7ος χρόνος, ημέρα 2218η
Σάββατο, 27 Νοεμβρίου 2021

Η εφαρμογή του GDPR αλλάζει νομοτελειακά την διαχείριση δεδομένων υγείας

Η εφαρμογή του GDPR αλλάζει νομοτελειακά την διαχείριση δεδομένων υγείας

Του Δρ. Ιωάννη Μπασδέκη

Στις 25 Μαΐου 2018 τίθεται σε ισχύ, εντός της ΕΕ, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR). Ο κανονισμός αυτός δημιουργήθηκε για να αντιμετωπιστεί η ανάγκη εναρμόνισης του νομοθετικού πλαισίου προστασίας δεδομένων σε όλα τα Κράτη της ΕΕ, σε σχέση κυρίως με τις τεχνολογικές αλλαγές που έχουν πραγματοποιηθεί την τελευταίες 2 δεκαετίες. Στις μέρες μας όπου ο πολίτης χρησιμοποιεί πλήθος υπηρεσιών και παράγει έναν ολοένα και αυξανόμενο όγκο ηλεκτρονικών δεδομένων, χωρίς τις περισσότερες φορές να γνωρίζει την ύπαρξή τους, την επεξεργασία ή τη διακίνησή τους, το νέο υποχρεωτικό στην εφαρμογή του κανονιστικό πλαίσιο για την προστασία δεδομένων επηρεάζει εντός της ΕΕ όχι μόνο τα Κράτη και τους δημόσιους οργανισμούς, αλλά και τις περισσότερες επιχειρήσεις, μικρές ή μεγάλες.

Η αρχική προσέγγιση στην χώρα μας είναι τα ζητήματα που απορρέουν από την ευθύνη συμμόρφωσης με τεχνολογικές προδιαγραφές που αποτυπώνονται σε ευρωπαϊκούς κανονισμούς και οδηγίες, να προσδιορίζονται και να αντιμετωπίζονται σε νομικό - ήτοι θεωρητικό - επίπεδο. Και στην περίπτωση λοιπόν συμμόρφωσης με το GDPR, απαιτείται κάποιος χρόνος ώστε να γίνει κατανοητό ότι αυτή προκαλεί επαναπροσδιορισμό λειτουργικών προδιαγραφών, της λογικής και της αρχιτεκτονικής των διαδικασιών και των πληροφοριακών συστημάτων που τις υλοποιούν. Στο παρελθόν άλλες πρόνοιες αυτού του είδους, ορμώμενες και αυτές από το κανονιστικό πλαίσιο της ΕΕ, παρότι αποτέλεσαν συστατικά νομοθετημάτων, στην χώρα μας πρακτικά δεν εφαρμόστηκαν. Παράδειγμα οι πρόνοιες για την φιλικότητα και την προσβασιμότητα όλων των ψηφιακών υπηρεσιών του Δημοσίου που προβλέπονται με το Συνταγματικό Άρθρο 5Α και τους Νόμους 3979/2011 και 4074/2012. Με βάση την περπατημένη, το μέλλον δεν θα προδιαγράφονταν ευοίωνο.

Τι το διαφορετικό σε αυτή την περίπτωση; Επιπλέον της ορατής προστασίας των δικαιωμάτων των πολιτών έναντι ενός ομιχλώδους τοπίου στο οποίο δρα ο εταιρικός ανταγωνισμός, και μάλιστα υπό την δαμόκλεια σπάθη αγώγιμων αξιώσεων, εκ των στρατηγικών στόχων εισαγωγής αυτού του νέου πλαισίου αποτέλεσε ο επαναπροσδιορισμός προδιαγραφών του ψηφιακού κόσμου, στο πλαίσιο της παγκόσμιας εμπορικής αντιπαράθεσης στην παγκόσμια αγορά τεχνολογιών πληροφορικής. Με τον τρόπο αυτό προσφέρεται στην ΕΕ η «ευκαιρία» (ήτοι ανταγωνιστικό πλεονέκτημα) προσφοράς νέων προϊόντων πληροφορικής, με αυξημένα επίπεδα ασφάλειας με τον ταυτόχρονο αποκλεισμό λύσεων προερχομένων εκτός της ΕΕ.

Ερχόμενοι στο επίπεδο της καθημερινότητας που ενδιαφέρει τον κάθε Πολίτη, η υποχρεωτική υιοθέτηση αυτού του πλαισίου πραγματικής προστασίας των προσωπικών του δεδομένων (ιατρικών, οικονομικών, πολιτικών πεποιθήσεων, κ.α.) προσφέρει μίας πρώτης τάξεως ευκαιρία στο Ελληνικό Κράτος για έναν εκ βάθρων επανασχεδιασμό στρατηγικών για την ηλεκτρονική υγεία, την ηλεκτρονική διακυβέρνηση, την ηλεκτρονική δικαιοσύνη, ώστε αυτές να υιοθετήσουν σύγχρονες αρχές όπως η Σχεδίαση για Όλους, η εκ σχεδιασμού προστασία των προσωπικών δεδομένων, η επαναχρησιμοποίηση των πόρων. Το αποτέλεσμα εφαρμογής αυτών είναι η προσφορά φιλικών και αποδοτικών υπηρεσιών για τον Πολίτη, και η επίτευξη οικονομίας κλίμακας. Σημειώνεται ότι στο πλαίσιο αυτό ιδιαίτερη σημασία αποκτά η ανάγκη προσδιορισμού της συλλογής και επεξεργασίας των ιατρικών δεδομένων, ως η πλέον ευαίσθητη και ευάλωτη πτυχή αυτών. Συνεκτιμώντας ότι ο Πολίτης στην χώρα μας ταλαιπωρείται αφάνταστα για να συλλέξει σε ηλεκτρονική μορφή τα αποτελέσματα των εξετάσεών του και γενικότερα του φακέλου υγείας του, καθώς και το ότι τα πληροφορικά συστήματα οργανισμών υγείας, νοσοκομείων, κέντρων υγείας, ιδιωτικών δομών υγείας δεν έχουν ενιαία κωδικοποίηση, δεν διαλειτουργούν και δεν προσφέρουν υπηρεσίες προς τον Πολίτη, ο επαναπροσδιορισμός αυτός ήταν προ πολλού αναγκαίος.

Τα προηγούμενα έτη, οι πόροι των συγχρηματοδοτούμενων έργων σπαταλήθηκαν σε υπερπρομήθειες εισαγόμενου εξοπλισμού πληροφορικής για την επίτευξη 99,9% διαθεσιμότητας, αντί αυτοί να διοχετευθούν στον ορθολογικό σχεδιασμό και την εγχώρια ανάπτυξη διαλειτουργικών ψηφιακών υπηρεσιών με λελογισμένη χρήση υποδομών φιλοξενίας τους. Η ανάπτυξη ψηφιακών υπηρεσιών υψηλών προδιαγραφών θα ήταν μάλιστα προς όφελος των ελληνικών εταιρειών πληροφορικής, των πανεπιστημιακών και των ερευνητικών ιδρυμάτων που δραστηριοποιούνται στο χώρο, ήτοι του ανθρώπινου δυναμικού και εμμέσως της Ελληνικής οικονομίας. Πλέον όμως, η υποχρεωτική συμμόρφωση με τις πρόνοιες του κανονισμού καθιστά απαρχαιωμένα και νομικά ευάλωτα σχεδόν όλα τα πληροφορικά συστήματα που αναπτύχθηκαν χωρίς στρατηγικό σχεδιασμό, όλων των δομών που διαχειρίζονται δεδομένα υγείας των πολιτών. Η διαφάνεια στην συλλογή και επεξεργασία ιατρικών δεδομένων, οι περιορισμοί στην πρόσβαση και στην περίοδο αποθήκευσή τους, η λογοδοσία και η γνωστοποίηση τυχόν παραβιάσεων και γενικότερα η πληροφόρηση του Πολίτη για κάθε πτυχή αυτών αποτελούν μόνο την κορυφή του παγόβουνου. Το δικαίωμα στην πρόσβαση σε όλα τα συλλεγόμενα προσωπικά δεδομένα, του ελέγχου όλων των υπεύθυνων επεξεργασίας τους, της διαγραφής και του περιορισμού στην επεξεργασία ή την ανεξέλεγκτη διάθεση σε τρίτους εμπλουτίζει την προστασία του Πολίτη, και τον καθιστούν για πρώτη φορά συνδιαμορφωτή των επιπέδων επεξεργασίας τους. Η ανάπτυξη νέων ψηφιακών υπηρεσιών απαιτεί εκ νέου πόρους, προκειμένου όμως αυτοί να αποδώσουν απαιτείται κατά προτεραιότητα η ανθρωποκεντρική υπόσταση και υποχρέωση διαλειτουργικότητας.

Νομοτελειακά, παραδοσιακές τεχνικές σχεδιασμού που χρηματοδοτούνται ακόμα και σήμερα από το Κράτος και δίνουν προτεραιότητα στην στεγανή συλλογή στοιχείων για την χρέωση υπηρεσιών υγείας, στην παραγωγή στατιστικών δεικτών παρακολούθησης επιδημιών ή στην ορθολογική διαχείριση συνταγογράφησης ή υλικών, θα περάσουν στο χρονοντούλαπο της ιστορίας. Η πρόσβαση του ιδίου του Πολίτη στα παραγόμενα από τον ίδιο ιατρικά δεδομένα και η αλληλεπίδρασή του με αυτά παράγει νέα γνώση, όπως και η αξιοποίηση μεγάλων δεδομένων από πηγές που εκ πρώτης όψεως φαίνονται ασυσχέτιστες. Η διεπιστημονική εποπτεία και η σωρευμένη εμπειρία του ανθρωπίνου δυναμικού που εργάζεται σε δομές υγείας χωρίς να αξιοποιείται ουσιαστικά είναι και αυτός καταλύτης επιτυχίας, ώστε τα συμπεράσματα της γνώσης να οδηγούν στην προαγωγή της Δημόσιας Υγείας.

Και σε όλα αυτά το νεοεμφανιζόμενο πέπλο προστασίας θα αποθαρρύνει την κακόβουλη χρήση, θα προστατεύει έναντι εξωτερικών ή εσωτερικών απειλών, και θα εγκαθιστά την αρχή ότι ασφάλεια των προσωπικών δεδομένων είναι θεμελιώδης υποχρέωση όλων των υπεύθυνων επεξεργασίας. Υπό αυτό το πρίσμα η επαναχάραξη με στόχο την ανθρωποκεντρική σχεδίαση, την προσφορά ενιαίας πρόσβασης, την χρήση ενιαίων κωδικοποιήσεων, μπορεί να επιτευχθεί με την αξιοποίηση του διεπιστημονικού χαρακτήρα δημόσιων οργανισμών και εγχώριων εταιρειών, που μπορούν να συσχετίζουν τον ολοένα και μεγαλύτερο όγκο δεδομένων και την παραγόμενη γνώση με στρατηγικές δημόσιας υγείας.

Η υποχρέωση της υιοθέτησης του GDPR πρέπει να αναγνωστεί ως μία πρώτης τάξεως ευκαιρία, ίσως από τις τελευταίες που μας προσφέρεται ως χώρα, για την προσφορά φιλικών για τον Πολίτη υπηρεσιών υγείας. Σχεδιάζοντας διαδικασίες και υπηρεσίες ηλεκτρονικής υγείας με γνώμονα τις σύγχρονες ανάγκες του όχι μόνο θα αποσυμφορηθούν οι δομές από την κοστοβόρα διαχείριση ετερογενών πληροφοριακών συστημάτων που δεν προστατεύουν τα δεδομένα του και δεν παράγουν γνώση, αλλά και το Κράτος θα αποκτήσει ένα ενιαίο ψηφιακό περιβάλλον για την ασφαλή διαυγή διαχείριση των συλλεγόμενων ιατρικών δεδομένων, που συμμορφώνεται με σύγχρονα πρότυπα, περιφρουρεί την Δημόσια Υγεία και προσφέρει αποτελεσματική και ισότιμη προστασία των ατομικών θεμελιωδών δικαιωμάτων.

* Ο Δρ. Μπασδέκης είναι Ερευνητής ηλεκτρονικής υγείας City University of London, Ηλεκτρονικής προσβασιμότητας Ίδρυμα Τεχνολογίας και Έρευνας, Σύμβουλος προέδρου ΚΕΕΛΠΝΟ σε θέματα ηλεκτρονικής υγείας.