Nakon seksualnog zlostavljanja, fizička se osoba liječila u zdravstvenoj ustanovi 'Z'.
Nekoliko mjeseci kasnije je ista fizička osoba posjetila psihologa u ustanovi koja se nalazi unutar zdravstvene grupacije koja upravlja zdravstvenom ustanovom 'Z'.
Međutim, psiholog nije radio u zdravstvenoj ustanovi 'Z' i posjet dotične fizičke osobe nije bio povezan sa spomenutim seksualnim zlostavljanjem.
Tijekom psihološkog savjetovanja fizičkoj su osobi postavljena pitanja u vezi s njezinim seksualnim zlostavljanjem, što joj je ukazivalo da je psiholog imao pristup njezinim medicinskim podacima koje posjeduje zdravstvena ustanova 'Z', unatoč tome što psiholog nije radio u toj zdravstvenoj ustanovi.
Dotični pacijent je kontaktirao zdravstvenu ustanovu 'Z' u vezi s njihovom internom politikom pristupa podacima i dobio informaciju da svi zaposlenici zdravstvene grupacije mogu pristupiti njezinom kartonu pacijenta, neovisno o tome rade li u zdravstvenoj ustanovi 'Z' ili ne.
Pacijent je zatražio da zdravstvena ustanova 'Z' pristup njezinim osobnim podacima ograniči samo na osoblje koje radi u zdravstvenoj ustanovi 'Z'. Na takav zahtjev mu je zdravstvena ustanova 'Z' odgovorila da to nije moguće.
Naravno, stvar je prijavljena belgijskom nadzornom tijelu za zaštitu osobnih podataka, koje je utvrdilo da interne sigurnosne mjere zdravstvene grupacije krše članak 32. i članak 24. GDPR-a.
Ovi članci nameću dužnost voditeljima obrade i izvršiteljima obrade da provedu "odgovarajuće tehničke i organizacijske mjere" kako bi osigurali usklađenost s GDPR-om i osigurali razinu sigurnosti koja odgovara riziku obrade.
Belgijsko nadzorno tijelo je naglasilo značenje termina "odgovarajućih tehničkih i organizacijskih mjera" u kontekstu zdravstvene skrbi na način da se mjere trebaju provoditi kako bi se "osiguralo da pružatelji zdravstvenih usluga koji koriste sustav razmjene informacija imaju pristup samo podacima pacijenata koji su neophodni za pružanje njihovih usluga."
Budući da je zdravstvena grupacija dopustila svim svojim zaposlenicima pristup podacima o pacijentima, a ne samo onima koji liječe određenog pacijenta, nadzorno tijelo je utvrdilo da zdravstvena grupacija nije provela "odgovarajuće tehničke i organizacijske mjere" s obzirom na članak 32. i 24. GDPR-a.
Autor ovog posta je grupni Službenik za zaštitu podataka najveće grupacije dentalne medicine u ovoj regiji i upravo ovaj slučaj itekako primjenjuje.
Ne može liječnik iz ordinacije A imati pristup kartonu pacijenta ordinacije B pa makar i unutar iste grupacije, ako to nije dokazano opravdano i nužno radi pružanja zdravstvenih usluga pacijentu. Ordinacije mogu u određenim iznimnim situacijama prosljeđivati svoje pacijente drugoj ordinaciji za njegovo dobro i radi pružanja kvalitetnije usluge ili izlaženja pacijentu u susret i tada su obvezne dijeliti podatke iz kartona pacijenta prema nacionalnim propisima u području zdravstvene zaštite. Ali, nikako tom kartonu ne mogu pristupati svi zaposlenici te grupacije. Vrlo jednostavno.
Više o slučaju iz Belgije:
https://gdprhub.eu/index.php?title=APD%2FGBA_%28Belgium%29_-_103%2F2023&mtc=today
Image by Freepik
#gdprcroatia