Autor: Natalia Nicoreanu

În timp ce unele instituții medicale au softurile sistate și sunt obligate să notifice Centrul Naționale pentru Protecția Datelor cu Caracter Personal (CNPDCP) pentru faptul că operează cu datele pacienților, alte sisteme informaționale continuă să fie utilizate cu încălcări ale legislației fără să atragă însă atenția instituțiilor responsabile. Se întâmplă în condițiile în care Centrul aplică  legea selectiv, folosind bâta împotriva unora și închizând ochii asupra neregulilor altora.

După ce acum aproape trei luni, Centrul a dispus suspendarea softului implementat la Spitalul raional Cimișlia, invocând motive de securitate a datelor cu caracter personal și lipsa notificării CNPDCP despre prelucrarea datelor pacienților, am încercat să aflăm cât de respectată este buchia legii și cerințele Centrului în alte instituții medicale din țară la capitolul date cu caracter personal.

Am aflat că majoritatea instituțiilor medicale operează cu datele pacienților fără a anunța Centrul, așa cum pretinde instituția că ar fi obligatoriu. Totodată, unii dintre managerii, instituțiile cărora întocmesc dosarele electronice ale pacienților, habar nu au unde sunt stocate aceste informații. Cât privește securizarea accesului în sistem - parolele sunt simple și nu sunt modificate cel puțin odată la trei luni, așa cum o cere norma legală. Acestea sunt doar câteva dintre neregulile care ne-au atras atenția.

Am început cu notificarea, procedură despre care Centrul pentru Protecția Datelor cu Caracter Personal susține că este obligatorie, inclusiv pentru instituțiile medicale care operează cu datele personale ale pacienților. Majoritatea managerilor ne-au declarat că activează fără a anunța Centrul. Și asta, pentru că fiecare cadru medical semnează pe propria răspundere că nu va dezvălui secretul profesional.

 Softul revoluționar de la Spitalul din Cimișlia, suspendat imediat după lansare. Avocat: „CNPDCP aplică legea pe achipuite sau încearcă să-și formeze o practică abuzivă” 

„Nu trebuie autorizație pentru că este ordinul ministrului care prevede ce putem și ce nu putem face. Cadrele medicale cunosc toate cerințele privind confidențialitatea. Chiar și așa, noi nu putem asigura confidențialitatea pacienților. Fișa de boală nu este codificată. Ea ajunge în secție cu nume, prenume, cu adresă cu tot. Stă pe masă la asistentele medicale. Dosarele cu numele bolnavului circulă la radiologie, la ultrasonografie, peste tot. Nu poți proteja taina medicală. Dacă s-ar introduce codificarea pacienților, atunci vom putea vorbi de confidențialitate sigură”, a declarat pentru Sănătate INFO, directorul Spitalului de Boli Infecțioase „Toma Ciorbă”, Victor Diatișin.

Notificarea invocată ca obligatorie de către Centru nu a fost respectată nici de instituțiile medicale care aplică sistemul informațional pentru medicina primară (SIA AMP), soft implementat la nivel național de către Ministerului Sănătății în centrele medicilor de familie.

„Notificare nu am făcut. Este părerea mea personală. Chiar și dacă vom face notificare, lucrurile nu se vor schimba chiar așa ușor, fiindcă este un program destul de vast, care cuprinde multe domenii în medicina primară. Nu am făcut notificare cu speranța că Dumnezeu ne va păzi de toate relele care sunt în acest moment, dar pe parcurs cred că vor dispărea. Eu îmi fac mari griji de orice taină medicală. Medicii intră cu parolă, dar cu cât mai mulți au acces, cu atât e mai șubredă situația. Într-o sită care are multe găuri, posibilitatea ca să se scurgă apa este cu mult mai mare decât ca într-un castron”, susține directorul CMF Edineț, Oleg Guțan.

 „Acest sistem nu este înregistrat la Centrul pentru Protecția Datelor cu Caracter Personal. Recent am primit un chestionar de la Curtea de Conturi, unde trebuia să specificăm sistemele și dacă sunt înregistrate sau nu. Din câte am înțeles nu este înregistrat. Urmează să fie dat în exploatare definitiv, după care va fi înregistrat”,  ne-a comunicat Dumitru, administratorul softului SIA AMP de la ATM Botanica.

Deja de mai bine de un deceniu, spitalul de Boli Infecțioase „Toma Ciorbă” aplică un sistem informațional care le ușurează munca doctorilor și asistentelor medicale. Odată ce au început să țină pasul cu tehnologiile moderne, cadrele medicale au și simțit primele beneficii ale softului, spune directorul instituției. La fel ca orice început însă sistemul informațional li s-a dat cam greu angajaților, mai ales celor de vârsta a treia.

„Din 2004 am început. Un an de zile doar ne-am învățat a apăsa pe butoane. În trei ani de zile toți au rămas mulțumiți. La început ne era foarte greu, vârsta angajaților era o problemă. Ne-am mobilizat și am reușit, iar azi nimeni nu-și închipuie cum să lucreze fără acest program. Sistemul e sistem, dar mai scriem pe foaie. Nu avem securitate garantată, pentru că suntem conectați la internet. În orice moment poate să ne șteargă datele. Din acest motiv ducem registrele și manual. Ne asigurăm, ca în caz de o situație neplăcută să nu pierdem pacienții. Noi acum ne pregătim să recopiem baza de date. Noi nu suntem independenți. Suntem legați  în internet cu lumea din jur. Aici trebuie la nivel de stat de asigurat securitatea”, a adăugat Victor Diatișin.

 „Softul pentru medicina primară este ilegal și trebuie suspendat”. Sistemul informațional, care a costat un milion de euro, scoate la iveală noi nereguli 

Nu doar spitalul de boli infecțioase duce evidența dublă a bolnavilor, dar și ATM Botanica, și multe alte instituții medicale, unde este implementat sistemul informațional pentru medicina primară SIA AMP.

„Cea mai mare problemă care este în acest moment atât la noi, cât și în alte instituții medicale primare, este dublarea acțiunilor de înregistrare a pacienților. Ei sunt înregistrați atât pe foaie, cât și în varianta electronică. Când vine o evaluare, atunci se verifică varianta manuală, nu cea electronică. Dacă ar fi acceptat prin lege doar varianta de evidență electronică, lucrul acesta ar fi optimal și medicii ar câștiga timp în favoarea bolnavilor”, spune Angela Bivol, șef la Centrul Resurse Informaționale, ATM Botanica.

Se pare însă că punerea în aplicare a softului și instruirea angajaților nu sunt suficiente pentru buna funcționare a sistemelor informaționale, mai ales ale celor care implică evidența pacienților și utilizarea datelor lor personale. Pentru asemenea situații, legea prevede anumite rigori și obligații care trebuie respectate de către instituțiile medicale. Aceste prevederi se regăsesc în Hotărârea Guvernului 1123 din 14 decembrie 2010.

Potrivit acesteia, fiecare deținător de date cu caracter personal, elaborează o politică de securitate, iar în acest scop numește o persoană responsabilă de acest domeniu. Majoritatea managerilor cu care am vorbit spun că este costisitor să angajezi o persoană pentru acest domeniu.

 „Nu avem o persoană care răspunde de acest sistem informațional, pentru că este foarte scump să o ții. Avem o firmă contractată, care vine și ne face lucrările necesare. Regulamentul de funcționare a acestui soft l-am primit de la compania care a instalat programul. Regulamentul e simplu, îl au toți angajații și știu cum să lucreze în acest sistem”, a precizat directorul de la „Toma Ciorbă”.

„Fiecare IMSP nu are posibilitate să angajeze programatori de talie înaltă. Noi avem specialist IT, dar nu putem spune că este la cel mai înalt nivel. Remunerarea muncii este așa cum este la instituțiile de stat. Ei merg la privat pentru câteva ore și au salarii bune, dar la noi trebuie să stea toată ziua cu un salariu mic. Securizarea acestor date trebuie efectuată centralizat. La Chișinău e mai ușor să găsești asemenea specialiști. Pentru atâtea date cu caracter personal trebuie să fie un răspunzător pe toată Moldova. Fiecare instituție nu o să poată răspunde în parte. Este nevoie de un Centru republican cu programatori foarte puternici”, a precizat și directorul CMF Edineț, Oleg Guțan.

O altă cerință privind securitatea datelor cu caracter personal este ca încăperile în care sunt amplasate sistemele informaționale să fie bine securizate, dotate cu supraveghere video, iar accesul să fie restricționat. Doar persoanele autorizate au voie să pătrundă în aceste camere. Chiar și așa, unele instituții medicale habar nu au unde se află serverele pe care sunt stocate informațiile privind starea de sănătate a pacienților.

„Serverul nostru e la salvare. De fapt, datele noastre sunt stocate pe o treime din serverul de la urgență. Serverul costă foarte scump și am decis să-l împărțim cu cei de la urgență. Ei îl foloseau doar în proporție de 30%. Noi planificăm să cumpărăm server, hard disk puternic ca să putem copia. Vrem să facem acest lucru pentru păstrarea datelor pacienților”, a explicat Victor Diatișin.

█ Ion Dodon, avocat: „Nu știu dacă undeva în lume, instituțiile medicale notifică și se autorizează că prelucrează datele personale ale pacienților. Probabil că nicăieri”

Pe de altă parte, Natalia Golubev, șefa Serviciului Informațional de la Institutul Medicină de Urgență, infirmă declarațiile lui Diatișin. „Nu este adevărat. Informațiile de la „Toma Ciorbă” nu sunt la mine. Baza de date nu e la ei, dar nu e nici la mine. Asta ține de firma cu care au încheiat contract. Eu pur și simplu îi consult la necesitate, deoarece programul informațional a fost inițial instalat la noi, și atunci când apăreau întrebări eu îi consultam. Ei acolo nu au specialiști, nu au pe nimeni, nici electroniști. Ei nu au semnat contract cu firma deja de doi ani de zile, iar eu pur și simplu omenește le mai dau consultații ca să poată lucra și să nu se închidă”, ne-a comunicat Natalia Golubev.

O altă normă privind protecția datelor cu caracter personal este securizarea accesului utilizatorilor în aceste sisteme informaționale. Vorbim aici de accesul în baza ID-urilor și a parolelor. Potrivit legii, ID-ul utilizatorului nu trebuie să conțină semnele de identificare ale acestuia, iar parolele trebuie să fie compuse din minim opt simboluri diferite, care, la fel nu fac legătura cu persoana respectivă. Mai mult parolele trebuie schimbate cel puțin o dată la trei luni, lucru care de multe ori nu este respectat.

„Parola se schimbă automat o dată la trei luni. Utilizatorul este prevenit că trebuie să-și schimbe parola. Aceste modificări au fost făcute recent, cu vreo lună în urmă. Astfel sunt securizate datele cu caracter personal ale pacienților. Noi periodic facem modificări la acest soft. Colegii cer ca sistemul să fie îmbunătățit și atunci aceste solicitări trec prin Ministerul Sănătății și respectiv firma care acordă suportul tehnic face modificările”, spune Dumitru, administrator de sistem la ATM Botanica.

„Fiecare medic are intrare în program și parolă. De cât timp am fost conectați la acest program, parola nu a fost schimbată. Este aceeași parolă. Fiecare are parolă personală pe care o cunoaște. Nu este o parolă complicată. Angajații o cunosc”, a declarat pentru Sănătate INFO și Tatiana Graur, medic de familie la Centrul Medicilor de Familie  Cimișlia.

Am încercat să aflăm care este poziția Centrului Național pentru Protecția Datelor cu Caracter Personal în astfel de situații, dacă știu despre aceste lacune în utilizarea datelor pacienților în instituțiile medicale și dacă responsabilii de la CNPDCP cred că în situațiile descrise mai sus este sau nu încălcată legea. Responsabilii din cadrul Centrului ne-au declarat că nu ne pot oferi aceste informații prin telefon și ne-au îndemnat să venim cu o solicitare oficială în adresa instituției. 

 

Articole relaționate:

Prevederile Legii privind protecția datelor cu caracter personal provoacă confuzie printre directorii de spitale. Ce spun juriștii 

Cele mai mari spitale republicane din țară duc evidența bolnavilor pe hârtie. Sistemele informaționale integrate sunt, deocamdată, un vis 

Cheltuieli exagerate din bugetul public pentru aplicarea sistemelor informaționale fragmentate, în cele mai mari spitale din Moldova