Μ. Μαλλιαρού. Λγος (ΥΝ) Νοσηλεύτρια Ψυχικής Υγείας, M.Sc Πληροφορική Υγείας, Μεταπτυχιακή φοιτήτρια Διοίκησης Μονάδων Υγείας Ανοικτού Πανεπιστημίου Κύπρου, Υποψήφια Διδάκτωρ Νοσηλευτικής ΕΚΠΑ, 492 ΓΣΝ Αλεξανδρούπολης, Αλεξανδρούπολη.

Εισαγωγή

Η επανάσταση στον χώρο των νέων τεχνολογιών επιφέρει σημαντικές αλλαγές στον τρόπο με τον οποίο αντιλαμβανόμαστε την έννοια και το περιεχόμενο της παροχής φροντίδας υγείας. Η ιατρική πληροφορία είναι από τους πιο ευαίσθητους τύπους πληροφορίας και η κακή της χρήση επηρεάζει την ζωή του ατόμου. Παλαιότερα αυτή η πληροφορία αποθηκευόταν στα γραφεία των ιατρών χωρίς κανένας να ξέρει για την ύπαρξη της. Προστατευόταν από την απομόνωση της και την άγνοια της ύπαρξης της. Πλέον η πρόσβαση σε αυτή τη γνώση γίνεται μέσω των υπολογιστών ενώ λόγω των τεχνολογικών εξελίξεων και αυτή η παρεχόμενη πληροφορία έχει αυξηθεί. Για παράδειγμα υπάρχουν πλέον γενετικές πληροφορίες που παλαιότερα δεν ήταν διαθέσιμες. Αυτές οι πληροφορίες μπορεί να επηρεάσουν το εάν ένα άτομο θα προσληφθεί, πως θα εξελιχθεί η καριέρα του, ο μισθός του, πιθανές προαγωγές του, η παραμονή του στην εργασία, κ.λπ. Για αυτό το λόγο είναι απαραίτητη η διασφάλιση της εμπιστευτικότητας της χρήσης και η αποφυγή της διασποράς των πληροφοριών αυτών σε μη εξουσιοδοτημένους χρήστες.¹ Οι πληροφορίες γύρω από το ιστορικό υγείας, όπως οι ασθένειες, τα συμπτώματα και η περίθαλψη που έχει λάβει κάποιος είναι από τις πλέον ευαίσθητες και εμπιστευτικές.

Ο ηλεκτρονικός φάκελος υγείας αποτελεί έναν ψηφιακά αποθηκευμένο φάκελο φροντίδας υγείας (ή υποσύνολο αυτού) για όλη τη διάρκεια ζωής του ατόμου, με στόχο την υποστήριξη της συνέχειας της φροντίδας υγείας (ποιότητα, πρόσβαση, αποδοτικότητα), την εκπαίδευση και την έρευνα. Αντικαθιστά τον χειρόγραφο φάκελο ως την κύρια πηγή πληροφοριών για την φροντίδα υγείας εξασφαλίζοντας κλινικές, διοικητικές και νομικές απαιτήσεις.² Τα συστήματα ηλεκτρονικού φακέλου υγείας υλοποιούνται και διατηρούνται για τη συλλογή, αποθήκευση, ανάκτηση, επεξεργασία και διακίνηση δεδομένων που σχετίζονται με τη φροντίδα υγείας ασθενών συμπεριλαμβανομένων των κλινικών, διοικητικών και οικονομικών δεδομένων.³

Ο όρος ευαίσθητα προσωπικά δεδομένα χρησιμοποιείται για τα δεδομένα προσωπικού χαρακτήρα έτσι όπως αναφέρεται στις κατευθυντήριες γραμμές σύμφωνα με τους ορισμούς της οδηγίας 95/46/ΕΚ για την προστασία των δεδομένων και αναφέρεται σε οιεσδήποτε πληροφορίες αφορούν ένα προσδιορισμένο ή προσδιορίσιμο φυσικό πρόσωπο. Ένα προσδιορίσιμο φυσικό πρόσωπο είναι εκείνο το πρόσωπο το οποίο μπορεί να προσδιοριστεί άμεσα ή έμμεσα ειδικότερα σε σχέση με τον αριθμό ταυτοποίησης του ή ένα ή περισσότερα στοιχεία που αφορούν την φυσική, φυσιολογική, διανοητική, οικονομική, πολιτιστική ή κοινωνική του ταυτότητα.⁴

Τα δεδομένα σχετικά με την υγεία του ατόμου αποτελούν μέρος της προσωπικότητας του ατόμου και όχι ιδιοκτησία του φορέα που τα συλλέγει και τα επεξεργάζεται. Έτσι η επεξεργασία των δεδομένων πρέπει να συνάδει με τις σχετικές διατάξεις για την προστασία των προσωπικών ευαίσθητων δεδομένων και του ιατρονοσηλευτικού απορρήτου.⁵

Ιστορική αναδρομή σχετικά με την προστασία προσωπικών δεδομένων

Οι πρώτες αντιδράσεις στο πεδίο της προστασίας προσωπικών δεδομένων καταγράφονται σε διεθνές επίπεδο από τότε που καταγράφθηκε η ανάγκη νομοθετικής προστασίας της ιδιωτικότητας. Η ανάγκη της ιδιωτικότητας διατυπώθηκε στη Σύμβαση της Ρώμης της 4ης Νοεμβρίου 1950 για την προστασία των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών. Η Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου (EΣΔA) του 1950 προστατεύει στο άρθρο 8 την ιδιωτική ζωή, στην οποία συγκαταλέγονται και τα προσωπικά δεδομένα. Ως προς τα ιατρικά δεδομένα το Δικαστήριο των Ανθρωπίνων Δικαιωμάτων όρισε αυστηρές προϋποθέσεις για την ανακοίνωσή τους σε τρίτους. Οι πρώτες ανησυχίες για  την ιδιωτικότητα τέθηκαν στον νόμο για την προστασία δεδομένων του 1970 (Hesse Data Protection Act 1970), τον Σουηδικό νόμο για την προστασία των δεδομένων του 1973 (Swedish Privacy Act 1973) και τον νόμο περί ιδιωτικότητας των ΗΠΑ του 1974 (US Privacy Act 1974), οι οποίοι έθεσαν τις απαιτήσεις χωρίς όμως να έχουν καμία εξουσία γύρω από την προστασία των δεδομένων.⁶

Ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) ήταν ο δεύτερος διεθνής οργανισμός που το 1980 ασχολήθηκε με την προστασία προσωπικών δεδομένων, εκδίδοντας «Κατευθυντήριες Αρχές που διέπουν την προστασία της ιδιωτικότητας και τις διασυνοριακές ροές προσωπικών δεδομένων». Οι Αρχές αυτές περιλαμβάνουν την αρχή της περιορισμένης συγκέντρωσης και συλλογής δεδομένων, την αρχή της ποιότητας των δεδομένων, την αρχή του προσδιορισμένου σκοπού, την αρχή της περιορισμένης χρήσης των προσωπικών δεδομένων, την αρχή μέτρων ασφαλείας των προσωπικών δεδομένων, την αρχή της διαφάνειας, την αρχή της συμμετοχής του ατόμου και την αρχή της ευθύνης. Είναι ένα πλαίσιο γενικών αρχών χωρίς δεσμευτικό χαρακτήρα που συγκέντρωσε για μεγάλο διάστημα τη συναίνεση πολλών χωρών και κυρίως εκείνων που στερούνταν ειδικής νομοθεσίας για την προστασία προσωπικών δεδομένων.⁷

Σε απόλυτη συνοχή και συνάφεια με τις διεθνείς συνθήκες η Διακήρυξη της Χιλιετίας των Ηνωμένων Εθνών, η οποία διακηρύσσει πως ένας από τους στόχους της είναι και η υπεράσπιση των ανθρωπίνων ελευθεριών, η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κρίνεται κεφαλαιώδους σημασίας μέσω του καθορισμού κατευθυντήριων αρχών που προσδιορίζουν τη νομιμότητα της επεξεργασίας αυτής.⁸

Νεότερα δεοντολογικά κείμενα αποτρέπουν τους γιατρούς από το να αποθηκεύουν τα προσωπικά στοιχεία των ασθενών σε ηλεκτρονικούς υπολογιστές ή αν αυτό συμβαίνει, να γίνεται κάτω από αυστηρές προϋποθέσεις. Τέτοια κείμενα είναι η Διακήρυξη της Ευρωπαϊκής Ένωσης των Γενικών Γιατρών για το Ιατρικό Απόρρητο (1979), η Απόφαση της Παγκόσμιας Ιατρικής Ένωσης για τη χρησιμοποίηση των Ηλεκτρονικών Υπολογιστών στην Ιατρική (1983) και η Διεθνής Συνδιάσκεψη Ιατρικών Συλλόγων, που επεξεργάστηκε τις Αρχές της Ευρωπαϊκής Ιατρικής Δεοντολογίας (1987). Τη διαφύλαξη των ιατρικών αρχείων με ατομική ευθύνη των γιατρών και την προστασία απορρήτου ακόμα και από τον εργοδότη τους και τη διοίκηση, προστατεύουν άλλα δύο κείμενα Διεθνών Οργανώσεων, ο Χάρτης του Μισθωτού Γιατρού και ο Χάρτης του Νοσοκομειακού Γιατρού, που υιοθετήθηκαν από τη Γενική Συνέλευση της Διαρκούς Επιτροπής των Γιατρών της ΕΟΚ το 1984 και το 1985, αντίστοιχα.⁹

Διεθνή και Ευρωπαϊκά νομικά εργαλεία προστασίας προσωπικών δεδομένων από την ηλεκτρονική τους διαχείριση

• Council of Europe convention 108 - Σύσταση 108 του Συμβουλίου της Ευρώπης ^6,10

Η Σύσταση 108 του Συμβουλίου της Ευρώπης για την προστασία των ατόμων από την αυτόματη επεξεργασία των προσωπικών τους δεδομένων, δημιούργησε τις πρώτες διασφαλίσεις που πρέπει να τηρούνται σε σχέση με την επεξεργασία των προσωπικών δεδομένων. Η Σύσταση 108 του Συμβουλίου της Ευρώπης του 1981 ορίζει στο άρθρο 6 ότι, για την προστασία των ατόμων από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα ιατρικά δεδομένα δεν μπορούν να γίνουν αντικείμενο αυτοματοποιημένης επεξεργασίας χωρίς εγγυήσεις για την προστασία τους, ενώ τα κριτήρια για τις εγγυήσεις πρέπει να ορίζονται με νόμο.

Η Σύσταση 108 έθεσε κανόνες για την προστασία των προσωπικών δεδομένων στην περίπτωση διασυνοριακής ροής πληροφοριών. Υπήρξε το πρώτο διεθνές δεσμευτικό κείμενο αλλά δεν ήταν αμέσου εφαρμογής. Η ισχύς της στο εσωτερικό δίκαιο των χωρών εξαρτιόταν από την κύρωσή της αλλά και την θέσπιση εσωτερικών ρυθμίσεων. Η Σύσταση 108 άρχισε να ισχύει στην Ελλάδα από την 01-01-1995, χωρίς ωστόσο να δημιουργεί ένα επαρκές καθεστώς προστασίας των προσωπικών δεδομένων.

• Council of Europe Recommendation R(81)1 - Πρόταση R (81)1 του Συμβουλίου της Ευρώπης ^6,11

Το συμβούλιο της Ευρώπης ανέπτυξε την οδηγία R(81)1 που έδινε ακριβείς οδηγίες για την χρήση των αυτόματων ιατρικών βάσεων δεδομένων, κάτι για το οποίο δεν είχε παρατηρηθεί μέχρι τότε το αντίστοιχο διεθνές ενδιαφέρον. Η οδηγία R(81)1 απαίτησε από τις ιατρικές βάσεις δεδομένων να αναπτύξουν ένα σύνολο από κανονισμούς που θα καθοδηγούν όλες τις λειτουργίες και καθόρισε ένα ελάχιστο μέγεθος περιεχομένου που πρέπει να αναφέρεται σε κάθε αναπτυσσόμενο κανονισμό για την νέα βάση ιατρικών δεδομένων κάτι που πρόσφατα περιγράφεται ως πολιτική ασφαλείας. Έθεσε τα κατάλληλα μέτρα ώστε να είναι δυνατή η πρόσβαση του υποκειμένου μέσω της παρέμβασης του γιατρού.

• Council of Europe Recommendation R (75)5 - Πρόταση R (75)5 του Συμβουλίου της Ευρώπης ^6,12

Το έργο του Συμβουλίου της Ευρώπης στην περιοχή της ιατρικής γενετικής και της βιοηθικής οδήγησε στην άποψη ότι ίσως υπάρξουν κάποια προβλήματα ανάμεσα στις απαιτήσεις για συμβουλευτική σε θέματα γενετικής και στην προστασία των δεδομένων που ανταλλάσσονται, με αποτέλεσμα την αναθεώρηση της Πρότασης για τις Αυτοματοποιημένες Τράπεζες Ιατρικών δεδομένων. Αυτό το έργο ήταν μια προσπάθεια να καταγραφεί η κατάσταση της παροχής υγείας στην Ευρώπη και να διασφαλιστεί ότι οι επαγγελματίες υγείας ακολουθούν τα πρότυπα κατά την διαχείριση των ιατρικών δεδομένων έτσι ώστε οι ασθενείς να μπορούν να είναι σίγουροι ότι τα προσωπικά τους δεδομένα προστατεύονται με ένα ομοιόμορφο τρόπο. Αυτή η νέα Πρόταση υιοθετήθηκε στις 12 Φεβρουαρίου 1997 ως Πρόταση R (75)5 και αντικατέστησε την μέχρι τότε ισχύουσα προσφέροντας μια νέα βάση για τον τρόπο διαχείρισης ιατρικών προσωπικών δεδομένων συμπεριλαμβάνοντας και τα προσωπικά δεδομένων γύρω από την γενετική.

• Οδηγία της Ευρωπαϊκής Ένωσης 95/46/ΕΚ ^6,13

Στα κράτη-μέλη της Ευρωπαϊκής Ένωσης σταθμό στην προστασία των προσωπικών δεδομένων αποτελεί η Οδηγία 95/46/EK για την «προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» και για την «ελεύθερη κυκλοφορία των δεδομένων» αυτών. Με την Οδηγία αυτή εξασφαλίζεται η εναρμόνιση των εθνικών νομοθεσιών των κρατών-μελών ως προς την προστασία των προσωπικών δεδομένων και η ελεύθερη κυκλοφορία τους στα κράτη-μέλη. Η οδηγία της Ευρωπαϊκής Ένωσης 95/46/ΕΚ υιοθετήθηκε στις 24 Οκτωβρίου 1995. Η θέση της είναι αρκετά διαφορετική από το σύμφωνο και τις μέχρι τώρα προτάσεις του Συμβουλίου της Ευρώπης στο ότι η οδηγία είναι υποχρεωτική για όλες τις χώρες της Ευρωπαϊκής Ένωσης. Ωστόσο, η θέση της περιορίζεται στην νόμιμη ισχύ και αρμοδιότητα του Ευρωπαϊκού Νόμου σε κάθε κράτος-μέλος.

• HIPAA - HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT

Το Αμερικανικό Κογκρέσο θέσπισε την Health Insurance Portability and Accountability Act (HIPAA) το 1996 για να περιορίσει την δυνατότητα των εργοδοτών να αρνηθούν ασφαλιστική κάλυψη στους εργαζομένους με προϋπάρχοντα προβλήματα υγείας. Αυτός ο νόμος είχε ως αποτέλεσμα την διασφάλιση της ιδιωτικότητας του ασθενή αλλά και την αύξηση του κόστους παροχής φροντίδας υγείας. Ως HIPAA περιγράφηκε μια αρχή προστασίας του καταναλωτή που εκτός των άλλων δίνει στα άτομα το δικαίωμα να λάβουν τον προσωπικό ηλεκτρονικό τους φάκελο, να ζητήσουν τροποποιήσεις στον φάκελο τους και να μάθουν σε ποιους αποκαλύφτηκαν πληροφορίες από τον φάκελο τους.

Τα πρότυπα ασφάλειας της HIPAA ισχύουν για τις προστατευμένες ιατρικές πληροφορίες που είτε αποθηκεύονται είτε μεταφέρονται ηλεκτρονικά. Προστατευμένες είναι αυτές οι πληροφορίες που οδηγούν στην αναγνώριση της ταυτότητας του ασθενούς δηλαδή τα ευαίσθητα προσωπικά δεδομένα.¹⁴

Στην Αμερική το 2003 θεσμοθετήθηκε η νομική υποχρέωση της προάσπισης της ιδιωτικότητας και της εμπιστευτικότητας των δεδομένων του ασθενή υπό την αιγίδα του HIPAA. Οι κανονισμοί HIPAA θέτουν τις αρχές και τις διαδικασίες για την εξασφάλιση ότι η αποκάλυψη προσωπικών δεδομένων θα μειωθεί στο ελάχιστο δυνατό για την εκπλήρωση του σκοπού για τον οποίο τα προσωπικά δεδομένα αποκαλυφθηκαν.¹⁵

Σύμφωνα με τις νομοθετικές ρυθμίσεις της HIPAA, οι ιατρικές πληροφορίες δεν πρέπει να αποκαλύπτονται χωρίς την συγκατάθεση του ασθενή, εκτός εάν απαιτείται η αποκάλυψη τους κάτω από ειδικές συνθήκες, όπως για ερευνητικούς σκοπούς. Η συναίνεση που απαιτείται για την αποκάλυψη των προσωπικών πληροφοριών του ασθενή εξαρτώνται από την αιτία της αποκάλυψής τους. Έτσι για την αποκάλυψη πληροφοριών, οι οποίες είναι απαραίτητες για τον καθορισμό της θεραπείας, της χρέωσης και της κάλυψης των υπηρεσιών για την παροχή φροντίδας του ατόμου, απαιτείται μια απλή, γενική συναίνεση από τον ίδιο τον ασθενή.¹⁶

Η HIPAA απαιτεί από τα νοσοκομεία να έχουν μηχανισμούς για να μπορεί να ελέγχεται ποιο άτομο είχε πρόσβαση και σε ποια δεδομένα, την ημερομηνία και την ώρα που έγινε αυτό, εάν η πρόσβαση ήταν επιτυχής και κατά ποιο τρόπο έγινε αυτό, δηλαδή εάν απλά είδε τα δεδομένα, εάν έγραψε νέα, εάν έκανε αλλαγές ή εάν έσβησε κάποια δεδομένα. Οι απαιτήσεις είναι οι ίδιες και σε δεδομένα που δεν είναι σε μορφή κειμένου αλλά σε μορφή εικόνας (αξονική-μαγνητική-ακτινογραφία). Έτσι θέτει περιορισμούς στη χρήση των εικόνων και αποτρέπει την μη εξουσιοδοτημένη πρόσβαση σε αυτές.^15,17

Ελληνική πραγματικότητα για το θεσμικό πλαίσιο ασφαλείας

• Η Συνταγματική κατοχύρωση της προστασίας προσωπικών δεδομένων

Κατά την τελευταία αναθεώρηση του Συντάγματος κρίθηκε επιβεβλημένη η κατοχύρωση ενός νέου, ειδικού δικαιώματος προστασίας των προσωπικών δεδομένων. Το νέο άρθρο 9Α του ελληνικού Συντάγματος 1975/86/01 που συμπεριλήφθηκε στο Σύνταγμα με την τελευταία αναθεώρηση του 2001 ορίζει ότι ο «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών δεδομένων, όπως ο νόμος ορίζει». Στη νέα διάταξη αναδεικνύεται ωστόσο η ένταση των κινδύνων που εμπεριέχει η επεξεργασία δεδομένων με ηλεκτρονικά μέσα. Η προστασία προσωπικών δεδομένων ανήκει στην κατηγορία των νέων δικαιωμάτων που κατοχυρώνει το αναθεωρημένο Σύνταγμα, κοινό στοιχείο των οποίων είναι η εξασφάλιση όχι μόνο έναντι της κρατικής εξουσίας αλλά και έναντι των ιδιωτών. Καθώς αυτό το δικαίωμα είναι ευάλωτο σε προσβολές από τους ιδιώτες, το κράτος δεν μπορεί να αρκείται στην αποχή και την αποτροπή των προσβολών αυτών από τα όργανα του, αλλά πρέπει να μην επιτρέπει την προσβολή του από ιδιώτες, λαμβάνοντας μέτρα για το σκοπό αυτό. Η μόνη απόφαση του αναθεωρητικού νομοθέτη σχετικά με τις εγγυήσεις προστασίας των προσωπικών δεδομένων αφορά τη Συνταγματική κατοχύρωση της ανεξάρτητης αρχής με αποστολή τη διασφάλιση του δικαιώματος. Η ίδρυση ανεξάρτητων αρχών αποτυπώνεται ως εγγενές χαρακτηριστικό του συστήματος προστασίας προσωπικών δεδομένων σε διεθνή κείμενα, δεσμευτικά ή μη. ^18,19,20

Ο Νόμος 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα¹⁹

Ο ελληνικός νόμος 2472/97 μεταφέρει την Κοινοτική Οδηγία στο εσωτερικό δίκαιο και συγχρόνως εκπληρώνει την υποχρέωση της Ελλάδας που απορρέει από τη Σύσταση 108 του Συμβουλίου της Ευρώπης να θεσπίσει ειδικές διατάξεις για την προστασία των προσωπικών δεδομένων. Σύμφωνα με την Ευρωπαϊκή Οδηγία 95/46/EK - και τον Ελληνικό νόμο 2472/97 - η επεξεργασία των ιατρικών δεδομένων υπόκειται σε ειδικές ρυθμίσεις.

Η προστασία των ιατρικών δεδομένων διέπεται από τις διατάξεις Ν. 2472/97 και Ν. 2774/99 και τις διατάξεις σχετικά με το ιατρικό απόρρητο. Σύμφωνα με το νόμο 2472/97, ο ασθενής του οποίου τα ευαίσθητα δεδομένα υπόκεινται κάποιας μορφής επεξεργασία από κάποιους έχει το δικαίωμα⁹:

• Να ενημερωθεί για τις πληροφορίες που τον αφορούν και αποτελούν αντικείμενο αρχειοθέτησης.
• Να μάθει το σκοπό της επεξεργασίας, ποιοι θα έχουν πρόσβαση στα δεδομένα και πόσο χρόνο θα διαρκέσει η επεξεργασία.
• Να ζητήσει τη διόρθωση, την προσωρινή μη χρησιμοποίηση, τη μη διαβίβαση μέρους ή όλων των δεδομένων. Ενώ οι υποχρεώσεις των υπευθύνων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι οι εξής ⁹:
• Να γνωστοποιήσουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη σύσταση και λειτουργία αρχείου, αποτελούμενου από ευαίσθητα δεδομένα ασθενών ή την έναρξη της επεξεργασίας τους, ενώ σε μερικές περιπτώσεις απαιτείται και σχετική άδεια.
• Οι παραπάνω ενέργειες πρέπει να γίνονται εντός συγκεκριμένης προθεσμίας, όπως αυτή ορίζεται από την Αρχή. Η πάροδος της προθεσμίας αυτής συνεπάγεται σοβαρές διοικητικές κυρώσεις που επιβάλλει η Αρχή αλλά και ποινικές, που διώκονται αυτεπάγγελτα ή ύστερα από παρέμβαση της Αρχής.
• Οι υποχρεώσεις των υπευθύνων της επεξεργασίας ισχύουν και αφορούν όλες τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα και όλα τα αρχεία ανεξάρτητα εάν αυτά ανήκουν σε ιδιωτικούς ή δημόσιους χώρους υγείας.
• Σε περίπτωση παράβασης ο υπεύθυνος υπόκειται στις κυρώσεις του νόμου ανάλογα βέβαια με τον χαρακτήρα και το μέγεθος της παράβασης ανεξάρτητα από την φύση του αρχείου.

Επίλογος

Ο καθορισμός των ηθικών αλλά και νομικών διαδικασιών και κριτηρίων όσο αφορά στην ηλεκτρονική συλλογή, επεξεργασία και διακίνηση προσωπικών ευαίσθητων δεδομένων σε πιθανούς δευτερεύοντες χρήστες δεδομένων υγείας, όπως είναι οι ασφαλιστικές και φαρμακευτικές εταιρείες είναι απαραίτητος. Τυχόν αποκάλυψη των δεδομένων αυτών θέτει σε κίνδυνο την σχέση επαγγελματιών υγείας - ασθενούς αλλά και των μελών της κοινωνίας αφού είναι πιθανό από τον φόβο αποκάλυψης ο ασθενής να μην εμπιστευθεί κρίσιμες πληροφορίες που αφορούν όχι μόνο στην υγεία του αλλά και στην διατήρηση της δημόσιας υγείας. ^21,22,23

Μέσα στο νοσοκομείο, όπου πολυάριθμες ειδικότητες και εξειδικεύσεις συνυπάρχουν, κανείς από τους συμμετέχοντες στη λειτουργία του δεν μπορεί να ικανοποιήσει τις ανάγκες του σε πληροφόρηση χωρίς την συμπληρωματική πληροφόρηση του. Ο καθένας έχει την ανάγκη να πληροφορείται και να πληροφορεί. Κάθε δυσλειτουργία στην ροή της πληροφορίας δημιουργεί έλλειμμα και περιορισμό δυνατοτήτων στην άσκηση του έργου του. Ο βαθμός και η ποιότητα της ενημέρωσης και της επικοινωνίας επιδρούν στην διαμόρφωση των σχέσεων του προσωπικού υγείας με τον ασθενή και καθορίζουν την ποιότητα της θεραπευτικής σχέσης.²⁴

 Οι επαγγελματίες υγείας καθώς επίσης και οι επαγγελματίες πληροφορικής υγείας είναι σημαντικό να γνωρίζουν ότι πρέπει να σέβονται την ιδιωτικότητα των ασθενών και ότι κάθε ρήγμα σε αυτή λόγω της χρήσης προσωπικών δεδομένων των ασθενών χωρίς την συγκατάθεση τους αποτελεί απειλή. Είναι ξεκάθαρο ότι το δικαίωμα του ασθενούς στη διασφάλιση της εμπιστευτικότητας των προσωπικών του δεδομένων δεν μπορεί να υποβιβασθεί από τη χρήση του ηλεκτρονικού φακέλου. Επαγρύπνηση, συνεχής έλεγχος, ευαισθητοποίηση των χρηστών και λήψη κατάλληλων, αποδοτικών, λογικών και οικονομικά ανεκτών μέτρων είναι μερικά από τα απαραίτητα μέτρα για να διασφαλιστεί η τήρηση του ιατρονοσηλευτικού απορρήτου, να εξασφαλιστεί η εμπιστευτική χρήση των προσωπικών ευαίσθητων δεδομένων χωρίς να θίγεται η αυτονομία και η αυτοδιάθεση του ατόμου.²¹

Η εφαρμογή πολιτικής ασφαλείας για τα πληροφοριακά συστήματα σε ένα οργανισμό όπως το νοσοκομείο αποτελεί νομική υποχρέωση για το ίδιο αφού πρέπει να ικανοποιεί τις απαιτήσεις για την προστασία των ευαίσθητων προσωπικών δεδομένων που βρίσκονται αποθηκευμένα στο ιατρικό ηλεκτρονικό του φάκελο όπως αυτές διατυπώνονται στον Νόμο 2472 του 1997 για την «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα».⁷

Η κατάσταση γίνεται ακόμη πιο περίπλοκη και κρίνεται η εφαρμογή της επιτακτικότερη με την συμμετοχή ανεξάρτητων οργανισμών υγείας στην ανταλλαγή ηλεκτρονικών φακέλων υγείας καθώς μέχρι τώρα η υλοποίηση παγκόσμιας πολιτικής ασφαλείας αποτελεί απλά ένα φιλόδοξο σχέδιο.²⁵

Η δημιουργία εμπιστοσύνης είναι προαπαιτούμενο για την ανάπτυξη της κοινωνίας της πληροφορίας. Οι πολίτες προτιμούν υπηρεσίες και πληροφορίες προσαρμοσμένες στις ανάγκες και τις απαιτήσεις τους, γνωρίζοντας ότι προστατεύεται το δικαίωμά τους στην ιδιωτική ζωή.^26,27,28

 
Βιβλιογραφία

1. Fernandez EB, Larrondo PM. Security Models for Medical and Genetic Information Systems: Requirements for Access Control. LACCET 04. Proceedings of the 2nd International Latin American and Caribbean Conference for Engineering and Technology ?Challenges and Opportunities for Engineering Education, Research and Development.? 2004 Jun 2-4; Miami, Florida, USA.
   
2. Computer-based Patient Record Institute. Work Group on CP Description. Computer-based Patient Record description of Content. Bethesda, MD: Computer-based Patient Record Institute; May 1996:5.
   
3. Work Group on Computerization of Patient Records. Report to the Secretary of the U.S. Department of Health and Human Services. Toward a National Health Information Infrastructure. Chicago: American Hospital Association, April 1993:5
   
4. Αποστολάκης Ι. Θέματα Διοίκησης Πληροφοριακών Υποδομών στις Μονάδες Υγείας. Αθήνα: Εκδόσεις ΜediForce; 2005.
   
5. Πάγκαλος Γ, Μαυρίδης Ι. Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων. Θεσσαλονίκη: Εκδόσεις Ανικούλα; 2002.
   
6. Βarber B. Patient data and security: an overview. International journal of Medical Informatics 1998; 49(1):19-30.[PubMed]
   
7. Κάτσικας Σ, Γκρίτζαλης Δ, Γκρίτζαλης Σ. Ασφάλεια Πληροφοριακών Συστημάτων. Αθήνα: Εκδόσεις Νέων Τεχνολογιών; 2004. 
   
8. Ελληνική Εταιρεία Επιστημόνων Ηλεκτρονικών Υπολογιστών και Πληροφορικής. Ασφάλεια Πληροφοριών: Τεχνικά, Νομικά και Κοινωνικά Θέματα. Αθήνα: Εκδόσεις Νέων τεχνολογιων;1995.
   
9. Μαλλιαρού Μ. Πολιτική ασφαλείας και διασφάλιση ιατρικού απορρήτου ηλεκτρονικού φακέλου υγείας ασθενών. Μεταπτυχιακή Διπλωματική εργασία Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών Τμήμα Νοσηλευτικής Διαπανεπιστημιακό Διατμηματικό πρόγραμμα μεταπτυχιακών σπουδών: Ειδίκευση Πληροφορική Υγείας, Αθήνα 2006.
   
10. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Council of Europe Convention 108, 1981 Jan, ISBN (1982) 92871-00225[LinkOut]
    
11. Council of Europe Recommendation, R(81)1, on Automated Medical Data Banks, Council of Europe, Strasbourg, 1981 Jan 23.[PDF]
    
12. Council of Europe Recommendation, R(97)5, on The Protection of Medical Data, Council of Europe, Strasbourg, 1997 Feb13.[LinkOut]
    
13. Council of Europe, Directive 95/46/EC, On the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data (OJ L281/31?50, 24 October 1995), Strasbourg, 1995.[LinkOut]
    
14. Kibbe DC. Ten Steps to HIPAA Security Compliance. Fam Pract Manag 2005; 12 (4):43-49.[Link]
    
15. Zhou Z, Liu BJ. HIPAA compliant auditing system for medical images. Computer Medical Imaging and Graphics 2005; 29(2-3). [PubMed]
    
16. Κρητικάκη Σ. Ασφάλεια ιατρικών δεδομένων και ηλεκτρονικός φάκελος ασθενών. Μεταπτυχιακή Διπλωματική εργασία Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών Τμήμα Νοσηλευτικής Πληροφορική Υγείας, Αθήνα 2001.
    
17. Fodor J. "HIPAA and the EHR: Making Technical Safeguard Changes." Journal of AHIMA 2004; 75(1):54-55.[PubMed].
    
18. Κοσμόπουλος Α. Η πολιτική ασφαλείας στο σύγχρονο νοσοκομείο. Παρουσίαση στο 1ο Πανελλήνιο Συνέδριο για την Υγεία & τα Προσωπικά Δεδομένα. 2006 Μάρτιος 28-29; Αθήνα: Εθνικό Ίδρυμα Ερευνών.
    
19. Κατσάνου Π. Διαχείριση ευαίσθητων δεδομένων ασθενών στο διαδίκτυο. Μεταπτυχιακή διπλωματική εργασία Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών Τμήμα Νοσηλευτικής Πληροφορική Υγείας, Αθήνα 2002.
    
20. Μαλλιαρού Μ. Πληροφοριακά συστήματα στη Νοσηλευτική πράξη. Επιθεώρηση Υγείας 2007;18(108):37-41.
    
21. Fairweather NB, Rogerson S. A moral approach to electronic patient records. Med. Inform 2001;26(3):219-234.[PubMed].
22. Harman LB. Ethical challenges in the management of health information. In Harman LB editor. Ethical challenges in the management of health information. Gaithersburg: Aspen; 2001.
23. Harman LB. Professional code of ethics and values. In: Harman LB editor. Ethical challenges in the management of health information. Gaithersburg: Aspen; 2001.
24. Σαρρής Μ, Χρυσάκης Μ, Σούλης Σ, Γεωργιάδου Μ. Επικοινωνία και διαχείριση πληροφορίας στις υπηρεσίες υγείας: από τον ιατρικό φάκελο στον φάκελο φροντίδας υγείας. Νοσηλευτική 2002;41:174-184. [ΙΑΤΡΟΤΕΚ online]
    
25. Defteraios S, Lambrinoudakis C, Gritzalis D. High level security policies for health: from theory to practice. Stud Health Technol Inform 2004; 103:416-23. [PubMed].
    
26. COM(2005) 356 τελικό Ανακοίνωση της επιτροπής, στο Ευρωπαϊκό Κοινοβούλιο, στην Ευρωπαϊκή οικονομική και κοινωνική επιτροπή και στην επιτροπή περιφερειών. Βρυξέλλες, 30.4.2004 ηλ-υγεία (ηλεκτρονική υγεία) ? βελτίωση των υπηρεσιών ιατροφαρμακευτικής περίθαλψης για τους πολίτες της Ευρώπης: Σχέδιο δράσης για έναν Ευρωπαϊκό Χώρο ηλ-Υγείας.
    
27. Malliarou M, Liaskos J, Mantas J. Legislative issues in the processing of sensitive personal data in the electronic patient record. Conference Proceedings of International Conference on Information
28. Communication Technologies in Health. 5th ICICTH, July 5-7, 2007, Samos Island, Greece.
    Μαλλιαρού Μ. Ευρωπαϊκά Προγράμματα για την Ασφάλεια των Δεδομένων του Ηλεκτρονικού Φακέλου Υγείας. Επιθεώρηση Υγείας 2007;18(106):31-34.