Ο κανονισμός ασφαλείας GDPR στο χώρο της υγείας Το χθες, το σήμερα και το αύριο

Transcript

1 Ο κανονισμός ασφαλείας GDPR στο χώρο της υγείας Το χθες, το σήμερα και το αύριο.ο κανονισμός GDPR είναι απλά ένα βαγόνι ενός τραίνου, που ήδη έχει ξεκινήσει, ακόμα δεν έχει φτάσει στον προορισμό του, στο οποίο είμαστε υποχρεωτικά επιβάτες. Συνεπώς, δεν αρκεί να μείνουμε μόνο στο πρέπει να είμαστε επιβάτες, αλλά πρέπει να γνωρίζουμε το γιατί πρέπει και το ποιος είναι ο προορισμός

2 Αν υπάρχει μια λέξη ταυτόσημη με τον GDPR, αυτή είναι η λέξη ασφάλεια Πότε ξεκίνησε η ανάγκη για την ασφάλεια στο χώρο της υγείας?

3 Πότε ξεκίνησε η ανάγκη για την ασφάλεια? η Ευρωπαϊκή Ένωση υπέγραψε το 2010 μνημόνιο συμφωνίας με τις Ηνωμένες Πολιτείες της Αμερικής σχετικά με τη διαλειτουργικότητα των συστημάτων ηλυγείας 2010

4 τι ακολούθησε αμέσως μετά? το 2012: η επιτροπή της ΕΕ που συστάθηκε για τον σκοπό αυτό, ανακοίνωσε στο Ευρωπαϊκό κοινοβούλιο το Σχέδιο δράσης για την ηλ-υγεία & την καινοτομική υγειονομική περίθαλψη για τον 21ο αιώνα Απόσπασμα από το πλάνο δράσης Κατά τη διάρκεια της περιόδου , η έρευνα και καινοτομία θα υποστηριχθούν στο τμήμα «υγεία, δημογραφική αλλαγή και ευζωία» του προγράμματος Ορίζοντας 2020, στα εξής πεδία: νέα ψηφιακά μέσα επικοινωνίας, διαδικτυακές και κινητές τεχνολογίες και εφαρμογές, καθώς και ψηφιακά μέσα που ενσωματώνουν συστήματα υγειονομικής περίθαλψης και κοινωνικής μέριμνας και υποστηρίζουν την προαγωγή της υγείας και της πρόληψης συστήματα και υπηρεσίες ηλ-υγείας με ισχυρή συμμετοχή των χρηστών, με έμφαση σε θέματα διαλειτουργικότητας και ενσωμάτωση των αναδυόμενων τεχνολογιών με επίκεντρο τον ασθενή για οικονομικά αποδοτική υγειονομική περίθαλψη

5 Ποιος ήταν ο στόχος: Στόχος ήταν το εγχείρημα 'Συνδέοντας την Ευρώπη' να διευκολύνει την εγκατάσταση διασυνοριακών διαλειτουργικών υπηρεσιών ΤΠΕ γενικού συμφέροντος, όπως η ηλ-υγεία.. ΣΥΝΕΠΩΣ: Η ηλ-υγεία είναι ο βασικός μοχλός ανάπτυξης νέων μηχανισμών για την βελτίωση της υγείας του Ευρωπαίου Πολίτη, και την καλύτερη αποτελεσματικότητα των δομών υγείας Για τον σκοπό αυτό: όλα τα επιμέρους προγράμματα (EPsos, Ορίζοντας 2020 κα) είχαν στόχο την ανάπτυξη μηχανισμών διαλειτουργικότητας μεταξύ παρόχων υγείας στο επίπεδο της φορητότητας & μεταφερτότητας

6 Τι σημαίνει 'φορητότητα & Μεταφερτότητα' Λάθος : το να δίνουμε στον Ευρωπαίο πολίτη τα ιατρικά του δεδομένα σε έντυπη μορφή, σε CD, σε DVD κλπ για τα παραδώσει αυτός σε όποιον τα χρειάζεται. Το να αποστέλλουμε ιατρικά δεδομένα μέσω Σωστό: Ο Ευρωπαίος πολίτης να είναι αυτός που θα διαχειρίζεται ηλεκτρονικά την πρόσβαση στα ιατρικά προσωπικά του δεδομένα, και θα είναι αυτός που θα δίνει την έγκρισή του ηλεκτρονικά, για την μεταφορά τους από πάροχο σε πάροχο

7 ΠΟΙΟ ΕΙΝΑΙ ΤΟ ΑΠΟΤΕΛΕΣΜΑ: Όλοι οι επαγγελματίες υγείας θα πρέπει να χρησιμοποιούν 'υποχρεωτικά' συστήματα Πληροφορικής και Επικοινωνιών τα οποία θα είναι προσαρμοσμένα για να καλύπτουν τις νέες απαιτήσεις Ποια είναι η απαραίτητη και αναγκαία προϋπόθεση για την επίτευξη του σκοπού? Η ασφαλής προστασία, αποθήκευση, διαχείριση, διασύνδεση, πρόσβαση, μεταφορά, αποστολή των ιατρικών δεδομένων που τηρεί κάθε πάροχος και διαχειρίζεται ο Ευρωπαίος πολίτης

8 Η γέννηση του GDPR 2016: Ψήφιση του Ευρωπαϊκού κανονισμού GDPR για την 'ασφάλεια' των προσωπικών δεδομένων, και εφαρμογή του από τον Μάιο του 2018 Η 'ασφάλεια' αφορά όλες τις λειτουργίες, μηχανισμούς, διαδικασίες, συνεργασίες, διεπαφές κάθε επαγγελματία υγείας που έχουν είτε άμεση είτε έμμεση σχέση με τα ιατρικά δεδομένα. Η ευθύνη που έχει είναι πολύ μεγάλη. Δεν έχει καμιά δικαιολογία ότι 'δεν γνώριζε, είτε στην περίπτωση απώλειας & παραβίασης, είτε ακόμα και στην περίπτωση προληπτικού ελέγχου

9 Τι έγινε στην Ελλάδα το 2017: Δημιουργία νομοθετικού πλαισίου για την τήρηση του Α.Η.Φ.Υ. (Ατομικός Ηλεκτρονικός Φάκελος Υγείας)

10 Απόσπασμα νομοθετικό πλαίσιο για την τήρηση του Α.Η.Φ.Υ. 1. Ατομικός Ηλεκτρονικός Φάκελος Υγείας Καθιερώνεται ο Ατομικός Ηλεκτρονικός Φάκελος Υγείας (ΑΗΦΥ) για όλους τους κατόχους ΑΜΚΑ και ΑΥΠΑ. Ο ΑΗΦΥ περιέχει το συνοπτικό ατομικό ιστορικό υγείας, καθώς και τις πληροφορίες της περίπτωσης ιγ του άρθρου 3 του ν. 4213/2013. Με απόφαση του Υπουργού Υγείας, καθιερώνεται ενιαίο πρότυπο σχετικά με το περιεχόμενο, τον τρόπο κατάρτισης, την ταυτοποίηση του ατόμου και την πρόσβαση στις ιατρικές πληροφορίες του φακέλου, σύμφωνα με τους νόμους 2472/1997 και 3471/2006. Το περιεχόμενο του Α.Η.Φ.Υ. είναι ενιαίο σε εθνικό επίπεδο και υποχρεωτικό. Ο Α.Η.Φ.Υ. καταρτίζεται από τον οικογενειακό ιατρό ή από τους επαγγελματίες υγείας της Το.Μ.Υ.. Οι οικογενειακοί, οι άλλοι ιατροί, οι οδοντίατροι και οι άλλοι επαγγελματίες υγείας που είναι πιστοποιημένοι χρήστες του συστήματος της ηλεκτρονικής συνταγογράφησης υποχρεούνται να καταχωρούν στον Α.Η.Φ.Υ. όλες τις πληροφορίες που προκύπτουν από εξέταση ή επίσκεψη και είναι αναγκαίες για την παρακολούθηση, τη θεραπεία, τη νοσηλεία και την αποκατάσταση του ατόμου. Τα δεδομένα του Α.Η.Φ.Υ. αποτελούν ιδιοκτησία του ατόμου και τηρούνται ασφαλώς, υπό την ευθύνη του Υπουργείου Υγείας, σύμφωνα με την ισχύουσα νομοθεσία περί προστασίας προσωπικών δεδομένων. Πρόσβαση στις πληροφορίες του Α.Η.Φ.Υ. του έχει ο κάτοχος Α.Μ.Κ.Α. ή Α.Υ.Π.Α, ο εκάστοτε οικογενειακός ιατρός του, καθώς και ο θεράπων ιατρός, οδοντίατρος ή άλλος επαγγελματίας υγείας, κατά τη νοσηλεία ή επίσκεψη σε δημόσια ή ιδιωτική μονάδα παροχής υπηρεσιών υγείας, ύστερα από συναίνεση του ατόμου

11 Απόσπασμα νομοθετικό πλαίσιο για την τήρηση του Α.Η.Φ.Υ. 2. Ο φορέας λειτουργίας του συστήματος του Α.Η.Φ.Υ. είναι υπεύθυνος για την τήρηση, διακίνηση, επεξεργασία, αποθήκευση και φύλαξη των πληροφοριών με ασφάλεια, σύμφωνα με το ν. 2472/1997. Με απόφαση του Υπουργού Υγείας ορίζεται ο φορέας λειτουργίας, καθώς και κάθε άλλο σχετικό θέμα

12 Απόσπασμα νομοθετικό πλαίσιο για την τήρηση του Α.Η.Φ.Υ. 3 Ο λήπτης υπηρεσιών υγείας κατά την εγγραφή του σε οικογενειακό ιατρό με τη γνωστοποίηση σε αυτόν του Α.Μ.Κ.Α. ή του Α.Υ.Π.Α. του, ενημερώνεται από εκείνον ότι ο ιατρός θα έχει πρόσβαση και θα μπορεί να επεξεργάζεται τα προσωπικά και ιατρικά δεδομένα του στο σύστημά του Α.Η.Φ.Υ.. Έχει δικαίωμα να ανακαλεί τη συναίνεσή του, οποτεδήποτε, και να αποκλείει την οποιαδήποτε χρήση των προσωπικών και ιατρικών του δεδομένων. Για την πρόσβαση και επεξεργασία προσωπικών και ιατρικών δεδομένων του Α.Η.Φ.Υ. από άλλον ιατρό, εκτός του οικογενειακού, οδοντίατρο ή άλλο επαγγελματία υγείας απαιτείται προηγούμενη συναίνεση του λήπτη υπηρεσιών υγείας. Ο λήπτης υπηρεσιών υγείας έχει δικαίωμα να απαγορεύσει την πρόσβαση σε συγκεκριμένα ή και σε όλα τα δεδομένα του σε ιατρούς, οδοντιάτρους ή άλλους επαγγελματίες υγείας. Στην περίπτωση που ο λήπτης υπηρεσιών υγείας είναι ανήλικος, οι ανωτέρω ενέργειες πραγματοποιούνται από γονέα ή πρόσωπο που έχει την επιμέλειά του. Στην περίπτωση που ο λήπτης υπηρεσιών υγείας τελεί υπό δικαστική συμπαράσταση οι ανωτέρω ενέργειες πραγματοποιούνται από τον δικαστικό του συμπαραστάτη. Η καταχώριση και αποθήκευση δεδομένων, που προκύπτουν κατόπιν επίσκεψης σε επαγγελματία υγείας, χωρίς την πρόσβαση στα ιατρικά δεδομένα του Α.Η.Φ.Υ., δεν απαιτούν συναίνεση. Κατά την πρόσβαση και καταχώριση στοιχείων σε Α.Η.Φ.Υ. καταγράφονται τα δεδομένα του χρήστη που εισέρχεται στο σύστημα. Δεν επιτρέπεται η πρόσβαση τρίτων, εκτός των υπό του νόμου προβλεπόμενων περιπτώσεων, σύμφωνα με τον Κ.Ι.Δ. και τις διατάξεις της παρ. 2 του άρθρου 7 του ν. 2472/

13 το 2018: ξεκίνησε η Εφαρμογή του GDPR, και για τον λόγο αυτό Αναδιαρθρώθηκε η ανεξάρτητη ΑΠΠΔ Σήμερα: Περίοδος προσαρμογής όλων των επαγγελματιών υγείας στα νέα δεδομένα

14 Αύριο: Το 'πιστοποιητικό' GDPR, εκτός από υποχρεωτικό, θα αποτελεί για κάθε επαγγελματία υγείας 'ταυτότητα εμπιστοσύνης' για τις υπηρεσίες που παρέχει. Θα είναι σαν να βαθμολογείται σε κλίμακα ασφάλειας από το ΑΡΙΣΤΑ -> ΚΑΚΩΣ, με την διαφορά ότι όποιος δεν έχει βαθμολογηθεί με ΑΡΙΣΤΑ θα πρέπει να αποδεικνύει ότι βρίσκεται σε διαδικασία βελτίωσης. Στο εγγύς μέλλον: Κάθε ιατρικό δεδομένο θα τηρείται απαραίτητα σε ηλεκτρονική μορφή, θα αποτελεί 'ιδιοκτησία' του Ευρωπαίου πολίτη, ο οποίος θα είναι αυτός που θα διαχειρίζεται την πρόσβαση σε αυτό, και με την έγκρισή του την μεταφορά του σε άλλον πάροχο.

15 Συνεπώς: κάθε επαγγελματίας υγείας θα οφείλει να έχει την κατάλληλη υποδομή σε συστήματα ΠΕ ώστε να έχει ένα ασφαλές σύστημα αυτοματοποιημένης διαχείρισης και παράλληλα ένα ασφαλές σύστημα αυτοματοποιημένης διεπαφής με τους πελάτες του, τους συνεργάτες του, και γενικά τρίτους HIS/RIS/LIS Κάθε άλλος τρόπος διασύνδεσης και διεπαφής, όπως για παράδειγμα μέσω ηλεκτρονικού ταχυδρομείου ή τηλεφωνικά, θα πρέπει να περιοριστεί στο ελάχιστο δυνατόν και να αποτελεί την εξαίρεση, γιατί σε αντίθετη περίπτωση εγκυμονεί σοβαρούς κινδύνους και δημιουργεί ρωγμές στην ασφάλεια.

16 Ασφαλές και αυτοματοποιημένο σύστημα διαχείρισης 'αυτοματοποιημένο' σημαίνει ότι η ανθρώπινη παρέμβαση είναι περιορισμένη στο ελάχιστο δυνατό Για παράδειγμα, ένα σύστημα έκδοσης αποτελεσμάτων που στηρίζεται στην χρήση bar-code βαθμολογείται με ΑΡΙΣΤΑ, σε αντίθεση με έλα άλλο που απαιτεί ανθρώπινη πληκτρολόγηση. 'ασφαλές' σημαίνει ότι η πρόσβαση σε αυτό είναι πλήρως ελεγχόμενη, και ότι τα δεδομένα είναι σε κρυπτογραφημένη μορφή, για ασφάλεια ακόμα και σε περίπτωση παραβίασης Για παράδειγμα, ένα σύστημα που έχει κρυπτογραφημένη την ΒΔ είναι πιο ασφαλές από ένα μη κρυπτογραφημένο, ακόμα και σε περίπτωση κλοπής ή παραβίασης.

17 ασφαλές σύστημα αυτοματοποιημένης διεπαφής 'αυτοματοποιημένο' σημαίνει ότι μεταξύ των χρηστών και του συστήματος του παρόχου υγείας δεν μεσολαβεί καμιά διαδικασία που απαιτεί ανθρώπινη παρέμβαση Για παράδειγμα, ένα σύστημα πρόσβασης πελατών μέσω κωδικών είναι πιο ασφαλές από την αποστολή αποτελεσμάτων μέσω , ακόμα και με κρυπτογραφημένο το περιεχόμενό του 'ασφαλές' σημαίνει ότι η διαδρομή της ηλεκτρονικής σύνδεσης του χρήστη με το σύστημα του παρόχου υγείας είναι πιστοποιημένα κρυπτογραφημένη Για παράδειγμα, η τηλεφωνική επικοινωνία είναι εξ ορισμού μη ασφαλής επικοινωνία Ο συγκεκριμένος τρόπος διεπαφής, μέσω αυτοματοποιημένου & ασφαλούς συστήματος, στην κλίμακα βαθμολόγησης, βαθμολογείται με ΑΡΙΣΤΑ, και είναι αυτός που προτείνεται από όλη την επιστημονική κοινότητα

18 Συγκεκριμένα η χρήση του , ακόμα και κρυπτογραφημένου: α) απαιτεί την ύπαρξη διαδικασίας και την ανθρώπινη διαμεσολάβηση. Αυτό ακριβώς αποτελεί από μόνο του 'τρωτό σημείο' στην ασφάλεια. Η δυνατότητα αποστολής κάνει υπαρκτή την δυνατότητα διαρροής, ανεξάρτητα με το αν το περιεχόμενο είναι κρυπτογραφημένο ή όχι. β) η αποστολή δεδομένων μέσω , ακόμα και με κρυπτογράφηση του περιεχομένου, δεν παρέχει ασφάλεια γιατί τα στοιχεία: 'αποστολέας', 'παραλήπτης' και 'θέμα', είναι ορατά στον οποιονδήποτε κακόβουλο. Συνεπώς υπάρχει πάντα η πιθανότητα υποκλοπής των στοιχείων και αποστολής παραπλανητικών δεδομένων, κακόβουλα, με απροσδιόριστες συνέπειες. γ) η συνεχής αποστολή από τον ίδιο αποστολέα, μπορεί να θεωρηθεί από τους mail providers σαν 'κακόβουλη ενέργεια' με αποτέλεσμα το μπλοκάρισμα του αποστολέα χωρίς την ενημέρωσή του. Η 'ανάκτηση της αξιοπιστίας' του αποστολέα είναι μια πολυήμερη διαδικασία και απαιτεί την αποδοχή της από κάθε ένα ξεχωριστά από τους mail providers. Δυστυχώς τα κριτήρια και οι κανόνες μπλοκαρίσματος συνεχώς αλλάζουν με αποτέλεσμα να υπάρχει πάντα η πιθανότητα μπλοκαρίσματος. Σκεφτείτε απλά, αν το αποτελεί λύση τότε γιατί σπαταλούνται εκατομμύρια ευρώ για την ανάπτυξη της διαλειτουργικότητας στην Ευρώπη?????

19 ΑΣΦΑΛΕΙΑ ΥΠΟΔΟΜΩΝ Ο κάθε επαγγελματίας υγείας θα πρέπει να γνωρίζει από την αρχή τα οφέλη της τεχνολογίας που θα υιοθετήσει ώστε να κάνει την πιο σωστή επιλογή, σύμφωνα με τα κριτήρια του. Διαχείριση συστήματος IN HOUSE IN CLOUD Ασφάλεια φυσικής πρόσβασης απαιτείται Καλύπτεται από το Data Center Διαδικασία Back-up απαιτείται Μπορεί να καλυφθεί από το Data Center Διακριτή πρόσβαση χρηστών απαιτείται απαιτείται Κρυπτογράφηση ΒΔ απαιτείται Σε ένα βαθμό καλύπτεται από το Data Center Διαχείριση διεπαφής IN HOUSE IN CLOUD Fire Wall απαιτείται Μπορεί να καλυφθεί από το Data Center Πιστοποίηση απαιτείται Μπορεί να καλυφθεί από το Data Center

20 ΑΣΦΑΛΕΙΑ ΚΩΔΙΚΩΝ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΩΝ Ειδική έμφαση θα πρέπει να δοθεί στο θέμα ασφάλειας της πρόσβασης των χρηστών ο κάθε χρήστης πρέπει να έχει τους δικούς του μοναδικούς κωδικούς πρόσβασης, που να τους γνωρίζει και χρησιμοποιεί μόνο αυτός να μην είναι δυνατή η έκδοση δεύτερων κωδικών για τον ίδιο χρήστη (αφορά τους πελάτες & συνεργάτες που έχουν πρόσβαση) να μην είναι δυνατή η επανέκδοση κωδικών (reset) χωρίς την έγκριση του χρήστη

21 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Η πλειονότητα των επαγγελματιών υγείας δεν έχει την απαιτούμενη υποδομή πλήθος ιατρικών μονάδων τηρούν αντίγραφα διαγνώσεων ή και αποτελεσμάτων εξετάσεων σε χειρόγραφη μορφή ή σε απλά κείμενα word πλήθος κλινικών ιατρών δεν τηρούν ηλεκτρονικά αρχεία διαγνώσεων και αγωγής για τους πελάτες τους Συνεπώς, επειδή όλοι θα χρειαστεί να προσαρμοστούν, θα απαιτηθούν επενδύσεις σε υποδομές. Η συνεργασία με έναν εξωτερικό συνεργάτη σύμβουλο θεωρείται απαραίτητη. Ο κίνδυνος που ελλοχεύει είναι οι επενδύσεις να μην γίνουν με την προοπτική κάλυψης των μελλοντικών αναγκών αλλά, καλύπτοντας βραχυπρόθεσμες ανάγκες με ημίμετρα, σαν προσθήκες.

22 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Οι περισσότεροι τεχνικοί σύμβουλοι αποπροσανατολίζουν Για παράδειγμα, στην κρυπτογραφημένη αποστολή δεδομένων επικεντρώνονται και δίνουν λύσεις μόνο στην κρυπτογράφηση του περιεχομένου, ούτε καν στην διαδικασία διαχείρισης αιτήματος από τον χρήστη Πολλοί επαγγελματίες υγείας αυτή την στιγμή είναι ακάλυπτοι γιατί δεν γνωρίζουν, και δεν έχουν ενημερωθεί από τον τεχνικό τους σύμβουλο, ότι ο οποιοσδήποτε κακόβουλος μπορεί να υποκλέψει την αποστολή των δεδομένων και να 'βομβαρδίσει' τον αποδέκτη με παραπλανητικά s δημιουργώντας οξύτατο πρόβλημα ασφάλειας και έκθεσης του αποστολέα επαγγελματία υγείας. Πολλοί επαγγελματίες υγείας δεν έχουν σύστημα ηλεκτρονικών αιτήσεων πελατών με αποτέλεσμα να μην μπορούν να δώσουν λύση στην περίπτωση που ο πελάτης ζητά την αποστολή δεδομένων του ετεροχρονισμένα. Ο κανονισμός GDPR σε καμιά περίπτωση δεν αναφέρεται στα 'εργαλεία' που θα χρησιμοποιήσει κάποιος, αλλά μόνο στο αποτέλεσμα. Η ασφάλεια που παρέχει η κρυπτογράφηση αναφέρεται σε όλη την διαδικασία της διεπαφής και στο σύνολο των πληροφοριών, και όχι μόνο σε μέρος από αυτά.

23 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Οι περισσότεροι σύμβουλοι προτείνουν, χωρίς όμως να επιμένουν Οι περισσότεροι σύμβουλοι, που έχουν αναλάβει την διαδικασία προσαρμογής των επαγγελματιών υγείας στον GDPR, αποτυπώνουν την υπάρχουσα κατάσταση και κάνουν προτάσεις για την ασφάλεια χωρίς να ενημερώνουν και να τεκμηριώνουν πλήρως τις υποδείξεις τους, ρίχνοντας τις ευθύνες στον επαγγελματία υγείας, που παίρνει την απόφαση, και στους τεχνικούς του συμβούλους. Για παράδειγμα, θα του προτείνουν, σε περίπτωση που δεν έχει σύστημα διεπαφής με τους πελάτες, να υιοθετήσει μια πλατφόρμα, αλλά αν αυτός αρνηθεί θα αποδεχτούν αμέσως σαν λύση την αποστολή δεδομένων με κρυπτογραφημένα . Θα υποβαθμιστεί όμως το γεγονός ότι πιθανή υποκλοπή της αποστολής σημαίνει και παραβίαση των κανόνων ασφαλείας για διαρροή προσωπικών στοιχείων, και ότι ακόμα και στην περίπτωση που έχει την πλήρη συναίνεση του πελάτη για την αποδοχή της ευθύνης υπάρχει συνυπευθυνότητα. Επίσης το ότι, στην πιθανή περίπτωση που κάποιο προς πελάτη κώλυσε υιούς, πρέπει να γίνει αναφορά γιατί κανείς δεν γνωρίζει το μέγεθος της παραβίασης. Σε οποιαδήποτε περίπτωση ο επαγγελματίας υγείας οφείλει να λαμβάνει όλα τα μέτρα για την προστασία του πελάτη.

24 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Οι περισσότεροι επαγγελματίες υγείας, αντί να κοιτάξουν να κάνουν αυτό που ορίζει ο κανονισμός, κοιτάνε τι κάνουν οι άλλοι ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Απόσπασμα από έντυπο μεγάλου διαγνωστικού κέντρου ΓΝΩΣΤΟΠΟΙΗΣΗ ΣΤΟΙΧΕΙΩΝ ΓΙΑ ΛΗΨΗ ΑΠΟΤΕΛΕΣΜΑΤΩΝ ΕΞΕΤΑΣΕΩΝ ΜΕ Επιθυμώ να μου αποσταλούν τα αποτελέσματα των εξετάσεων μου στην παρακάτω ηλεκτρονική διεύθυνση, αναλαμβάνοντας πλήρως την ευθύνη για ενδεχόμενη ανάγνωση τους από τυχόν άλλο πρόσωπο. Αναγνωρίζω ότι η αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου δεν είναι ασφαλής και σε περίπτωση λάθους κατά την αποστολή έχω την πλήρη ευθύνη. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ πιστεύετε ότι η διαδικασία είναι σωστή???. Φυσικά και όχι, αλλά.. η αλήθεια είναι ότι το συγκεκριμένο ΔΚ επενδύει στην ανάπτυξη δικού του συστήματος διεπαφής, ρίχνοντας έτσι στάχτη στα μάτια των ανταγωνιστών του

25 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Τι κάνουν οι άλλοι.. Είναι σύνηθες φαινόμενο, και ειδικά στον χώρο της υγείας, ο ένας επαγγελματίας υγείας να εφαρμόζει μια τακτική γιατί απλά κάποιος άλλος την έχει εφαρμόσει. Με τον κανονισμό GDPR όμως αυτό σε καμιά περίπτωση δεν θα είναι άλλοθι. Οι ποινές για τα παραπτώματα θα είναι υψηλές, ανεξάρτητα με το τι κάνουν οι υπόλοιποι, όπως συμβαίνει και στις παραβάσεις του ΚΟΚ. Το ότι και ο προηγούμενος οδηγός είχε υπερβεί το όριο ταχύτητας δεν αποτελεί επιχείρημα για αυτόν που συνελήφθηκε να το παραβιάζει. Τι συμβαίνει στην υπόλοιπη Ευρώπη? Λίγο - πολύ ότι συμβαίνει και στην Ελλάδα. Όλοι βρίσκονται σε διαδικασία προσαρμογής, γι αυτό και η πρόσκαιρη 'χαλαρότητα'.

26 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Πιστοποιητικό GDPR Η μη ύπαρξη πιστοποιητικού GDPR αφήνει πολλά περιθώρια παρέκκλισης στην υλοποίηση. Ήδη όμως, σύμφωνα με πληροφορίες, σύντομα ετοιμάζονται τα πρώτα πιστοποιητικά. Αυτό σημαίνει ότι αν κάποιος δεν έχει προσαρμοστεί σωστά, αλλά ακολούθησε ένα πιο 'χαλαρό' δρόμο, σύντομα θα βρεθεί στην ανάγκη, αναθεωρήσεων, επιπλέον κόστους και επενδύσεων, με αποτέλεσμα την συνεχή του ταλαιπωρία. Πρέπει όλοι να αντιληφθούν ότι ο GDPR δεν δημιουργήθηκε για να λειτουργήσει αν τυχόν συμβεί κάτι, αλλά αντίθετα για να το προλάβει και να προστατέψει τον επαγγελματία υγείας και τον ευρωπαίο πολίτη από τις συνέπειες μιας παραβίασης. Για τον λόγο αυτό είναι πιθανό να γίνονται προληπτικοί έλεγχοι χωρίς την ύπαρξη παραβιάσεων ή καταγγελιών. Το μήνυμα είναι ένα και μοναδικό. Ασφάλεια, και μάλιστα σε απόλυτο βαθμό.

27 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Αν ρωτήσουμε έναν σύμβουλο Ποια είναι τα σημεία που πρέπει να καλύπτει ένας γιατρός για να είναι εναρμονισμένος με τον Κανονισμό, θα πάρουμε τις εξής απαντήσεις: Να λαμβάνει συναινέσεις για την επικοινωνία με τρίτους: Για να πάρει απευθείας τα αποτελέσματα από ένα διαγνωστικό Για να στείλει για βιοψία βιολογικό δείγμα ασθενή Κ.λπ Να τηρεί με ασφάλεια το ιατρικό ιστορικό και γενικότερα να επεξεργάζεται με ασφάλεια όλα τα προσωπικά δεδομένα Φυσική Ασφάλεια (π.χ. συναγερμός) Τήρηση κανόνων ασφάλειας στην αποθήκευση των δεδομένων σε φυσική μορφή (π.χ. κλειδωμένες ντουλάπες) Τήρηση κανόνων ασφάλειας στη διαχείριση των δεδομένων σε ηλεκτρονική μορφή (π.χ. back-up, χρήση ασφαλών κωδικών πρόσβασης, χρήση κρυπτογράφησης κ.λπ.) Ασφαλή ανταλλαγή δεδομένων με τρίτους (κρυπρογραφημένα s, χρήση cloud εφαρμογών) Κλπ Η προσέγγιση είναι σωστή, δίνει απάντηση στο τι προβλέπει ο κανονισμός, όχι όμως και στο γιατί υπάρχει ο κανονισμός

28 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Συνήθεις δικαιολογίες. Για την μη τήρηση ενός υπαρκτού κανονισμού o o o o o o o o Τίποτε από όλα αυτά δεν θα ισχύσει στην Ελλάδα Η νομοθεσία είναι μια και ενιαία. Ισχύει σε όλα τα κράτη μέλη και αφορά όλους τους ΕΠ Δεν μας έχουν ενημερώσει ακόμα Ο κανονισμός ισχύει και είναι διαθέσιμος στα Ελληνικά. Οφείλει να εφαρμοστεί από όλους Στην συνάντηση που έγινε μας είπαν ότι αρκεί μια έγγραφη συναίνεση του πελάτη Οι διοργανωτές της συνάντησης παίρνουν και την ευθύνη της πληρωμής του προστίμου? Θα χάσω τους πελάτες μου αν τους αλλάξω την διαδικασία Θα χάσεις τους πελάτες σου αν δεν αλλάξεις διαδικασία. Δεν υπάρχουν 2 μέτρα και 2 σταθμά Ηλ-υγεία? Ξέρεις πόσων χρονών είναι οι πελάτες μου Το όριο συνταξιοδότησης είναι πάνω από 60 χρονών. Όλοι οι ΔΥ έχουν ένα Η/Υ στη δουλειά τους Οι βοηθοί μου δεν έχουν χρόνο να ασχοληθούν με κάτι άλλο, έχουν πολύ δουλειά Οι βοηθοί θέλουν να κάνουν όσο λιγότερη δουλειά γίνεται. Τι έγινε με την συνταγογράφηση? Ο Χ δεν το έχει εφαρμόσει, γιατί να το εφαρμόσω εγώ? Γιατί απλά είναι νόμος, ανεξάρτητα αν ο Χ δεν το εφαρμόζει Ο τεχνικός μου είπε να στέλνω τις απαντήσεις μέσω με κρυπτογράφηση Ο τεχνικός δεσμεύεται ότι δεν πρόκειται να δημιουργηθεί κανένα πρόβλημα?

29 ΠΟΙΑ ΕΙΝΑΙ Η ΣΗΜΕΡΙΝΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ Εν κατακλείδι Α) Κάθε επαγγελματία υγείας, εκτός της οποιαδήποτε προσαρμογής σε θέματα μηχανισμού, λειτουργιών, σχέσεων με τρίτους κλπ, θα πρέπει σε θέματα υποδομής να αποκτήσει δύο διακριτά και ασφαλή συστήματα: ένα αυτοματοποιημένο, ασφαλές και εναρμονισμένο σύστημα 'εσωτερικής διαχείρισης', και ένα αυτοματοποιημένο, ασφαλές και εναρμονισμένο σύστημα 'διεπαφής' του με πελάτες & συνεργάτες οποιαδήποτε άλλη λύση ή προσέγγιση θα εγκυμονεί κινδύνους ασφαλείας Β) Θα χρειαστεί σίγουρα βοήθεια για την προσαρμογή του στον κανονισμό

30 Ποιο είναι το μέλλον που έρχεται? Το μέλλον κρύβεται πίσω από τις λέξεις: Ηλ-υγεία: οτιδήποτε αφορά την υγεία του Ευρωπαίου Πολίτη θα είναι και σε ηλεκτρονική μορφή Μεταφερτότητα Φορητότητα Διαλειτουργικότητα: Κάθε επαγγελματίας υγείας θα πρέπει να έχει τέτοια υποδομή σε ΠΕ ώστε να επικοινωνεί αμφίδρομα με τα συστήματα άλλων επαγγελματιών με τους οποίους συνεργάζεται ο πελάτης του Ηλ-υπηρεσίες για τον Ευρωπαίο Πολίτη: Ο Ευρωπαίος Πολίτης θα είναι αυτός που θα έχει την πλήρη διαχείριση των προσβάσεων στο ιατρικό ιστορικό του, το οποίο θα είναι αποθηκευμένο στα συστήματα των επαγγελματιών υγείας με τους οποίους συνεργάζεται.

31 Ποιες κινήσεις είναι ήδη σε εξέλιξη στην Ελλάδα Το Δημόσιο: Έχει ήδη δημιουργήσει το νομοθετικό πλαίσιο για τον Α.Η.Φ.Υ. του πολίτη, και έχει ετοιμάσει το σύστημα υποδομής για την λειτουργία των Το.Μ.Υ. Στον ιδιωτικό τομέα: Ετοιμάζεται η ίδρυση ιδιωτικών φορέων ασφάλισης Τι κάνει η πλατφόρμα Patient Link: Διαμόρφωσε το Patient Link Synergy Network (P.L.S.N.) Το δίκτυο PLSN είναι ένας τομέας (cluster) μέσα στο δίκτυο Patient Link, παρέχοντας πρωτοπόρες και καινοτόμες υπηρεσίες στο χώρο της υγείας, που στηρίζονται στην διαχείριση Ατομικού Ηλεκτρονικού Φακέλου Υγείας, στα πλαίσια του υπάρχοντος νομοθετικού πλαισίου. Μέλη του μπορεί να είναι όλοι οι σύγχρονοι επαγγελματίας υγείας. (Η απλή συμμετοχή των κλινικών ιατρών είναι δωρεάν, για τις ιατρικές μονάδες υπάρχει ένα μικρό κόστος αρχικής διασύνδεσης) Συνδρομητές χρήστες είναι το προσωπικό των ιδιωτικών επιχειρήσεων. (Η προώθηση της υπηρεσίας γίνεται μέσω δικτύου συνεργατών που απευθύνονται σε ιδιωτικές επιχειρήσεις. Το κόστος βαρύνει την επιχείρηση)

32 Η ηλεκτρονική υγεία στην πράξη με την πλατφόρμα Patient Link Σενάριο 1 ο Κλινικός ιατρός, ενώ βρίσκεται σε ταξίδι, δέχεται τηλεφώνημα από πελάτη του, ο οποίος μόλις έχει πάρει εξιτήριο από νοσοκομείο, για πρόβλημα που αντιμετωπίζει. Ο κλινικός ιατρός συνδέεται, σαν θεράπων ιατρός με το νοσοκομείο, και σαν προσωπικός ιατρός, μετά από άδεια του πελάτη του, με τα ιατρικά εργαστήρια στα οποία είχε κάνει εξετάσεις. Δίνει οδηγίες για διενέργεια εξετάσεων στον πελάτη, και παράλληλα αφήνει μήνυμα στην γραμματέα του για να κλείσει ραντεβού με τον πελάτη αμέσως μόλις επιστρέψει μετά από 2 ημέρες. Πριν επιστρέψει, συνδέεται με την ιατρική μονάδα στην οποία πήγε ο πελάτης για τις εξετάσεις και γνωρίζει τα αποτελέσματα πριν ακόμα τα παραλάβει ο ίδιος ο πελάτης

33 Η ηλεκτρονική υγεία στην πράξη με την πλατφόρμα Patient Link Σενάριο 2 ο Κλινικός ιατρός, δέχεται επίσκεψη από πελάτη του, ο οποίος τον έχει χαρακτηρίσει σαν ιατρό δικτύου. Κατά την επίσκεψη ο ιατρός καταχωρεί την διάγνωση στον φάκελο του πελάτη καθώς επίσης του επισυνάπτει και μια παλαιότερη εξέταση σε μορφή pdf

34 Η ηλεκτρονική υγεία στην πράξη με την πλατφόρμα Patient Link Σενάριο 3 ο Ασθενής ο οποίος συνδέεται σαν συνδρομητής - χρήστης στο δίκτυο PLSN, Α) διασύνδεει τις ιατρικές μονάδες και τους κλινικούς ιατρούς με τους οποίους είχε συνεργασία, ώστε να έχει εύκολη πρόσβαση σε όλους Β) Διαμορφώνει τους ιατρικούς του φακέλους όπως ο ίδιος επιθυμεί, και τον ΑΗΦΥ Γ) Διαμορφώνει την λίστα των προσωπικών ιατρών και των ιατρών δικτύου όπως επιθυμεί

35 Η ηλεκτρονική υγεία στην πράξη με την πλατφόρμα Patient Link Σενάριο 4 ο Ο ιατρός χρησιμοποιεί την πλατφόρμα Patient Link για την οργάνωση του ιατρείου του.

36 Σας ευχαριστούμε