A GDPR az egészségügy mindennapjaiban is jelen lesz
Az Európai Parlament és Tanács Általános Adatvédelmi Rendelete (General Data Protection Regulation, GDPR) kiemelt kezelés alá vonja a személyes egészségügyi adatokat, a cégeknek pedig komoly bírságot szabhat ki, ha nem teljesítik a megfelelő adatkezelésre vonatkozó előírásokat.
2018. május 25-én lép hatályba a GDPR, mely az Európai Unió adatvédelmi reformjának három nagy pillérje közül csak az egyik. Az új jogszabály jelentős mértékben kitér az egészségügyi adatokra. A szakemberek 2020-ra az adatok újrahasznosításának értékét évi mintegy ezermilliárd euróra becsülik. Amelyik adatkezelő intézmény a rendelkezéseket nem tartja be, akár 20 millió euróra vagy a cég éves árbevételének 4 százalékára is büntethető.
A GDPR két, talán legfontosabb alapelve az adattudatosság és az adatbiztonság. Előbbi értelmében az érintetteknek joguk van ahhoz, hogy az adatkezelőtől kikérjék, milyen adatokat tárolnak róluk. Ezen felül kérhetik adataik helyesbítését, korlátozását, vagy akár törlését is (ez utóbbit természetesen csak akkor végezheti el az Adatkezelő, ha más kötelezettség nem írja elő az adatok megőrzését). Fontos a kifejezett hozzájárulás, tehát az érintettnek hozzá kell járulnia írásban (elektronikusan) az adatkezeléshez még mielőtt az megtörténne; sőt a hozzájárulást egyszerűen vissza kell tudnia vonni, így az adatkezelésnek egyszerűen véget lehet vetni.
Az egészségügyi applikációk esetében ez igen könnyű, ilyenkor a felhasználó csak letörli az alkalmazást a készülékről és választ egy másikat a körülbelül 350 000 egészségügyi app közül. Egy nemrég megrendezett konferencián Ugrai Péter, a Medigen vezérigazgatója elmondta, a naplózás alapú alkalmazások esetében az adatok megadása is céllal történik, ilyenkor az érintett a saját testmagasságát, testtömegét, vércukorszintjét, vérnyomását, gyógyszeradagolását stb. adja meg, így az alkalmazás könnyen tud profilalkotást végezni és álnevesíteni. Ehhez az ügyfélnek természetesen hozzájárulását kell adnia, és a róla tárolt adatokról bármikor tájékoztatást kérhet – ehhez a fejlesztőknek pedig biztonságos és etikus informatikai hátteret kell nyújtani.
A GDPR a jogi környezetben nem jelent szigorítást, néhol megengedőbb, mint néhány idevonatkozó magyar jogszabály. Mindkettőben azonban hangsúlyt kapnak a személyes egészségügyi adatok. Dr. Oberfrank Ferenc, a Magyar Orvostudományi Társaságok és Egyesületek Szövetségének (MOTESZ) elnöke egy kerekasztal beszélgetésen elmondta: a tagegyesületek számára készül egy különleges adatvédelmi dokumentum, mely tartalmazni fogja a GDPR-ban előírt legfontosabb jogokat és információkat.
Ma rengeteg szolgáltatás azért ingyenes, mert az adatainkkal fizetünk érte – mondta Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke. Ezért, ahogy egy előadásában is említette, megszigorodik az adatbiztonság (az adatkezelőknek tudniuk kell igazolni, honnan szerezték meg felhasználóik személyes adatait), de az adatkezelésnek átláthatónak, elszámoltathatónak és közérthetőnek kell lennie. Így mindenkinek lehetősége lesz arra, hogy a tárolt adatokhoz biztonságosan hozzáférjen, az őt megillető jogokról pedig könnyen tájékozódjon.
