Telemedycyna a bezpieczeństwo danych – zdalnie, ale odpowiedzialnie

Ochrona danych osobowych, Poradniki

Zdalne konsultacje lekarskie, e-recepty, teleporady, a nawet monitoring parametrów życiowych pacjentów przez aplikacje – to już nie wizja przyszłości, lecz codzienność wielu podmiotów medycznych. Pandemia COVID-19 jedynie przyspieszyła proces transformacji cyfrowej w ochronie zdrowia. Jednak wraz z upowszechnieniem telemedycyny pojawiły się też poważne pytania o bezpieczeństwo danych pacjentów.

Czy telemedycyna jest zgodna z RODO? Czy lekarz może przeprowadzić konsultację przez Zoom lub WhatsApp? Jak zabezpieczyć dokumentację medyczną z teleporady? Kto odpowiada za ewentualny wyciek danych? – Odpowiadamy.

1. Czym właściwie jest telemedycyna?

Telemedycyna to forma udzielania świadczeń zdrowotnych na odległość, z wykorzystaniem środków komunikacji elektronicznej. W praktyce może obejmować:

  • wideokonsultacje i teleporady,
  • udzielanie zaleceń i diagnoz online,
  • wystawianie e-recept i e-zwolnień,
  • przesyłanie wyników badań i dokumentacji medycznej,
  • zdalne monitorowanie stanu zdrowia (np. pomiar ciśnienia przez aplikację).

Wszystkie te działania, mimo że zdalne, podlegają tym samym rygorom prawnym i etycznym, co tradycyjne świadczenia zdrowotne – w tym także przepisom dotyczącym prywatności i ochrony danych osobowych.

2. RODO a telemedycyna – co musisz wiedzieć

W kontekście RODO, każda forma kontaktu z pacjentem, w której przetwarzane są jego dane osobowe (a w przypadku zdrowia – także tzw. dane wrażliwe), musi być zgodna z podstawowymi zasadami przetwarzania określonymi w art. 5 RODO.

a) Kto jest administratorem danych?

Zwykle będzie to placówka medyczna lub indywidualny praktykujący lekarz, który świadczy usługę zdalnie. To na nim spoczywa pełna odpowiedzialność za zapewnienie bezpieczeństwa danych – niezależnie od tego, z jakich narzędzi korzysta (np. platforma do wideorozmów, system EHR, e-recepty).

b) Jaka jest podstawa prawna przetwarzania?

W większości przypadków nie potrzebujemy zgody pacjenta – przetwarzanie danych wynika z:

  • 6 ust. 1 lit. b RODO – wykonanie umowy o świadczenie usługi,
  • 9 ust. 2 lit. h RODO – przetwarzanie danych zdrowotnych w ramach profilaktyki, diagnostyki i leczenia.

Zgoda może być wymagana, jeśli placówka np. chce nagrywać konsultacje lub przetwarzać dane do innych celów (np. marketingu, badań statystycznych).

c) Czy trzeba informować pacjenta o przetwarzaniu danych?

Tak – obowiązek informacyjny z art. 13 RODO obowiązuje także przy świadczeniach zdalnych. Przed rozpoczęciem konsultacji pacjent powinien otrzymać klauzulę informacyjną – np. jako załącznik, link lub pop-up w systemie.

3. Czy Zoom, Skype albo WhatsApp są zgodne z RODO?

To zależy. RODO nie zakazuje konkretnych narzędzi, ale wymaga, by były one „odpowiednio bezpieczne” i zapewniały zgodność z wymogami ochrony danych.

Kluczowe ryzyka:

  • Brak szyfrowania transmisji – dane mogą zostać przechwycone.
  • Przechowywanie danych na serwerach poza EOG – np. w USA, bez odpowiednich zabezpieczeń prawnych (brak decyzji o adekwatności).
  • Brak kontroli nad polityką prywatności dostawcy – np. dane pacjentów mogą być analizowane w celach marketingowych.

Co można zrobić?

  • Wybieraj narzędzia z szyfrowaniem end-to-end (np. Whereby, Jitsi Meet z własnym serwerem).
  • Unikaj „masowych” komunikatorów (np. Messenger, WhatsApp), które nie zostały stworzone z myślą o ochronie danych medycznych.
  • Korzystaj z platform oferujących umowę powierzenia przetwarzania danych.

Jeśli używasz popularnego narzędzia (np. Zoom), upewnij się, że korzystasz z wersji płatnej z odpowiednimi opcjami bezpieczeństwa (szyfrowanie, logowanie, kontrola dostępu) i masz z dostawcą umowę powierzenia.

4. Jak zabezpieczyć dokumentację z teleporady?

Każda porada medyczna – także zdalna – musi być udokumentowana. Oznacza to, że lekarz ma obowiązek prowadzić dokumentację medyczną zgodnie z rozporządzeniem Ministra Zdrowia (Dz.U. z 2020 r. poz. 666).

Dokumentacja powinna zawierać:

  • datę i godzinę konsultacji,
  • dane pacjenta,
  • rozpoznanie i zalecenia,
  • informację o formie (np. „konsultacja telefoniczna”),
  • ewentualne dokumenty: wyniki badań, recepty.

Ważne: dokumentacja musi być zabezpieczona przed dostępem osób nieupoważnionych, czyli np. nie powinna znajdować się na prywatnym laptopie bez hasła, w plikach Word bez szyfrowania czy w chmurze bez weryfikacji dwuetapowej.

5. Praktyczne środki bezpieczeństwa przy teleporadach

RODO (art. 32) wymaga wdrożenia „odpowiednich środków technicznych i organizacyjnych”. W praktyce, prowadząc telemedycynę, warto wdrożyć:

a) Środki techniczne:

  • szyfrowanie transmisji (TLS, VPN),
  • szyfrowanie dokumentów (np. pliki PDF z hasłem),
  • logowanie dwuetapowe (2FA),
  • automatyczne blokowanie sesji po braku aktywności,
  • używanie profesjonalnych systemów medycznych z certyfikatami.

b) Środki organizacyjne:

  • upoważnienia i zakresy dostępu do danych dla pracowników,
  • procedury awaryjne (np. co zrobić w przypadku wycieku),
  • szkolenia z cyberbezpieczeństwa i RODO,
  • wewnętrzna polityka prywatności.
6. Kto odpowiada za naruszenia danych?

Administrator danych – czyli podmiot świadczący usługę – zawsze ponosi odpowiedzialność za zapewnienie bezpieczeństwa, nawet jeśli korzysta z zewnętrznej platformy.

Jeśli dane pacjentów wyciekną np. przez niezabezpieczoną wideokonferencję, administrator nie może się zasłaniać tym, że to „Zoom zawiódł”. To administrator wybrał narzędzie i jest odpowiedzialny za jego zgodność z RODO.

UODO wielokrotnie podkreślało, że „outsourcing” nie zwalnia z odpowiedzialności. To administrator powinien:

  • sprawdzić, czy dostawca zapewnia zgodność z RODO,
  • zawrzeć umowę powierzenia danych,
  • nadzorować, czy dane są przetwarzane zgodnie z umową.
  1. Jak zorganizować zgodne z RODO teleporady – krok po kroku
  2. Wybierz bezpieczne narzędzie do komunikacji (z szyfrowaniem, serwerami w UE, opcją umowy powierzenia).
  3. Przygotuj klauzulę informacyjną dla pacjenta i udostępnij ją przed konsultacją.
  4. Zapewnij właściwe środki techniczne – szyfrowanie, loginy, 2FA.
  5. Szkol pracowników i lekarzy – w zakresie ochrony danych i cyberbezpieczeństwa.
  6. Zadbaj o bezpieczne przechowywanie dokumentacji – np. na serwerze z certyfikatem, z backupem.
  7. Zawrzyj umowy powierzenia z dostawcami narzędzi – i kontroluj ich realizację.
  8. Dokumentuj działania – nie tylko medyczne, ale i techniczne (logi, aktualizacje systemu, testy zabezpieczeń).

Zdalna opieka = pełna odpowiedzialność

Telemedycyna to nie tylko przyszłość, ale już teraźniejszość ochrony zdrowia. Jej rozwój to szansa na skrócenie kolejek, poprawę dostępności i obniżenie kosztów. Ale wygoda nie zwalnia z odpowiedzialności – zwłaszcza prawnej.

RODO wymaga, by dane były przetwarzane rzetelnie, zgodnie z celem, a przede wszystkim – bezpiecznie. Telemedycyna nie jest wyjątkiem. Nawet prosta konsultacja telefoniczna podlega takim samym rygorom, jak wizyta w gabinecie.

Bezpieczeństwo danych i zgodność z RODO w telemedycynie to nie dodatek – to fundament, na którym budujemy zaufanie pacjentów.