Andmekaitse – eksimusel võib olla soolane hind

Meedik arvutis. Foto on illustratiivne.
Meedik arvutis. Foto on illustratiivne.

Mida tundlikum valdkond, seda rohkem tuleb andmeid kaitsta. Meditsiinisüsteem just selline on ja ELi uus määrus puudutab kõiki osalisi.

Mõelda tuleb mitte ainult samm edasi, vaid pikalt ette, sest täna tehtud dokumenteerimisviga võib aastate pärast end valusalt meelde tuletada.

Dokumenteerimis- ja andmeturbekohustus tervishoius kasvab tugevalt. Kui seni on ehk kõhutunde järgi toimides hakkama saadud, siis 25. maist tuleb senisest rohkem teavitada patsiente andmete töötlemisest, näiteks tuleb üle vaadata privaatsuspoliitika veebilehel.

Samuti tuleb senisest rohkem läbi mõelda tervise infosüsteemiga seotud tegevused, sest sissekanded tuleb teha seaduses ette nähtud ajal, parandused teha ette nähtud korras, igast liigutusest jääb maha jälg.

Advokaadibüroo TGS Baltic meditsiini- ja ravimiõigusele spetsialiseerunud vandeadvokaat Ingeri Luik-Tamme ütleb, et nii Eesti kohtutes kui ka Euroopa Inimõiguste Kohtus on selgelt intensiivistunud probleemid dokumenteerimisega tervishoius. “Mõni vaidlus on meie riigikohtuski olnud puhtalt dokumenteerimise teemal, näiteks on nõutud dokumentide parandamist,” lisab ta.

Määrus lubab suuri trahve

Isikuandmete töötlemise nõuete rikkumise korral on andmekaitse inspektsioonil õigus kasutada mitmeid sunnimeetmeid hoiatusest ja noomitusest trahvini välja. Trahvi saab määrata nii tahtliku rikkumise kui ka hooletuse puhul.

Üle ELi rakenduva määruse järgi on trahv n-ö kergemate andmekaitse rikkumiste korral kuni 10 miljonit eurot või kuni 2% ettevõtte ülemaailmsest aastakäibest – sõltuvalt kumb on suurem.

Raskemate rikkumiste korral kuni 20 miljonit eurot või kuni 4% ettevõtte ülemaailmsest aastakäibest. 
Taani ja Eesti õigussüsteem ei võimalda aga trahve selliselt määrata, nagu andmekaitse üldmäärus ette näeb. Nii määrab Taanis trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames. Trahvid peaksid aga meilgi olema määruse rakendudes “tõhusad, proportsionaalsed ja heidutavad”.

Andmekaitse inspektsiooni esindaja Maire Iro möönab, et andmekaitseõiguse uuenemine ongi tekitanud ärevust eelkõige trahvidega seoses. Ta rõhutab siiski, et uue andmekaitseõiguse eesmärk ei ole senise karistuspoliitika muutmine ja trahvide esikohale seadmine.

“Trahvide määramine on olnud viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse trahvi määramata,” ütleb Iro. Ta kinnitab, et selles osas ei ole kavas senist praktikat muuta. Aastal 2016 jäid andmekaitse inspektsiooni poolt tervishoiuvaldkonnas tehtud trahvide summad vahemikku 32–460 eurot, 2017. aastal oli keskmine trahvisumma 70 eurot.

Trahv määratakse sellele, kes andmeid väärkasutanud on. “Valdavalt on tegemist juhtumitega, kus väärteo on toime pannud konkreetne töötaja, olgu siis pelgast uudishimust või omakasu eesmärgil, ning sel juhul määrataksegi trahv konkreetsele tervishoiutöötajale,” räägib inspektsiooni esindaja.

Rohkem paberitööd tasub end ära

Õigesti täidetud dokumendid on eelduseks kvaliteetsele ravile – kui patsiendi ravi jätkub teise arsti juures ja eelnevaid dokumente ei ole või on need puudulikud, võib loota vaid patsiendi enda teadmistele ja mälule. “Kui vaadata aga tervishoiuteenuse osutaja ja arsti perspektiivist, siis dokumenteerimine on kindlasti üks tema ametialastest töökohustustest ja professionaalsuse osa,” märgib Luik-Tamme.

Patsiendi kahju hüvitamise nõude aegumise tähtaeg on viis aastat. “See on pikk aeg, mis võib hakata kulgema alles aastate pärast peale teenuse osutamist. Mida kellelegi viis või enam aastat tagasi tehti, ei mäleta tihti keegi,” rõhutab ta.

Advokaat tõdeb, et kirjatööd tuleb arstil lõpuks teha päris palju. Seetõttu soovitab ta kliinikutes kasutada infolehti tüüpiliste haiguste ja teenuste kohta, tuua seal välja, millised on riskid, millega tuleks hiljem kodus arvestada jne. Infolehe kaasa andmise võiks samuti fikseerida.

Sagedastest puudustest kõneldes toob advokaat välja, et tihti on dokumenteerimata, milline tervishoiutöötaja viis visiidi läbi ja kes teavitas patsienti. Samuti on nõustamise dokumenteerimine ebapiisav. “Kui on jäetud nõuetekohaselt dokumenteerimata, siis pöördub tõendamiskoormis arstile ja tervishoiuteenuse osutajale,” paneb Ingeri Luik-Tamme meditsiinipersonalile südamele.

Olulised on puudujäägid raviskeemi ja tulemuste dokumenteerimisel. Nii pannakse mõne teenuse puhul raviskeem lausa lepingu osaks, näiteks hambaravis. 
Etteheidete hulgas on veel seegi, et patsiendi suunamise põhjused ja analüüside määramise näidustused on dokumenteerimata ehk miks arst on pidanud vajalikuks analüüse tellida või inimeste eriarstile suunata.

Dokumenteerimise üldnõuete järgi tehakse kanne dokumenti teenuse osutamise päeval või hiljemalt järgneva tööpäeva jooksul. “Selle eesmärk on eelkõige, et ajaline vahe ei läheks liiga pikaks, et andmed ei läheks meelest,” jätkab advokaat. Ka siin eksitakse aeg-ajalt. 

Ta meenutab juhtumit, kus patsient kaebas andmekaitse inspektsioonile, et arst on tervise infosüsteemis vaadanud tema andmeid, ehkki ravisuhet sel hetkel ei olnud. Selgus, et arst siiski mitte ei vaadanud asjata patsiendi andmeid, vaid tegi alles neli kuud pärast visiiti sissekande. “Need on seigad, mida oleks andmekaitsereeglite järgimisel lihtne ära hoida,” lisab Luik-Tamme.

Puudutab ka üksikpraksiseid

Andmekaitse spetsialisti peavad määrama kõik tervishoiuteenuse osutajad, kelle tegevus on haigekassa poolt rahastatud, kuna nad täidavad avalikku ülesannet ning töötlevad eriliiki ehk delikaatseid isikuandmeid.

Küsimusele, kas üksikpraksist pidav perearst peab samuti andmekaitsespetsialisti määrama, vastab Maire Iro, et hoolimata sellest, mitu perearsti koos töötab või palju neil patsiente on, tuleb kõigil perearstidel tõesti andmekaitsespetsialist määrata.

Perearst Kersti Veidrik ütleb, et monopraksises mingit võimalust teenust osta või kedagi lisaks palgata ei ole. “Meil lihtsalt sellised ressursid puuduvad,” ütleb ta. Sellises väikeses perearstikeskuses on perearst lisaks põhitööle seega ka andmekaitseametnik, tööohutuse spetsialist ja veel palju muud. “Andmekaitsega tegeleme me tõesti ise,” kinnitab ta.

Kui tegemist ei ole avaliku ülesande täitmisega, vaadatakse ka töötlemise ulatuslikkust. Andmekaitsespetsialisti määramise kohustuse mõttes on ulatusliku terviseandmete töötlemisega tegemist, kui koos töötab vähemalt kolm partnerit, kes kasutavad ühist registreerimissüsteemi ja/või ühist arvutivõrku ja arhiivi.

Tallinna Munitsipaalperearstikeskuse juhataja ja arst Kristel Amjärv kinnitab, et andmekaitse peale mõtlemine on meditsiiniasutuses pidevalt vajalik.

“Meil on olemas andmekaitsespetsialist, kes jälgib dokumenteerimise kohustuse täitmist, jälgib lepingulisi nõudeid, samuti andmekaitse nõuete täitmist töötajate poolt,” räägib Amjärv. Viimase alla kuuluvad näiteks krüpteeritud patsiendi info saatmine, töötajate nõustamine, samuti digiloo, -retseptuuri ja tervishoiu pildipanga konfidentsiaalsuse küsimused.

“Töötajatega on koosolekutel andmekaitse üsna sage koosolekute teema ja need koosolekud on ka protokollitud,” toob perearstikeskuse juht välja. Ka on andmekaitsenõuded ära toodud asutuse töölepingutes ja sisekorraeeskirjades.

Lisa kommentaar

Raadio ettevõtlikule inimesele

Hetkel eetris

JÄLGI MEDITSIINIUUDISEID SOTSIAALMEEDIAS:

RSS

Seotud lood

Küsitlus

Valdkonna tööpakkumised

SA IDA-VIRU KESKHAIGLA otsib kolme juhatuse liiget

Ida-Viru Keskhaigla

15. august 2018

LOOTE ULTRAHELISKRIINING OÜ otsib MEDITSIINIÕDE

Loote Ultraheliskriining OÜ

31. juuli 2018

Meditsiini­uudised

12. juuni 2018

Laadi PDF

Meditsiin Fookuses

mai 2018

Laadi PDF

Tervise­uudised

juuni 2018

Laadi PDF

Meditsiiniuudiseid ja mu.ee saavad tellida vaid need isikud, kellel on kehtiv retseptikirjutamise õigus. Toimetusel on õigus seda küsida ja kontrollida.