Γενικά > Γενική συζήτηση
Προγραμμα Διαχειρισης Ασθενων-Ιατρειου
Denominator:
Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή ΕίσοδοςΔύο εξαιρετικά κρίσιμες ερωτήσεις:
α) Έχει πάρει άδεια από την αρχη προστασίας προσωπικών δεδομένων για την μη τοπική αποθήκευση δεδομένων στο cloud ή οφείλεις να την ζητήσεις εσύ ως χρήστης;
--- Τέλος παράθεσης ---
Μεταφέρω την απάντηση αυτούσια:
"Όσον αφορά το ερώτημα για τα προσωπικά δεδομένα, η εκτίμηση της νομικής μας συμβούλου είναι ότι την σχετική άδεια θα πρέπει να την ζητήσει από την Αρχή Προστασίας Προσωπικών δεδομένων ο “χρήστης” δηλαδή ο εκάστοτε ιατρός. Ο πάροχος της τεχνικής υπηρεσίας δεν μπορεί να λάβει τέτοια άδεια για λογαριασμό των χρηστών-ιατρών. Επίσης οι servers στους οποίους λειτουργεί το MedPlan βρίσκονται στην Γερμανία και στην Ελλάδα, και σύμφωνα με τον σχετικό νόμο, εφόσον τα δεδομένα βρίσκονται εντός της ΕΕ δεν υπάρχει κανένας άλλος περιορισμός, πέραν της σχετικής άδειας επεξεργασίας δεδομένων προσωπικού χαρακτήρα."
Η αναλυτική απάντηση της νομικής συμβούλου έχει ως εξής:
Σύμφωνα με το νόμο Ν.2472/1997, περί προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάθε ιατρός που διατηρεί και χειρίζεται αρχείο ηλεκτρονικών ιατρικών φακέλων, πρέπει να προμηθεύεται σχετική άδεια από την Αρχή Προστασίας Προσωπικών Δεδομένων, είτε το αρχείο αυτό είναι σε φυσική είτε είναι σε ηλεκτρονική μορφή. Τα διάφορα προγράμματα διαχείρισης ιατρείων και παρακολούθησης ασθενών, που είναι διαθέσιμα στην αγορά, παρέχουν στον “υπεύθυνο επεξεργασίας” (που είναι ο ιατρός) το μέσο με το οποίο γίνεται η συλλογή, αποθήκευση και επεξεργασία των δεδομένων αυτών. Δεδομένου ότι την βασική ευθύνη για τη συλλογή, την καταγραφή, και την επεξεργασία και χρήση των δεδομένων αυτών την έχει ο ίδιος ο ιατρός που διατηρεί το ιατρείο, ο πάροχος του λογισμικού ή/και της σχετικής ηλεκτρονικής πλατφόρμας δεν οφείλει και ούτε δύναται να έχει άδεια, ούτε για το λογισμικό αλλά ούτε και για λογαριασμό των χρηστών-ιατρών, μια και, σύμφωνα με τους ορισμούς του νόμου, υπεύθυνος επεξεργασίας των δεδομένων αυτών είναι ο ιατρός. Επίσης, δεν απαιτείται περαιτέρω άδεια εφόσον το αρχείο τηρείται είτε εντός του ιατρείου, είτε σε υπηρεσία cloud, εφόσον οι servers βρίσκονται εντός της Ε.Ε.."
Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος
β) Τα πλήρη δεδομένα πλέον μπορείς να τα πάρεις; Βλέπεις δεν είναι τοπικά αποθηκευμένα πλέον, ούτε μπορείς να τα βρεις στο cloud, πρέπει να έχει λειτουργία εξαγωγής όλων των πινάκων που περιέχουν τα δεδομένα σου και τις κωδικοποιήσεις (πίνακες αναφοράς) που χρησιμοποιεί. Υπάρχει; Κοστίζει αυτό;
--- Τέλος παράθεσης ---
Επίσης μεταφέρω:
"Σαφώς ναι, και δωρεάν. Ανά πάσα στιγμή μπορείτε να ζητήσετε δωρεάν αντίγραφο των δεδομένων σας στην πρωτογενή τους μορφή."
Δ. Κουναλάκης:
Αναμενόμενη η απάντηση και αρχίζουν τα προβλήματα:
"Υπεύθυνος είναι ο ιατρός", σε κάτι που δεν το έχει παρά μόνο κατόπιν αίτησης, του οποίου δεν μπορεί να διασφαλίσει την ακεραιότητα καθώς βρίσκεται κάπου αλλού......
Η αρχή προστασίας προσωπικών δεδομένων δίνει άδειες γενικής αρχής και ειδική κατόπιν αίτησης.
Υπάρχει ήδη άδεια γενικής αρχής εφόσον ο υπεύθυνος επεξεργασίας διατηρεί ο ίδιος το αρχείο στην φυσική του εγκατάσταση.
Για την περίπτωση του cloud απαιτείται ειδική άδεια και αυτό ήταν και θέμα συζήτησης στo τελευταίο ελληνικό ehealth forum που έγινε πριν 2-3 μήνες.
Για να το θέσω πιο απλά:
Υπάρχουν δύο ειδών περιπτώσεις υποκλοπής στοιχείων προσωπικού χαρακτήρα:
α) Η υποκλοπή που διενεργείται μεταξύ των ματιών σου και του φυσικού μέσου που εμφανίζει την πληροφορία πχ έρχεται κάποιος και κλέβει το χαρτί με τις σημειώσεις σου, το δίσκο του υπολογιστή, ή φωτογραφίζει τη οθόνη σου που δείχνει τα στοιχεία του υπολογιστή
β) Όταν τα δεδομένα δεν είναι αποθηκευμένα στον "φυσικό" σου χώρο που εποπτεύεις, μπορεί να γίνει υποκλοπή στην επικοινωνία κατά την μεταφορά των δεδομένων από τον τοπικό σου χώρο μέχρι το σημείο αποθήκευσης.
Για την πρώτη περίπτωση υπάρχει γενική άδεια, που αξιοποιείται από όλους.... και δεν χρειάζεται να συρθείς μέχρι την ΑΔΑΕ.....για να αιτηθείς άδεια.
Στην δεύτερη περίπτωση πρέπει να περιγράψεις πως γίνεται η εξασφάλιση της επικοινωνίας και αυτό δεν έχει γενική άδεια......ακόμα.
Η πολιτική μεγάλων εταιριών πχ Google, Microsoft για να παρακάμψουν αυτό το πρόβλημα (ναι είναι ευρωπαϊκό θέμα πια), φτιάχνουν δικό τους τοπικό "λογισμικό" που κρυπτογραφεί τα δεδομένα τοπικά, με κλειδί που διαχειρίζεται ο ίδιος ο "υπεύθυνος επεξεργασίας" τοπικά και στέλνουν-αποθηκεύουν δεδομένα (με "σκουπιδόμορφη" εμφάνιση) στο cloud που είναι άχρηστα αν δεν έχεις το κλειδί καθώς δεν μπορείς να τα αποκρυπτογραφήσεις..... Αυτό όμως πρακτικά σημαίνει ότι το cloud δρα καθαρά σαν backup και όχι σαν εφαρμογή ή βάση δεδομένων.....
Ένα παράδειγμα cloud που δεν έχει ακόμη υλοποιηθεί (αλλά ίσως ξεκίνησε η δοκιμή) είναι το αποθετήριο αποτελεσμάτων εξετάσεων των νοσοκομείων του ΕΣΥ που αναμένεται να λειτουργήσει στους χώρους των παλαιών κτιρίων του Πανεπιστημίου Κρήτης. Απαιτεί άδεια από την ΑΔΑΕ φυσικά.
Το μοντέλο που είχα ακούσει να συζητιέται για να μπορέσει να πάρει άδεια ήταν, η κρυπτογράφηση στο server του νοσοκομείου των δεδομένων του αποτελέσματος μιας εξέτασης, η απόδοση ενός μοναδικού κωδικού για αυτό το "κρυπτογραφημένο σκουπίδι" και αποθήκευση του στο cloud. Για να ανακτήσεις την πληροφορία, θα πρέπει το ίδιο το νοσοκομείο που το κρυπτογράφησε να έχει δώσει από πριν σε κάποιο άλλο νοσοκομείο κάποιο "κλειδί" που να επιτρέπει την αποκρυπτογράφηση και να γίνει ανάκτηση του αποθηκευμένου κρυπτογραφημένου πακέτου και να πάλι να γίνει τοπικά η αποκρυπτογράφηση. Έτσι, αν αποκτήσεις πρόσβαση στο cloud σαφώς και δεν μπορείς να κάνεις καμιά αποκρυπτογράφηση και έτσι διασφαλίζεται ότι δεν μπορεί να γίνει υποκλοπή κατά την μετάφορά ή στον απομακρυσμένο χώρο αποθήκευσης.
Σήμερα τα περισσότερα προγράμματα τύπου cloud έχουν το λογισμικό που κάνει όλη τη δουλεία στον απομακρυσμένο server του cloud και εσύ στέλνεις το "κλειδί" σου (είτε αυτό είναι password είτε κάτι άλλο) σε αυτό το server για να γίνει όλη η δουλειά.... Αυτό σημαίνει ότι κάποιος ενδιάμεσος μπορεί να κλέψει κατά την μεταφορά το κλειδί σου και να συνδέεται και να κάνει ότι θέλει χωρίς να το πάρεις ποτέ χαμπάρι..... Αυτή η συλλογιστική δεν παίρνει άδεια από την ΑΔΑΕ για ευαίσθητα προσωπικά δεδομένα υγείας...
Denominator:
Και κάποια στοιχεία που μπορούν να μας φανούν χρήσιμα:
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Ταχυδρομική Διεύθυνση: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα
Τηλεφωνικό Κέντρο: +30 210 6475600
Fax: +30 210 6475628
Ηλεκτρονικό Ταχυδρομείο: contact@dpa.gr
Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος
ΦΙΛΙΩ ΤΟΠΚΑΡΙΔΟΥ:
καλημερα σας.επειδη το θεμα ξανανοιγει λογω των GDPR θα μπορουσατε να προτεινετε καποιο προγραμμα για αρχειο ασθενων που να θεωρειται αποδεκτο και ασφαλες σε ατομα ασχετα με την πληροφορικη οπως εγω?
Argirios Argiriou:
Εγώ, εδώ και 11 χρόνια, έχω το MedPlan και είμαι πολύ ευχαριστημένος.
Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος
Επικοινώνησε με την Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος
Πλοήγηση
[0] Λίστα μηνυμάτων
[#] Επόμενη σελίδα
Μετάβαση στην πλήρη έκδοση