Δημήτρης Γκρίτζαλης. Σειρά Τεχνικών Αναφορών No. 3 (2006) Κωδικός αναφοράς: AUEB-CIS/COD-0306/v.1.1/

Transcript

1 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Διευθυντής: Δημήτρης Α. Γκρίτζαλης, Aναπληρωτής Καθηγητής Ασφάλειας στις ΤΠΕ Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας Δημήτρης Γκρίτζαλης Σειρά Τεχνικών Αναφορών No. 3 (2006) Κωδικός αναφοράς: AUEB-CIS/COD-0306/v.1.1/ Δεκέμβρης 2006

2 Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής Πατησίων 76, Αθήνα Tηλ.: ή 157, Website: Security should pay, not cost Επαγγελματικό moto Περίληψη: Στην Ελλάδα, η λειτουργία Ολοκληρωμένων Πληροφοριακών Συστημάτων Υγείας (ΟΠΣΥ) προϋποθέτει τη λήψη άδειας από την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), δεδομένου ότι τα ΟΠΣΥ επεξεργάζονται ευαίσθητα δεδομένα (Νόμος 2472/1997). Πολλά από τα ΟΠΣΥ χρημαοδοτούνται από το Ε.Π. Κοινωνία της Πληροφορίας. Όπου συμβαίνει αυτό, ο ανάδοχος του έργου ανάπτυξης του ΟΠΣΥ πλαισιώνεται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ), που επιλέγεται από την Κοινωνία της Πληροφορίας Α.Ε. Το έργο του ΣΤΥ περιλαμβάνει την εκπόνηση της Μελέτης Ασφάλειας κάθε ΟΠΣΥ. Περαιτέρω, στην περίπτωση των ΟΠΣΥ ο ΣΤΥ οφείλει να υποστηρίζει τις εμπλεκόμενες ΔΥ- Πε, Νοσοκομεία και Κέντρα Υγείας με την παροχή των συμβουλών που είναι α- παραίτητες για να λάβουν την αναγκαία άδεια επεξεργασίας ευαίσθητων δεδομενων από την ΑΠΠΔ. Μια από τις σχετικές προϋποθέσεις που έχει θέσει η ΑΠΠΔ είναι η υιοθέτηση, από κάθε φορέα υγείας που αναπτύσσει ΟΠΣΥ, ενός κώδικα δεοντολογίας που αφορά το (μη ιατρικό και μη νοσηλευτικό) προσωπικό που επεξεργάζεται δεδομένα υγείας. Η παρούσα τεχνική αναφορά περιγράφει έναν τέτοιο κώδικα, ο οποίος αποτελεί απόδοση-προσαρμογή στα ελληνικά δεδομένα του α- ντίστοιχου διεθνούς κώδικα δεοντολογίας που έχει εκπονήσει η ΙΜΙΑ (International Medical Informatics Association). Λέξεις-κλειδιά: Κώδικας Δεοντολογίας, Κώδικας Ορθής (Καλής) Πρακτικής, Προσωπικό Φορέων Υγείας, Μελέτη Ασφάλειας, Μέτρα Ασφάλειας, Διαδικασίες Ασφάλειας, IMIA. Ευχαριστίες: Ευχαριστώ τα μέλη της Τεχνικής Επιτροπής 251 της ΙΜΙΑ για τη μακροχρόνια και γόνιμη συνεργασία μας, αποτέλεσμα της οποίας είναι και ο παρών Κώδικας Δεοντολογίας. Ξεχωριστά ευχαριστώ τους κορυφαίους ειδικούς συναδέλφους B. Barber, F. Roger-France και E.-H. Kluge. Επίσης, ευχαριστώ το συνεργάτη μου Σ. Δρίτσα, μέλος της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, για τη βοήθειά του στην επεξεργασία και απόδοση του κώδικα στην ελληνική γλώσσα. Εφαρμογή: Ευχαριστώ τα διοικητικά στελέχη και τους συναδέλφους Πληροφορικούς του Ψυχιατρικού Νοσοκομείου Αττικής, του Γενικού Νοσοκομείου Νίκαιας, του Νο- Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 2

3 σοκομείου Κέρκυρας, του Πανεπιστημιακού Νοσοκομείου Πατρών, του Λαϊκού Νοσοκομείου, καθώς και του Σισμανόγλειου Νοσοκομείου, για τις παρατηρήσεις τους που αφορούν την εξειδίκευση του κώδικα στις παρούσες συνθήκες. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 3

4 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ Επιτελική σύνοψη παραδοτέου 4 1. Προοίμιο 5 2. Δομή Κώδικα Δεοντολογίας 8 3. Κώδικας Δεοντολογίας για τον υπεύθυνο επεξεργασίας και το προσωπικό που επεξεργάζεται δεδομένα υγείας 9 Μέρος Α 9 Μέρος Β 11 Λίγα λόγια για το συγγραφέα 15 Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 4

5 ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ Στην Ελλάδα, η λειτουργία Ολοκληρωμένων Πληροφοριακών Συστημάτων Υγείας (ΟΠΣΥ) προϋποθέτει τη λήψη άδειας λειτουργίας τους από την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), δεδομένου ότι τα ΟΠΣΥ επεξεργάζονται ευαίσθητα δεδομένα (Νόμος 2472/1997). Πολλά από τα ΟΠΣΥ χρημαοδοτούνται από το Ε.Π. Κοινωνία της Πληροφορίας. Όπου συμβαίνει αυτό, ο ανάδοχος του έργου ανάπτυξης του ΟΠΣΥ πλαισιώνεται από ένα Σύμβουλο Τεχνικής Υποστήριξης (ΣΤΥ), που επιλέγεται από την Κοινωνία της Πληροφορίας Α.Ε. Το έργο του ΣΤΥ περιλαμβάνει την εκπόνηση της Μελέτης Ασφάλειας κάθε ΟΠΣΥ. Περαιτέρω, στην περίπτωση των ΟΠΣΥ ο ΣΤΥ οφείλει να υποστηρίζει τις εμπλεκόμενες ΔΥΠε, Νοσοκομεία και Κέντρα Υγείας με την παροχή των συμβουλών που είναι απαραίτητες για να λάβουν την αναγκαία άδεια επεξεργασίας ευαίσθητων δεδομένων από την ΑΠΠΔ. Μια από τις σχετικές προϋποθέσεις που έχει θέσει η ΑΠΠΔ είναι η υιοθέτηση, από κάθε φορέα υγείας που αναπτύσσει ΟΠΣΥ, ενός Κώδικα Δεοντολογίας που αφορά το (μη ιατρικό και μη νοσηλευτικό) προσωπικό που επεξεργάζεται δεδομένα υγείας. Η παρούσα τεχνική αναφορά περιγράφει έναν τέτοιο κώδικα, ο οποίος αποτελεί απόδοση-προσαρμογή στα ελληνικά δεδομένα του αντίστοιχου κώδικα που έχει εκπονήσει η ΙΜΙΑ (International Medical Informatics Association). Συνεπώς, η υποβολή του κώδικα δεοντολογίας αποσκοπεί στην ουσιαστική υποστήριξη, τόσο των ΔΥΠε, όσο και των Νοσοκομείων και των Κέντρων Υγείας, προκειμένου να ανταποκριθούν στις απαιτησεις 1 της Αρχής Προστασίας Προσωπικών Δεδομένων και να λάβουν την αναγκαία άδεια επεξεργασίας ευαίσθητων δεδομένων. Το παρόν κείμενο περιγράφει και προτείνει έναν Κώδικα Δεοντολογίας που δεν αφορά το ιατρικό, νοσηλευτικό, εργαστηριακό, φαρμακευτικό κλπ. σχετικό ειδικευμένο και ειδικευόμενο προσωπικό των ΔΥΠε, των Νοσοκομείων και των Κέντρων Υγείας. Ο κώδικας δεοντολογίας αφορά το προσωπικό που σχεδιάζει, αναπτύσσει, χρησιμοποιεί και συντηρεί ΟΠΣΥ ή εφαρμογές τα οποία επεξεργάζονται, μεταξύ άλλων, δεδομένα υγείας και το οποίο (προσωπικό) διαθέτει επιστημονική η τεχνική γνώση, ε- ξειδίκευση ή/και εμπειρία σε θέματα Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ). Ο κώδικας δεοντολογίας αφορά, επίσης, το προσωπικό που χρησιμοποιεί - συστηματικά ή ευκαιριακά - πληροφοριακά συστήματα ή/και εφαρμογές που επεξεργάζονται, μεταξύ άλλων, δεδομένα υγείας. Τέλος, ο κώδικας δεοντολογίας αφορά το πρόσωπο ή/και την επιτροπή που θα οριστεί ως (κατά νόμο) αρμόδια για θέματα ασφαλείας των δεδομένων που επεξεργάζονται τα ΟΠΣΥ και οι εφαρμογές των ΔΥΠε, των Νοσοκομείων και των Κέντρων Υγείας της χώρας. 1 Επιπλέον του Κώδικα Δεοντολογίας, κάθε φορέας υγείας οφείλει να υποβάλλει στην ΑΠΠΔ τα Μέτρα Ασφαλείας που έχει λάβει (μεταξύ αυτών πρέπει να υπάρχει το Σχέδιο Συνέχισης της Λειτουργίας του φορέα μετά από κάποια ενδεχόμενη καταστροφή (DRP)), καθώς και την Πολιτική Ασφαλείας που ακολουθεί. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 5

6 1. ΠΡΟΟΙΜΙΟ Οι κώδικες (επαγγελματικής) δεοντολογίας αφορούν έναν ή περισσότερους συγκεκριμένους επαγγελματικούς ή επιστημονικούς κλάδους και αποβλέπουν γενικά 2 : 1. Στην παροχή δεοντολογικής καθοδήγησης στους ίδιους τους επαγγελματίες του κλάδου. 2. Στη θέσπιση ενός συνόλου γενικά αποδεκτών αρχών, με βάση τις οποίες μπορεί να αξιολογείται η εκάστοτε συμπεριφορά των επαγγελματιών. 3. Στην ενημέρωση του κοινού για τους κανόνες με βάση τους οποίους πρέπει να διαμορφώνεται η συμπεριφορά των επαγγελματιών. Το παρόν κείμενο αποβλέπει στην πρόταση ενός κώδικα δεοντολογίας για το (μη ιατρικό, μη νοσηλευτικό κλπ.) προσωπικό, καθώς και για τους υπεύθυνους της επεξεργασίας προσωπικών δεδομένων υγείας (Προσωπικό Υγείας, ΠΥ). Καταβλήθηκε προσπάθεια, ώστε ο κώδικας αυτός να είναι σαφής, κατάνοητός και εφαρμόσιμος στην πράξη. Επιπλέον - δεδομένου ότι οι Τεχνολογίες Πληροφορικής και Ε- πικοινωνιών (ΤΠΕ) εξελίσσονται ραγδαία και το ΠΥ περιλαμβάνει σχετικούς επαγγελματίες - ο κώδικας αυτός πρέπει να είναι ευέλικτος, ώστε να μπορεί να προσαρμόζεται στις διαρκείς μεταβολές χωρίς να παραβλέπει το πνεύμα των βασικών αρχών που τον διέπουν. Ενας κώδικας δεοντολογίας για το ΠΥ δεν πρέπει να ασχολείται με κάθε εξειδικευμένο ζήτημα που θα μπορούσε να προκύψει. Αυτό θα τον καθιστούσε δύσχρηστο και εξαρτημένο από την εξέλιξη των ΤΠΕ. Αντίθετα, ένας κώδικας αυτού του είδους πρέπει να επικεντρώνεται στη δεοντολογική θέση του ΠΥ, ως επαγγελματία, καθώς και στις σχέσεις μεταξύ ΠΥ και προσώπων/φορέων με τους οποίους συναλλάσσεται στο πλαίσιο της επαγγελματικής του ιδιότητας (πχ. ιατρικό προσωπικό, ασθενείς, φορείς υγείας, ιδιωτικές εταιρείες, διοίκηση κλπ.). Ο βασικός λόγος καθιέρωσης ενός ειδικού κώδικα δεοντολογίας για το ΠΥ είναι ότι το ΠΥ κατέχει έ- ναν ιδιαίτερο ρόλο στο σχεδιασμό και την παροχή ιατρικής φροντίδας, ένα ρόλο διακριτό από αυτόν των άλλων επαγγελματιών των ΤΠΕ που απασχολούνται σε διαφορετικά περιβάλλοντα. Ενα μέρος αυτής της ιδιαιτερότητας αφορά την ειδική σχέση μεταξύ του (μερικά ή συνολικά) Ηλεκτρονικού Φακέλου Υγείας (ΗΦΥ) με το υποκείμενο το οποίο αφορά ο φάκελος. Ο ΗΦΥ δεν περιέχει απλώς προσωπικές πληροφορίες για τον ασθενή, οι οποίες πρέπει να τηρηθούν εμπιστευτικές, αλλά λειτουργεί ως βάση για τη λήψη αποφάσεων οι οποίες έχουν σημαντική επίπτωση στην υγεία του. Ο ασθενής είναι ευάλωτος και κάθε απόφαση που αφορά αυτόν και τον ΗΦΥ πρέπει να λαμβάνεται με βάση την αναγκη τήρησης κατάλληλης ισορροπίας μεταξύ δεοντολογικά αποδεκτών σκοπών και πρόσφορων μέσων επίτευξής τους. 2 E.-H. Kluge, A Handbook of Ethics for Health Informatics Professionals, The British Computer Society, United Kingdom Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 6

7 Επιπλέον, τα περιεχόμενα του ΗΦΥ περιλαμβάνουν πληροφορίες απαραίτητες για τη λήψη αποφάσεων από τους οργανισμούς ιατρικής περίθαλψης και τις άλλες αρμόδιες υπηρεσίες. Χωρίς τις πληροφορίες αυτές, ένα σύστημα παροχής ιατρικής περίθαλψης δεν είναι δυνατόν να λειτουργήσει απότελεσματικά. Συνεπώς, το ΠΥ διευκολύνει τη δημιουργία, συντήρηση, αποθήκευση, πρόσβαση, χρήση και επεξεργασία των ΗΦΥ και διαδραματίζει έναν ξεχωριστό ρόλο, σε σχέση με αυτόν των άλλων επαγγελματιών των ΤΠΕ. Ταυτόχρονα, εξαιτίας αυτού του καταλυτικού του ρόλου, το ΠΥ εμπλέκεται σε έναν ιστό σχέσεων που υπόκειται σε ειδικούς δεοντολογικούς περιορισμούς. Πέραν των περιορισμών που προκύπτουν από τη σχέση μεταξύ ΗΦΥ και ασθενή, η δεοντολογική συμπεριφορά του ΠΥ πρέπει να καθορίζεται με βάση και τα ζητήματα που ανακύπτουν κατά τη συνεργασία του με το Ιατρικό Προσωπικό (ΙΠ), τους οργανισμούς ιατρικής περίθαλψης, καθώς και άλλες υπηρεσίες και πρόσωπα. Οι περιορισμοί αυτοί προσανατολίζουν το ΠΥ προς διαφορετικές κατευθύνσεις, συνεπώς είναι σημαντικό να γνωρίζει πώς θα α- ντεπεξέλθει στα εμφανιζόμενα προβλήματα με τον πιο ενδεδειγμένο τρόπο. Με αυτήν την έννοια, ο κώδικας δεοντολογίας είναι χρήσιμος στο ΠΥ για την επίλυση των διαφορών που ενδεχομένως αναφύονται από τους ίσως αντιφατικούς ρόλους του, καθώς και τους περιορισμούς στους οποίους υπόκειται 3. Αδιαμφισβήτητα, ο νόμος παρέχει ένα γενικό κανονιστικό πλαίσιο εντός του οποίου δραστηριοποιείται το ΠΥ. Ωστόσο, η σύμφωνη με τη δεοντολογία συμπεριφορά συχνά υπερβαίνει τις απαιτήσεις του νόμου. Η αιτία είναι ότι οι νομικοί κανόνες έχουν καθαρά δικονομική βαρύτητα και παρέχουν ένα ελάχιστο πρότυπο συμπεριφοράς, όπως αυτή προσδιορίζεται καταρχάς από το νομοθέτη. Ομως το πρότυπο αυτό προκύπτει ανάλογα με τις συνθήκες που επικρατούν σε δεδομένο χρόνο και χώρο, δεν είναι επαρκώς προβλέψιμο και συνεπώς λίγα μπορεί να προσφέρει στην καθοδήγηση του ΠΥ, το οποίο εργάζεται σε έναν ταχέως εξελισσόμενο επιστημονικό τομέα, στον οποίο εμφανίζονται διαρκώς νέες και απρόβλεπτες ειδικές περιπτώσεις. Το ΠΥ που θα εφάρμοζε αποκλειστικά και μόνο το νόμο και θα ρύθμιζε τη συμπεριφορά του μόνο σύμφωνα με το ισχύον νομικό καθεστώς δεν θα είχε τα απαραίτητα εφόδια να αντιμετωπίσει περιπτώσεις που δεν έχουν προβλεφθεί από το νομοθέτη 4. Από την άλλη πλευρά, ο κώδικας δεοντολογίας του ΠΥ βασίζεται σε θεμελιώδεις αρχές, οι οποίες ε- φαρμόζονται σε καταστάσεις που σχετίζονται με την επαγγελματική δραστηριότητα του ΠΥ. Συνεπώς, ο κώδικας αυτός, είναι επικεντρωμένος στη βαθύτερη ουσία του τι σημαίνει να είσαι ΠΥ. Επίσης, ο κώδικας αυτός αντί να αναιρείται από αλλαγές στις ΤΠΕ ή στη Διοίκηση, μπορεί να δείξει την κατεύθυνση προς την οποία οι εξελίξεις αυτές οφείλουν να διαμορφωθούν. Γενικότερα, ένας κώδι- 3 Gritzalis D., Katsikas S., Keklikoglou J., Tomaras A., "Medical data protection: A proposal for a deontology code", Medical Systems Journal, Vol. 14, No. 6, pp , December Berleur J.-J., Brunnstein K. (Eds.), Ethics of Computing, Chapman & Hall, United Kingdom 1997 (2 nd ed.). Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 7

8 κας δεοντολογίας μπορεί να βοηθήσει στην επίλυση προβλημάτων που ανακύπτουν από την εξέλιξη των ΤΠΕ, καθώς και στην οριοθέτηση του ευρύτερου δεοντολογικού τοπίου. Τέλος, σημειώνεται ότι: α) Η τυπική και ουσιαστική αποδοχή, καθώς και η πρακτική εφαρμογή του προτεινόμενου κώδικα δεοντολογίας, ανήκει στην αρμοδιότητα της ΔΥΠε, του Νοσοκομείου και του Κέντρου Υγείας, αλλά και στο ίδιο το ΠΥ το οποίο αφορά. β) H διοίκηση και το ΠΥ κάθε φορέα υγείας μπορεί να συμπληρώσει, να περιορίσει ή να μεταβάλλει τον προταθέντα κώδικα δεοντολογίας, μετά από διαβούλευση με τους ενδιαφερόμενους. γ) Το περιεχόμενο του κώδικα δεοντολογίας δεν αναιρεί, ούτε περιορίζει τις σχετικές διατάξεις της κείμενης εθνικής ή άλλης νομοθεσίας, η οποία και κατισχύει σε κάθε περίπτωση. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 8

9 2. ΔΟΜΗ ΚΩΔΙΚΑ ΔΕΟΝΤΟΛΟΓΙΑΣ Ο κώδικας δεοντολογίας που ακολουθεί αποτελεί προσαρμογή και απόδοση στην ελληνική γλώσσα του αντίστοιχου κώδικα δεοντολογίας της ΙΜΙΑ 5. Ο κώδικας αυτός αποτελείται από δύο βασικά μέρη: 1. Εισαγωγή Η εισαγωγή περιλαμβάνει ένα σύνολο θεμελιωδών δεοντολογικών αρχών οι οποίες έχουν τύχει γενικότερης διεθνούς αποδοχής. Ακολουθεί ένας κατάλογος των γενικών αρχών πληροφορικής δεοντολογίας (ή δεοντολογίας στις ΤΠΕ), οι οποίες προκύπτουν από την εφαρμογή των θεμελιωδών δεοντολογικών αρχών στη μερικά ή ολικά αυτοματοποιημένη συλλογή, επεξεργασία, αποθήκευση, μετάδοση, χρήση και προσπέλαση των δεδομενων υγείας, γενικά. Οι γενικές αυτές αρχές παρέχουν γενική καθοδήγηση. Οι γενικές αρχές της πληροφορικής δεοντολογίας, όταν υλοποιούνται στο πλαίσιο συγκεκριμενων σχέσεων και καταστάσεων και προκύπτουν κατά την άσκηση του επαγγέλματος του ΠΥ, οδηγούν στη διατύπωση εξειδικευμένων δεοντολογικών κανόνων. 2. Κανόνες δεοντολογικής συμπεριφοράς ΠΥ Οπως κάθε κανόνας δεοντολογικής συμπεριφοράς, έτσι και οι κανόνες αυτοί δεν μπορούν να προσφέρουν κάτι παραπάνω από καθοδήγηση. Ο ακριβής τρόπος με τον οποίο οι κανόνες εφαρμόζονται σε έ- να δεδομένο περιβάλλον, καθώς και η ακριβής φύση ενός συγκεκριμενου δικαιώματος ή υποχρέωσης εξαρτάται από τη φύση κάθε συγκεκριμένης περίπτωσης. Οι κανόνες που προτείνονται αποτελούν ένα σχετικά λεπτομερές σύνολο οδηγιών συμπεριφοράς του ΠΥ και προκύπτουν από την εφαρμογή των γενικών αρχών πληροφορικής δεοντολογίας στις ειδικές σχέσεις που χαρακτηρίζουν την επαγγελματική δραστηριότητα του ΠΥ. Ο κώδικας δεοντολογίας και το σύνολο των αντίστοιχων κανόνων δεοντολογικής συμπεριφοράς δεν περιλαμβάνουν τεχνικά μέσα, δηλαδή δεν αναφέρονται σε έννοιες όπως τα τεχνικά πρότυπα ασφαλούς μετάδοσης δεδομένων ή σε οδηγίες που είναι απαραίτητες για τη διασφάλιση υψηλής ποιότητας στη μεταχείριση, συλλογή, αποθήκευση, μετάδοση, επεξεργασία κλπ. ιατρικών δεδομένων. Αυτό έγινε σκόπιμα, γιατί ενώ η ανάπτυξη και υλοποίηση των τεχνικών προτύπων λαμβάνει δεοντολογικές διαστάσεις και ενώ αυτές οι διαστάσεις αντικατοπτρίζονται στον κώδικα και τους κανόνες ως δεοντολογικά καθήκοντα, οι λεπτομέρειες των προτύπων δεν αποτελούν οι ίδιες ζήτημα δεοντολογίας. 5 A Code of Ethics for Health Informatics Professionals, International Medical Informatics Association (IMIA), Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 9

10 3. ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙ- ΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ Μέρος Α Α.1 Γενικές δεοντολογικές αρχές 1. Αρχή του Αυτοπροσδιορισμού Όλοι οι άνθρωποι έχουν το δικαίωμα του αυτοπροσδιορισμού. 2. Αρχή της Ισότητας Όλοι οι άνθρωποι είναι ίσοι μεταξύ τους και έχουν το δικαίωμα ανάλογης μεταχείρισης. 3. Αρχή της Αλληλεγγύης Όλοι οι άνθρωποι οφείλουν να προάγουν το καλό των άλλων ατόμων, εφόσον η φύση των πράξεών τους βρίσκεται σε αρμονία με τις θεμελιώδεις αξίες των επηρεαζόμενων ατόμων. 4. Αρχή του Αλτρουισμού Όλοι οι άνθρωποι οφείλουν να αποτρέπουν την πρόκληση βλάβης σε άλλους ανθρώπους, εφόσον μπορούν να το πράξουν χωρίς να προξενήσουν αδικαιολόγητη βλάβη στους ίδιους. 5. Αρχή της Εφικτότητας Όλα τα δικαιώματα και οι υποχρεώσεις των ανθρώπων ισχύουν υπό την προϋπόθεση ότι είναι δυνατόν να πραγματοποιηθούν στις συγκυρίες που επικρατούν. 6. Αρχή της Βέλτιστης Προσπάθειας Κάθε άνθρωπος που έχει μια υποχρέωση οφείλει να την εκπληρώσει όσο πιο καλά μπορεί. Α.2 Δεοντολογικές αρχές στις ΤΠΕ 1. Αρχή της Ιδιωτικότητας Ολοι οι άνθρωποι έχουν το δικαίωμα της ιδιωτικότητας και επομένως του ελέγχου της συλλογής, απόθήκευσης, πρόσβασης, χρήσης, μετάδοσης, μεταχείρισης και διάθεσης των προσωπικών τους δεδομενων. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 10

11 2. Αρχή της Ενημέρωσης Η συλλογή, αποθήκευση, πρόσβαση, χρήση, μετάδοση, μεταχείριση και διάθεση προσωπικών δεδομένων πρέπει να γνωστοποιείται στο υποκείμενο των δεδομένων με κατάλληλο και έγκυρο τρόπο. 3. Αρχή της Αναλογικότητας Τα προσωπικά δεδομένα που συλλέγονται νομίμως πρέπει να προστατεύονται με επαρκή και κατάλληλα μέτρα από απώλεια, μη εξουσιοδοτημένη καταστροφή, πρόσβαση, χρήση, μετατροπή ή μετάδοσή τους. 4. Αρχή της Επικαιρότητας Το υποκείμενο ενός ΗΦΥ έχει το δικαίωμα της πρόσβασης στο φάκελο αυτό, καθώς και το δικαίωμα τροποποίησης του φακέλου για την αποκατάσταση της ακρίβειας, πληρότητας και συνάφειας των δεδομένων. 5. Αρχή του Ελέγχου Το δικαίωμα ελέγχου της συλλογής, αποθήκευσης, πρόσβασης, χρήσης, μεταχείρισης, μετάδοσης και διάθεσης των προσωπικών δεδομένων περιορίζεται μόνο από νόμιμες, κατάλληλες και συναφείς πληροφοριακές ανάγκες, μιας ελεύθερης, υπεύθυνης και δημοκρατικής κοινωνίας, καθώς και από τα ίσα και αντίστοιχα δικαιώματα άλλων ατόμων. 6. Αρχή της Ελάχιστης Βλάβης Κάθε παραβίαση του δικαιώματος ιδιωτικότητας ενός ανεξάρτητου ατόμου και του δικαιώματος καθενός να ελέγχει τα σχετικά με το άτομό του δεδομένα, όπως καθορίζεται από την Αρχή της Ιδιωτικότητας, μπορεί να λάβει χώρα μόνο με τρόπο που προσβάλλει ελάχιστα τα δικαιώματα του επηρεαζόμενου ατόμου. 7. Αρχή της Αιτιολόγησης Κάθε παραβίαση του δικαιώματος ιδιωτικότητας του ατόμου και του δικαιώματος ελέγχου των δεδομενων που σχετίζονται με αυτό πρέπει να αιτιολογείται στον επηρεαζόμενο, έγκαιρα και με κατάλληλο τρόπο. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 11

12 Μέρος Β Β.1 Καθήκοντα απέναντι στο υποκείμενο 1. Το ΠΥ οφείλει να διασφαλίσει ότι τα πιθανά υποκείμενα των ΗΦΥ (πχ. ασθενής) είναι ενημερωμένα για την ύπαρξη συστημάτων, προγραμμάτων ή συσκευών των οποίων σκοπός είναι η συλλογή ή/και η μετάδοση δεδομένων που τα αφορούν. 2. Το ΠΥ οφείλει να διασφαλίσει ότι υπάρχουν κατάλληλες διαδικασίες, έτσι ώστε: α. οι ΗΦΥ να δημιουργούνται και μεταδίδονται μόνο με την εκούσια, επαρκή και ρητή συγκατάθεση των υποκειμένων αυτών των φακέλων, β. αν ένας ΗΦΥ δημιουργείται ή μεταδίδεται κατά παράβαση του Α.2.α, τότε η ανάγκη να δημιουργηθεί ή να μεταδοθεί έχει προκύψει με βάση ανεξάρτητη και σύμφωνη με τη δεοντολογία αιτιολόγηση, σε έγκαιρο χρόνο και με κατάλληλο τρόπο. 3. Το ΠΥ οφείλει να διασφαλίσει ότι το υποκείμενο ενός ΗΦΥ έχει ενημερωθεί: α. για το γεγονός ότι ο ΗΦΥ του έχει δημιουργηθεί για αυτόν, β. για το ποιος έχει δημιουργήσει τον ΗΦΥ και ποιος το συντηρεί, γ. για το τι περιέχεται στον ΗΦΥ, δ. για το σκοπό για τον οποίο έχει δημιουργηθεί ο ΗΦΥ, ε. για τα άτομα, οργανισμούς και υπηρεσίες που έχουν πρόσβαση στον ΗΦΥ ή που μπορεί να μεταδοθεί ο ΗΦΥ ή ένα επεξεργάσιμο μέρος του, στ. για το πού τηρείται ο ΗΦΥ, ζ. για το χρονικό διάστημα για το οποίο θα διατηρηθεί, η. για την τελική μορφή του ΗΦΥ. θ. για την προέλευση των δεδομένων που περιέχονται στο φάκελο ι. για τα δικαιώματα που έχει σε σχέση με την πρόσβαση, χρήση, αποθήκευση, μετάδοση, διαχείριση, ποιότητα, διόρθωση και διάθεση του ΗΦΥ του, καθώς και των δεδομένων που περιέχονται σε αυτόν. 4. Το ΠΥ οφείλει να διασφαλίσει ότι: α. οι HΦΥ αποθηκεύονται, προσπελαύνονται, χρησιμοποιούνται, τροποποιούνται ή μεταδίδονται μόνο για νόμιμους σκοπούς, Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 12

13 β. υπάρχουν εγκατεστημένα κατάλληλα πρωτόκολλα και μηχανισμοί που μπορούν να παρακολουθούν την αποθήκευση, πρόσβαση, χρήση, τροποποίηση ή μετάδοση των ΗΦΥ ή των δεδομενων που περιέχονται σε αυτούς, όπως ορίζει ο κανόνας Α.4.α, γ. υπάρχουν εγκατεστημένα κατάλληλα πρωτόκολλα και μηχανισμοί που μπορούν να ενεργοποιούνται με βάση την πληροφορία που συλλέγεται, σύμφωνα με την ενότητα Α.4.β, καθώς και ό- ταν οι περιστάσεις το απαιτούν, δ. τα υποκείμενα των ΗΦΥ γνωρίζουν την ύπαρξη των ανωτέρω πρωτοκόλλων και μηχανισμών, ε. τα υποκείμενα των ΗΦΥ διαθέτουν κατάλληλα μέσα, ώστε να μπορούν να θέτουν ερωτήματα και να συμμετάσχουν στην εφαρμογή των σχετικών πρωτοκόλων και μηχανισμών εποπτείας. 7. Το ΠΥ αναγνωρίζει ότι τα υποκείμενα των ΗΦΥ και οι νόμιμοι αντιπρόσωποί τους έχουν τα ίδια δικαιώματα με το ΠΥ στους ΗΦΥ που τα αφορούν, καθώς και ότι το δικαίωμα αυτό το γνωρίζουν τα υποκείμενα. 8. Το ΠΥ οφείλει να διασφαλίσει ότι οι ΗΦΥ υφίστανται δίκαιη, έντιμη και σύννομη επεξεργασία. 9. Το ΠΥ οφείλει να διασφαλίσει ότι έχουν ληφθεί τα απαραίτητα μέτρα που παρέχουν επαρκή α- σφάλεια, ποιότητα, ευχρηστία και προσβασιμότητα στους ΗΦΥ. 10. Το ΠΥ οφείλει να διασφαλίσει, στο μέτρο των δυνατοτήτων του, ότι ένας ΗΦΥ ή τα δεδομένα που περιέχονται σε αυτόν χρησιμοποιούνται μόνο για τους δηλωθέντες σκοπούς για τους οποίους συλλέχθηκαν ή για σκοπούς οι οποίοι είναι δεοντολογικά αποδεκτοί. 11. Οι ΠΥ οφείλουν να διασφαλίσουν ότι τα υποκείμενα των ΗΦΥ ή των σχετικών επικοινωνιών καθίστανται ενήμερα των πιθανών παραβιάσεων και των αιτιών που τις προκάλεσαν. Β.2 Καθήκοντα απέναντι στο Ιατρικό Προσωπικό 1. Το ΠΥ οφείλει: α. να βοηθά το αρμόδιο Ιατρικό Προσωπικό (ΙΠ) που ασχολείται με την περίθαλψη των ασθενών, παρέχοντάς του κατάλληλη, έγκαιρη και ασφαλή πρόσβαση σε σχετικούς HΦY (ή μέρη αυτών), β. να διασφαλίσει τη χρηστικότητα, ακεραιότητα και την υψηλότερη δυνατή τεχνική ποιότητα των ΗΦΥ, γ. να παρέχει τις πληροφοριακές υπηρεσίες που είναι απαραίτητες στο ΙΠ για την εκπλήρωση των καθηκόντων του. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 13

14 2. Το ΠΥ οφείλει να τηρεί το ΙΠ ενήμερο για την κατάσταση των πληροφοριακών υπηρεσιών τις ο- ποίες χρησιμοποιεί το ΙΠ και να το ενημερώνει έγκαιρα για οποιοδήποτε πρόβλημα ή δυσκολία που μπορεί να σχετίζεται ή που μπορούσε λογικά να προκύψει σε σχέση με τις υπηρεσίες αυτές. 3. Το ΠΥ οφείλει να ενημερώνει το ΙΠ με το οποίο συνεργάζεται επαγγελματικά ή στο οποίο παρέχει επαγγελματικές υπηρεσίες για οποιεσδήποτε συνθήκες που μπορούν να επηρεάσουν την αντικειμενικότητα των συμβουλών που παρέχει το ΙΠ ή που μπορούν να βλάψουν τη φύση ή την ποιότητα των υπηρεσιών που παρέχουν στο ΙΠ. 4. Το ΠΥ οφείλει να διασφαλίσει την ύπαρξη περιβάλλοντος που συμβάλλει στη διατήρηση των υ- ψηλότερων δυνατών προδιαγραφών για τη συλλογή, αποθήκευση, διαχείριση, μετάδοση και χρήση δεδομένων από το ΙΠ για παροχή ιατρικής περίθαλψης. 5. Το ΙΠ που εμπλέκεται άμεσα στη δημιουργία ΗΦΥ ενδέχεται να έχει δικαιώματα πνευματικής ιδιοκτησίας σε συγκεκριμένα τμήματα των φακέλων αυτών. Συνεπώς, το ΠΥ οφείλει να προστατεύει τοσο το ΗΦΥ, όσο και το σύστημα συλλογής, ανάκτησης, αποθήκευσης και χρήσης των δεδομενων, όπου είναι ενσωματωμένος ο ΗΦΥ. Β.3 Καθήκοντα απέναντι στους εργοδότες 1. Το ΠΥ οφείλει να επιδεικνύει, έναντι των εργοδοτών του, εργατικότητα, ακεραιότητα και εύλογη αφοσίωση. 2. Το ΠΥ οφείλει να: α. επιδεικνύει ευαισθησία σε θέματα ασφάλειας, σύμφωνα με τη δεοντολογία και το γενικότερο πλαίσιο του οργανισμού στον οποίο ασκεί το επάγγελμα του, β. διευκολύνει το σχεδιασμό και την υλοποίηση των βέλτιστων δυνατών και πιο κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας των δεδομένων, γ. υλοποιήσει και να διατηρήσει τα υψηλότερα δυνατά ποιοτικά πρότυπα συλλογής, αποθήκευσης, ανάκτησης, επεξεργασίας, πρόσβασης, μετάδοσης και χρήσης δεδομένων. 3. Το ΠΥ οφείλει να διασφαλίσει, στο μέγιστο δυνατό βαθμό, ότι υπάρχουν οι απαραίτητες υποδομές για την τεχνική, νομική και δεοντολογική αποδοχή της συλλογής, αποθήκευσης, ανάκτησης, επεξεργασίας, πρόσβασης, μετάδοσης και χρήσης δεδομένων. 4. Το ΠΥ οφείλει να ειδοποιεί, έγκαιρα και με κατάλληλο τρόπο, τους αρμόδιους σε θέματα ασφάλειας συστημάτων, προγραμμάτων, συσκευών ή διαδικασιών δημιουργίας, αποθήκευσης, πρόσβα- Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 14

15 σης, χειρισμού και μετάδοσης των δεδομένων του οργανισμού, με τον οποίο έχει επαγγελματικούς δεσμούς ή των εργοδοτών για τους οποίους παρέχει επαγγελματικές υπηρεσίες, για κάθε περιστατικό παραβίασης ασφάλειας. 5. Το ΠΥ οφείλει να ενημερώνει, έγκαιρα και με κατάλληλο τρόπο, τους οργανισμούς με τους οποίους είναι επαγγελματικά συνδεδεμένο ή τους εργοδότες στους οποίους παρέχει επαγγελματικές υ- πηρεσίες για κάθε πρόβλημα ή δυσκολία που θα μπορούσε να ανακύψει και να επηρεάσει την απόδοση των συμβατικά παρεχόμενων υπηρεσιών προς αυτούς. 6. Το ΠΥ οφείλει να ενημερώνει έγκαιρα τους οργανισμούς με τους οποίους είναι επαγγελματικά συνδεδεμένο ή τους εργοδότες στους οποίους παρέχει επαγγελματικές υπηρεσίες για τις συνθήκες που θα μπορούσαν να επηρεάσουν την αντικειμενικότητα των υπηρεσιών που παρέχει. 7. Με την εξαίρεση έκτακτων καταστάσεων, το ΠΥ οφείλει να παρέχει υπηρεσίες μόνο στους συγκεκριμένους τομείς της αρμοδιότητάς του. 8. Για την εκτέλεση των καθηκόντων του, το ΠΥ οφείλει να χρησιμοποιεί εργαλεία, τεχνικές και συσκευές που έχουν αποκτηθεί σύμφωνα με το νόμο και τη δεοντολογία. 9. Το ΠΥ οφείλει να υποστηρίζει την ανάπτυξη και παροχή εκπαιδευτικών υπηρεσιών, σχετικών με τις ΤΠΕ, στον οργανισμό με τον οποίο συνεργάζεται ή στον εργοδότη για τον οποίο εργάζεται. Β.4 Καθήκοντα απέναντι στο κοινωνικό σύνολο 1. Το ΠΥ οφείλει να διευκολύνει τη συλλογή, αποθήκευση, μετάδοση και χρήση των δεδομένων υ- γείας, τα οποία είναι απαραίτητα για το σχεδιασμό και την παροχή υπηρεσιών ιατρικής περίθαλψης του κοινωνικού συνόλου. 2. Το ΠΥ οφείλει να διασφαλίσει ότι: α. συλλέγονται μόνο δεδομένα που αφορούν έννομες ανάγκες, β. τα δεδομένα τα οποία συλλέγονται είναι μη αναγνωρίσιμα ή καθίστανται ανώνυμα στο μέγιστο δυνατό βαθμό, σύμφωνα με τους νόμιμους σκοπούς συλλογής τους, γ. η διασύνδεση βάσεων δεδομένων γίνεται μόνο για νόμιμους και δικαιολογημένους σκοπούς που δεν παραβιάζουν τα θεμελιώδη δικαιώματα των υποκειμένων των ΗΦΥ, δ. μόνο κατάλληλα εξουσιοδοτημένα άτομα έχουν πρόσβαση στα δεδομένα. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 15

16 3. Το ΠΥ οφείλει να ενημερώνει το κοινό για τη φύση, συλλογή, αποθήκευση και χρήση των δεδομενων υγείας και να καθιστά το κοινωνικό σύνολο ενήμερο των προβλημάτων, κινδύνων, επιπτώσεων ή περιορισμών που λογικά θα μπορούσαν να συσχετιστούν με τη συλλογή, αποθήκευση, χρήση και μεταχείριση των δεδομένων αυτών. 4. Το ΠΥ οφείλει να αρνηθεί να συμμετάσχει ή να υποστηρίξει πρακτικές που παραβιάζουν τα ανθρώπινα δικαιώματα και τις ατομικές ελευθερίες. Β.5 Αυτοέλεγχος και αυτογνωσία 1. Το ΠΥ οφείλει να: 1. αναγνωρίζει τα όρια των αρμοδιοτήτων του, 2. διαβουλεύεται όταν είναι αναγκαίο ή σκόπιμο, 3. διατηρεί την επιστημονική του επάρκεια, 4. αναλαμβάνει την ευθύνη για ενέργειες που εκτελεί ή βρίσκονται υπό τον έλεγχο του, 5. αποφεύγει διαπλοκή συμφερόντων, 6. αναγνωρίζει ηθικά ή με άλλο κατάλληλο τρόπο την εκτέλεση μιας εργασίας, 7. ενεργεί με εντιμότητα και ακεραιότητα. Β.6 Καθήκοντα απέναντι στο επάγγελμα 1. Το ΠΥ οφείλει να ενεργεί με τρόπο που δεν δυσφημεί το επάγγελμά του. 2. Το ΠΥ οφείλει να βοηθά στην ανάπτυξη των υψηλότερων δυνατών προτύπων επαγγελματικής ι- κανότητας, να διασφαλίζει ότι τα πρότυπα αυτά είναι δημόσια γνωστά και να επιβλέπει ότι εφαρμόζονται με αμερόληπτο και διαφανή τρόπο. 3. Το ΠΥ οφείλει να αποφεύγει την αμφισβήτηση της φήμης των συνεργατών του, αλλά και να συνεργάζεται με τις αρμόδιες αρχές σε θέματα που αφορούν τυχόν αντιεπαγγελματική συμπεριφορά συνεργατών του. 4. Το ΠΥ οφείλει να βοηθά τους συνεργάτες του να ενεργούν με τρόπο αντάξιο των υψηλότερων τεχνικών και δεοντολογικών προτύπων του επαγγέλματος. 5. Το ΠΥ οφείλει να προωθεί την κατάλληλη και δεοντολογικά αποδεκτή κατανόηση των δυνατοτητων που προκύπτουν από την αποτελεσματική χρήση των ΤΠΕ. Κώδικας Δεοντολογίας για το προσωπικό των Φορέων Υγείας 16

17 Λίγα λόγια για το συγγραφέα Ο Δημήτρης Α. Γκρίτζαλης είναι Αναπληρωτής Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες στο Τμήμα Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών και Διευθυντής της Ερευνητικής και Μελετητικής Ομάδας Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων υποδομών ( Ο κ. Γκρίτζαλης διαθέτει πτυχίο (B.Sc.) Μαθηματικών του Πανεπιστημίου Πατρών, μεταπτυχιακό δίπλωμα (M.Sc.) στην Επιστήμη των Υπολογιστών του City University of New York (USA) και διδακτορικό δίπλωμα (Ph.D.) στην Ασφάλεια Πληροφοριακών Συστημάτων του Πανεπιστημίου Αιγαίου. Τα τρέχοντα επιστημονικά του ενδιαφέροντα περιλαμβάνουν ασφάλεια σε AmI, οντολογίες α- σφάλειας, ζητηματα εμπιστοσύνης σε συστήματα VoIP, τεχνολογίες προάσπισης ιδιωτικότητας (ΡΕΤ), εκπαίδευση στην ασφάλεια στις ΤΠΕ. Είναι ο εθνικός εκπρόσωπος της Ελλάδας στην Τεχνική Επιτροπή 11 της IFIP (Protection of Informtion Processing Systems), μέλος της Τεχνικής Επιτροπής 251 της IMIA, υπηρέτησε ως μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, καθώς και ως Πρόεδρος και μέλος του Δ.Σ. της Ελληνικής Εταιρείας Επιστημόνων Η/Υ και Πληροφορικής (ΕΠΥ). Τα τελευταία 20 χρόνια έχει συμμετάσχει σε πλήθος έργων Ερευνας και Τεχνολογικής Ανάπτυξης σε θέματα, στην Ελλάδα και διεθνώς, σε συνεργασία με πλήθος οργανισμών. Μεταξύ αυτών περιλαμβάνεται πλήθος φορέων διαχείρισης και παροχής υπηρεσιών υγείας, όπως το Υπουργείο Υγείας, η ΔΥΠε Ιονίων Νήσων, η ΔΥΠε Δυτικής Ελλάδας, η ΔΥΠε Πελοποννήσου, το Νοσοκομείο ΑΧΕΠΑ, το Λαϊκό Νοσοκομείο, το Σισμανόγλειο Νοσοκομείο, το Πανεπιστημιακό Νοσοκομείο Πατρών, το Ψυχιατρικό Νοσοκομείο Αττικής, το Γενικό Νοσοκομείο Νίκαιας και το Νοσοκομείο Κέρκυρας. Επίσης, έχει συνεργασθεί με φορείς όπως: Ευρωπαϊκή Ένωση, Συμβούλιο της Ευρώπης, EUROPOL, Ευρωπαϊκός Οργανισμός Προτύπων (CEN), Υπ. Οικονομίας και Οικονομικών, Υπ. Εξωτερικών, Υπ. Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης, Υπ. Υγείας και Πρόνοιας, Γενική Γραμματεία Έρευνας και Τεχνολογίας, Hellas- SAT, BP, ΕΚΟ ΕΛΔΑ, Ανώτατο Συμβούλιο Επιλογής Προσωπικού (ΑΣΕΠ), ΟΑΣΑ, Αττικό Μετρό, EBEA, ΕΛΟΤ, ΤΡΑΜ, Κοινωνία της Πληροφορίας, Q-TELECOM, ΕΥΔΑΠ κλπ. Μέθοδος CIS-ESMI: Αξιολόγηση της εφαρμογής των Μέτρων Ασφάλειας σε Πληροφοριακά Συστήματα και Κρίσιμες Υποδομές 17