Način pošiljanja laboratorijskega izvida po e-pošti pacientu

Pri Informacijskem pooblaščencu (IP) smo dne 19. 10. 2023 prejeli vaše vprašanje, zakaj je možno, da od laboratorija neposredno po e-pošti lahko pridobite izvid med tem, ko zdravnik, ki ga prosite za enak dokument, tega ne želi poslati po e-pošti zaradi varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih obdelav osebnih podatkov le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera.

Vsak izvajalec zdravstvene dejavnosti mora tudi pri posredovanju zdravstvene dokumentacije zakonitemu uporabniku poskrbeti, da se dokumentacija posreduje na varen način, kar pomeni: - da se pravilno odpremi le upravičenemu prejemniku, - da so podatki dostopni in na razpolago, - da se podatki na poti ne spremenijo ali uničijo ter zlasti, - da vsebina podatkov na poti ni na voljo tretjim neupravičenim osebam. Zadnja dva pogoja se praviloma zagotavljata s šifriranjem vsebine poslanega dokumenta po e-pošti ali prek posebnih informacijskih rešitev, namenjenih varni komunikaciji s pacienti. 

O b r a z l o ž i t e v:

Različna praksa izvajalcev še ne pomeni, da tisti zdravnik oziroma izvajalec, ki se je odločil, da določene zdravstvene dokumentacije pacientom ne bo pošiljal po navadni e-pošti brez šifriranja oziroma kriptiranja, ravna narobe.

Novi ZVOP-2, za razlilo od starega ZVOP-1, ne določa izrecne zahteve po šifriranju elektronske pošte, ki vsebuje zdravstvene podatke ali ki vsebuje posebne kategorije podatkov. Vendar Splošna uredba v prvem odstavku 32. člena med primeroma naštetimi ukrepi za varnost obdelave osebnih podatkov, določa tudi šifriranje osebnih podatkov. Tu ne gre za absolutno zahtevo, ki bi prišla v poštev v vseh primerih obdelav in za vse vrste osebnih podatkov, pač pa mora vsak upravljavec za vsek konkretni primer presoditi, ali je to ustrezen ukrep za zagotavljanje varnosti. Pri tem mora upoštevati tehnološki razvoj (tehnične možnosti), stroške, obseg obdelave, namene obdelave in nasploh konkretne okoliščine pri obdelavi, zlasti pa možna tveganja za izgubo, nepooblaščeno spreminjanje ter nepooblaščen dostop do podatkov. 

Če e-poštno sporočilo vsebuje zdravstvene podatke, je načeloma potrebno šifriranje vsebine, zlasti če to narekujejo konkretne varnostne okoliščine, sem spada tudi vprašanje obsega in občutljivosti osebnih podatkov ter vprašanje določljivosti posameznika itd.

Dokončnega odgovora oziroma odgovora, ki bi veljal za vse primere vam ne moremo podati, ker je odvisen od konkretnih okoliščin konkretnega primera. Zgolj načeloma ocenjujemo, da so za šifriranje v vašem primeru lahko podani utemeljeni razlogi, ker gre za zdravstvene podatke, ker je šifriranje dostopno in relativno enostavno izvedljivo (zlasti pri rednih komunikacijah z določenim izvajalcem), ker je obseg takih zahtev, kot je vaša precejšen, ker je šifriranje zelo učinkovita metoda za preprečitev hudih posledic varnostnih dogodkov, ker je treba upoštevati tudi nevarnost, da sporočilo prejme napačen naslovnik in podobno.

Odločitve posameznega izvajalca, da zdravstvenega dokumenta ne bo poslal po navadni e-pošti in odločitve, da dokumenta ni pripravljen šifrirati ali da ni pripravljen vzpostaviti druge varne elektronske komunikacije, ne moremo presojati na splošni ravni. Izvajalec je v vsakem primeru oziroma na tak ali drugačen način dolžan pacientu zagotoviti kopijo zdravstvene dokumentacije, če prejme zaprosilo pacienta.

Ker gre za splošno varnostno zahtevo (in ne za vprašanje pravnih podlag za obdelavo podatkov), se pacient ne more odpovedati ukrepom za zagotavljanje varnosti obdelave osebnih podatkov, ki jih mora upravljavec obvezno zagotavljati.

Glede šifriranja je na naši spletni strani (iskalnik po mnenjih) že na voljo več mnenj.

Prijazen pozdrav.

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka