός. Παρ’ όλα αυτά οι υπεύθυνοι του υπουργείου Υγείας θεωρούν ότι ο σκοπός της επεξεργασίας (προστασία δημόσια υγείας) «αγιάζει τα μέσα», χωρίς όμως να παραγνωρίζουν τους κινδύνους. Πηγές ωστόσο που είναι εξοικειωμένες με τη διαδικασία σύνταξης του κανονισμού έλεγαν στην «Κ» ότι «η νομική βάση για την επεξεργασία είναι ένα πράγμα και η αναλογικότητα του τρόπου της επεξεργασίας ένα άλλο. Χρειάζεται δηλαδή το σύστημα αυτό να εξυπηρετεί και τον σκοπό για τον οποίο δημιουργήθηκε…». Και εδώ αρχίζουν τα προβλήματα.

Επιλέχθηκαν με βάση συμφωνία-πλαίσιο ορισμένοι προμηθευτές του υπουργείου Ψηφιακής Πολιτικής για να δημιουργήσουν μια ενδιάμεση εφαρμογή (buffer application) διά μέσου της οποίας θα λαμβάνονται τα στοιχεία από τις βάσεις δεδομένων των νοσοκομείων με τη βοήθεια των αναδόχων των πληροφοριακών συστημάτων των νοσοκομείων (ΟΠΣΥ) σε μια τυποποιημένη μορφή (data base view) σε συχνά διαστήματα π.χ. ημερησίως. Αυτές οι ενδιάμεσες εφαρμογές θα αποστέλλουν τα δεδομένα στο BI του υπουργείου. Τα δεδομένα από τη βάση δεδομένων του νοσοκομείου θα παραδίδονταν στην ενδιάμεση εφαρμογή μη κρυπτογραφημένα και μη διαβαθμισμένα.

Διαβάστε περισσοτερα Kathimerini.gr