Hiigeltrahvid on tervishoius jõudnud ka Eestisse

Tasub teada, et majavälise teenuseosutaja kasutamisel (nt kasutades teenuseosutaja abi dokumentide hävitamisel või IT-süsteemi haldamisel) ei lähe andmetöötlust puudutav vastutus automaatselt üle.

Hiljuti jõudis ajakirjandusse juhtum, kus patsientide ravidokumentidesse sattusid meditsiinitarkvara vea tõttu hoopis teiste patsientide andmed. Tekkinud viga puudutas teadaolevalt 45 perearstikeskust, mis patsientide andmete töötlemiseks seda tarkvara kasutasid. Taolised juhtumid, nende lahendamine ja võimalikud tagajärjed ei puuduta üksnes tarkvarateenuse pakkujat.

Patsiendi andmete vastutav töötleja on tarkvarateenuse klient, st perearstikeskus või muu tervishoiuteenuse osutaja. Vastutav töötleja ei tohi andmekaitsealasest rikkumisest teada saamisel jääda passiivsesse rolli, vaid peab koostöös tarkvaraettevõttega välja selgitama kõik juhtumi asjaolud, hindama vajadust teavitada rikkumisest andmekaitse inspektsiooni ja patsiente ning täitma veel mitmeid vastutaval töötlejal lasuvaid kohustusi. Näiteks, kui patsient oleks ebaõigete kannete tõttu kahjustada saanud, olnuks tal õigus esitada kahju hüvitamise nõue ka perearstikeskuse vastu. Juhul, kui perearstikeskus oleks tarkvaraveast teada saamisel ja juhtunu lahendamisel rikkunud oma vastutava töötleja kohustusi, võinuks ka teda ähvardada trahv.

Taolisteks juhtumiteks tuleb valmis olla ja on väga oluline teada, kes, mida ja milliste tähtaegade jooksul peab tegema. Veelgi enam – vastastikused teavitamiskohustused ja vastutuse jaotus tuleks kokku leppida juba teenuseosutajaga lepingu sõlmimisel.

Andmekaitse nõuete täitmine ja trahvirisk ei puuduta üksnes tervishoiuteenuse osutajat kui juriidilist isikut, vaid, sõltuvalt olukorrast, ka tervishoiutöötajaid. Märkimisväärne osa arstide toime pandud rikkumistest seondub endiselt patsiendi andmete põhjendamatu vaatamise või lubamatu kasutamisega. Meditsiin areneb muuhulgas teadmiste ja kogemuste jagamise kaudu, sealjuures aga ei tohi ununeda, et iga patsiendi ravilugu on osa tema eraelust ja andmete kasutamisel näiteks erialasteks koolitusteks tuleb arvestada andmekaitsealase regulatsiooni ja patsiendi õigustega.

Olukordi, kus on lihtne libastuda, leidub teisigi. Näiteks on oluline teada, millistel täiendavatel tingimustel võib igapäevaselt arstitööks kasutatavas infosüsteemis sisalduvaid patsiendi andmeid kasutada eksperdiarvamuse koostamiseks. Ainuüksi juurdepääsu omamine andmetele ei tähenda, et andmete vaatamine ja kasutamine patsiendi ravi ja ravikvaliteediga mitteseotud eesmärkidel oleks lubatav.

Mõistlik on õppida teiste vigadest ja ennetada rikkumise situatsiooni sattumist. Isegi kui esineb alus trahvi vaidlustamiseks, tähendab vaidlemine kohtus sageli ulatuslikku aja- ja ressursikulu.

3. oktoobril toimuval Äripäeva Akadeemia koolitusel "Dokumenteerimine ja andmekaitse tervishoiusektoris" käsitletakse värskeimat kohtu- ja järelevalvepraktikat andmete kasutamisel, edastamisel ja muul viisil töötlemisel. Vastuse saab muuhulgas küsimustele, millised on teavitamiskohustused, kui andmed sisestatakse kogemata vale patsiendi alla või saadetakse valele adressaadile, kas patsiendi andmed tuleb edastada uurimisasutuse või kohtu iga päringu peale või on kaalukam patsiendisaladus ning millistel juhtudel on määratud tervishoiutöötajatele või tervishoiuteenuse osutajatele trahve.