Kérhet-e egy magánklinika költségtérítést a betegdokumentáció másolatáért vagy azt ingyenesen kell biztosítania a páciensei számára? Ki kell-e adnia a betegdokumentációt az orvosnak akkor is, ha a beteg kártérítési eljárást akar ellene indítani? Biztosítható-e a beteg részére az elektronikus másolatkiadás az Egységes Egészségügyi Szolgáltatási Tér-en (EESZT) keresztül vagy sem?

Bevezetés

Több évtizedes múltra tekint vissza az egészségügyi adatvédelmi törvény (az Eüak.)1, ráadásul már a GDPR rendelettel2 is lassan „iskolás” korú, mégis számtalan esetben marasztalja el az adatvédelmi hatóság az egészségügyi szolgáltatókat (pl.:

  • magánkórházak,
  • fogászatok,
  • nőgyógyászati rendelők stb.)

azért, mert nem vagy nem megfelelően teljesítik a betegek egyik legalapvetőbb jogát, a betegdokumentációhoz történő hozzáférést és másolat kiadást.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban NAIH) minden évben közzéteszi beszámolóját, amelyben összegyűjti3 az előző évek néhány tipikus esetét. Ezek sok tanulsággal szolgálhatnak a jövőre nézve. Jelen összefoglaló, kifejezetten az egészségügyi szolgáltatók adatkezeléseire fókuszál, és igyekszik összefoglalni, hogy melyek a legsűrűbben előforduló jogellenes gyakorlatok a NAIH döntései alapján. 

A fent felvetett kérdésekre reflektálva a jelen írás igyekszik azokat az ún. „jó gyakorlatokat”, („best practice”-eket) is felsorakozhatni, amelyek segíthetnek az egészségügyi szolgáltatóknak a páciensekkel történő jogvitás helyzeteket megelőzni illetve elkerülni.

Bízom benne, hogy nem csak az egészségügyi szakma, de más ágazatok szereplői is hasznos információkat meríthetnek a leírtakból. Mielőtt azonban alámerülnénk a jogellenes gyakorlatok ismertetésében, érdemes röviden áttekinteni az egészségügyi adatok kezelésére és a betegdokumentumok kiadására vonatkozó jogszabályok alapjait.

Jogszabályi háttér rövid ismertetése

Az egészségügyi adat „fogalma”

Az egészségügyi adat fogalmát nehéz megalkotni, még a GDPR sem vállalkozik erre közvetlenül, de lényegében minden olyan személyes adatot egészségügyi adatnak tekinthetünk, amelyek információt hordoznak egy adott természetes személy múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról, és ilyen módon lehetővé teszik, hogy következtetést vonjunk le egy adott természetes személy egészségügyi állapotára vonatkozóan.4

Az egészségügyi adatkezelésekre vonatkozó európai uniós és hazai jogszabályi háttér

  • Az egészségügyi adatok a személyes adatok különleges kategóriáiba tartoznak, így kiemelt védelmet élveznek az adatvédelmi jogszabályokban. A GDPR főszabály szerint tiltja ilyen adatok kezelését, és másodlagosan, a főszabály alóli kivételként, sorolja csak fel azokat az eseteket, amikor egy adatkezelő mégis kezelhet ilyen adatokat. A másodlagos felsorolás első eleme, épp az az eset, amikor a természetes személy maga járul hozzá kifejezetten ahhoz, hogy személyes adatait más kezelje.

  • Az általános adatvédelmi rendelet ráadásul a genetikai és a biometrikus adatok kezelése mellett, éppen az egészségügyi adatok kezelése területén ad szabad kezet a nemzeti jogalkotásnak, amikor úgy rendelkezik, hogy a tagállami szabályozás a GDPR szabályainál szigorúbb szabályokat is bevezethet.

  • Magyarország több olyan jogszabállyal is rendelkezik, amely a természetes személyek egészségügyi adatainak kezelését érinti, de ezek közül is ki kell emelni az egészségügyről szóló 1997. évi CLIV. törvényt (Eü. tv.) és az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényt. (Eüak.)

A betegdokumentumok kiadásának biztosítására vonatkozó szabályozás

A magyar szabályozás rögzíti, hogy a beteggel az egészségügyi dokumentációt meg kell ismertetni, ennek alapját járóbetegellátásban az ambulánslap, míg fekvőbeteg ellátásban a zárójelentés átadása képezi. Az egészségügyi dokumentációban kötelezően rögzítendő információk körére, annak részletes vezetésére, az egészségügyi dokumentáció esetleges javítására, megőrzésére az Eütv. és az Eüak. részletes szabályokat tartalmaz. Az egészségügyi szolgáltatóknak tehát az egészségügyi szolgáltatás részeként nem csak hogy vezetnie kell a betegek egészségügyi „kartonját”, de egyes dokumentumokat papír alapon is át is kell adnia a pácienseknek.

Az egészségügyi szolgáltatóknak a fizikai dokumentum átadáson felül, a vonatkozó jogszabályok előírják, hogy az egészégügyi dokumentumokat az EESZT-be, azaz az Egységes Egészségügyi Szolgáltatási Térbe is fel kell tölteniük.

Az EESZT bevezetése óta a kötelezően feltöltendő egészségügyi dokumentumok köre több körben is bővült, az EESZT mind PC-n, mind mobilappon keresztül elérhető, így a páciensek akár a mobiltelefonjukról is könnyedén elérhetik már az egészségügyi szolgáltató által feltöltött dokumentumaikat.

A GDPR érintetti jogai ezek mellett (vagy ezeken felül?) biztosítják a betegnek azt is, hogy az egészségügyi szolgáltató által nyilvántartott egészségügyi dokumentumokból másolatot kérjenek. A GDPR 15. cikk 3. bekezdése biztosítja a páciens részére a jogot a személyes adatait tartalmazó dokumentum másolatának igényléséhez, míg az adatkezelő egészségügyi szolgáltató részére pedig kötelezettséget teremt a másolat kiadására. Az első ingyenes másolatért nem, de az ezen felüli további másolatokért az egészségügyi szolgáltató adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel a pácienseinek.

A jogszabályi környezet rövid – és közel sem teljeskörű áttekintését – követően nézzük meg, hogy az elmúlt két évben, milyen esetek kerültek a NAIH látókörébe.

Értesülj a legújabb esetekről!

Jogellenes gyakorlatok az egészségügyi szolgáltatók működése során és az adatkezelői „legjobb gyakorlatok”

A páciensi hozzáférési igények biztosításának elmaradása

A NAIH két ügyben is azért marasztalt el egészségügyi szolgáltatót, mert nem biztosította a páciensek részére, hogy a hozzáférési jogukkal élhessenek. Az egyik esetben egy nőgyógyász olyan bérelt rendelőben nyújtott szolgáltatást, amelyik nem biztosította, hogy bárki átvegye azokat a postai küldeményeket, amelyeket a nőgyógyásznak címeztek, ideértve azt a küldeményt is, amely a betegének az egészségügyi dokumentáció kiadására vonatkozó postai levelét tartalmazta. A páciens hiába küldte el megkeresését, azokat a nőgyógyásznak kezelőhelyiséget biztosító bérbeadó visszaküldte a címzettnek, így azok el sem jutottak az orvoshoz.

A másik esetben az orvosi ügyeletet ellátó szolgáltató több rendelőben, különböző helyszíneken is végezte a tevékenységét. A beteg hiába írta az egyik rendelőnek címezve megkeresését, ott senki sem vette át a postai levelet, mondván az orvos ott „csak” ügyeletet lát el.

A NAIH mindkét esetben elmarasztalta az érintett szolgáltatást nyújtó orvost, kiemelte, hogy nagy mértékben sérült az átlátható adatkezelés alapelve, hiszen az adatkezelők nem nyújtottak tájékoztatást arról, hogy a páciensek milyen módon tudják érintetti jogaikat érvényesíteni. Az adatkezelési tájékoztató dokumentált közzétételével, és az érintetti jogok érvényesítési módjának rögzítésével mindkét adatkezelő elkerülhette volna a jogvitát, hiszen ha a megkeresések megérkeztek volna (ha pl.: egy olyan levelezési címet tüntet fel, ahol valóban elérhető, vagy a küldemény átvétele biztosított), úgy az elmarasztalásra sem került volna sor.

Az egészségügyi dokumentációról történő másolat kiadásáért történő díjszámítás

Egy orvos díjazás ellenében kívánta a betegnek kiadni az egészségügyi dokumentációja másolatát. A terjedelmes betegdokumentáció másodpéldánya több tízezer forintos költségre rúgott volna. A NAIH felhívta a figyelmet arra, hogy ha egy ágazati jogszabály előírja a szolgáltató kötelezettségeként a leletkiadást (ezt az egészségügyi jogszabályok az egészségügyi szolgáltatók részére előírják) akkor a leletkiadás független, a beteget egyébként a GDPR alapján megillető hozzáférési jogtól. Tehát a beteg jogosult hozzáférést kapni a személyes adataihoz, és kérni betegdokumentumai vonatkozásában azok másolatát a GDPR-tól függetlenül is.

Vélhetően az a korábbi szabályozás maradhatott az ügyben érintett orvos fejében, amelyet 2019. tavaszáig az EüAk. tartalmazott, és ami előírta annak lehetőségét, hogy az egészségügyi szolgáltató a dokumentumok másolatáért költségtérítésre tarthasson igényt. Mivel ez a szabály a fent már hivatkozott GDPR 15. cikk 3. bekezdésével ellentétes volt, a magyar jogalkotó hatályon kívül helyezte ezt a korábbi szabályt.

Érdekesség, hogy a NAIH egy kiskorúakat érintő esetben, úgy érvelt, hogy ha a különélő, de felügyeleti jogot közösen gyakorló szülők nyújtanak be külön-külön hozzáférési igényeket (igényelnek másolatot a betegdokumentumokból), akkor az orvosnak mindkét szülő felé ingyenesen kell biztosítania az első másolatot. Nem tagadható meg a kérés arra hivatkozással, hogy az egyik szülőnek már korábban kiadta az orvos a dokumentumot.

Az első ízben történő másolat kiadás ingyenességét nemrégiben az Európai Unió Bírósága is megerősítette, ráadásul az adott ügyben5 hozott döntésében kiemelte, hogy az adatkezelő fogorvos nem mérlegelheti a hozzáférési jog teljesítésekor, hogy a páciens milyen okból kéri az egészségügyi dokumentációja másolatát. A páciens nem köteles kérését indokolni, de ha megindokolja sem tagadhatja meg a fogorvos a dokumentáció kiadását. (Az adott ügyben a páciens kártérítési per indítását mérlegelte, és ehhez szeretett volna bizonyítékokat gyűjteni.)

Az Európai Unió Bírósága hangsúlyozta, hogy a „másolat” kiadás alatt nem csak a fizikai dokumentációt, hanem az abban szereplő átfogó személyes adatokat is érteni kell, így az adatkezelő köteles teljes dokumentumokat rendelkezésre bocsátani, nem elegendő csupán egy összefoglaló vagy kivonat, mivel abból lényeges információk hiányoznak vagy félreérthetők, ami megnehezíti a betegek számára az adataik ellenőrzését és megértését.

A páciens hozzáférési igényének válasz nélkül hagyása, nem a páciens által igényelt formában történő válaszadás

Egy szülő emailben kérte gyermeke fogorvosától a kiskorú betegdokumentumait. A fogorvos arra hivatkozással ezeket nem küldte meg a szülőnek, hogy ő már korábban szóban jelezte, hogy azokat papír alapon átveheti a rendelőben. A fogorvos hozzátette, hogy ő az EESZT-be is feltöltötte a dokumentumokat.

A NAIH kiemelte, hogy az EESZT révén is teljesíthető az elektronikus másolat biztosítása, ugyanakkor azt egy hármas feltételrendszerhez kötötte. Csak bban az esetben teljesülhetnek a kondíciók, ha a szolgáltató meggyőződik arról, hogy a páciens EESZT hozzáféréssel rendelkezik, a páciens által kért iratok ténylegesen elérhetőek az EESZT-ben, továbbá, ha a hozzáférés ilyen módon történő biztosítását a páciens nem kifogásolja. Egyéb esetben papír alapon is biztosítani kell a dokumentumokat.

Az egészségügyi szolgáltató a páciens által igényelt formában (legyen az papír, vagy akár elektronikus út) köteles biztosítani az egészségügyi dokumentáció megküldését.

Egy másik ügyben egy egészségügyi szolgáltató ignorálta a beteg hozzáférési igényét, arra egyáltalán nem válaszolt. Mivel a hatósági eljárásban sem működött együtt a magánklinika, így a NAIH 10.000.000, – Forintos adatvédelmi bírsággal honorálta az adatkezelő ténykedését. Ha egy picit együttműködőbb az egészségügyi szolgáltató, hamar kiderülhetett volna, hogy azért vont le téves következtetéseket az adatkezelő az érintettről (miszerint ő nem kezeli a beteg személyes adatait) mert eleve tévesen vitte fel annak családi nevét, így az érintett adatbázisa hibás adatot tartalmazott.

A páciens okmánymásolatainak megőrzése azonosítás céljából

Egy beteg azért panaszolta be az egészségügyi szolgáltatóját, mert az a beteg okmányairól készült másolatot kért a beteg azonosításához, és annak hiányában nem szándékozott a páciensre vonatkozó betegdokumentumokat elektronikus úton megküldeni.

Első ránézésre ez az okmánymásolat igénylés adatvédelmi szempontból kikezdhetetlen megoldásnak tűnik, hiszen be kell azonosítani a pácienst, és egy emailt bárki (akár egy illetéktelen pl.: távoli, de örökségben reménykedő családtag, rosszakaró médiamunkás) tud írni egy frissen generált email
címről. Ugyanakkor az adatvédelmi hatóság rögzítette, hogy az okmány másolata a személyazonosság ellenőrzésére nem, maximum arra lehet alkalmas, hogy az igénylő személyét, ezáltal jogosultságát valószínűsítse.

A NAIH álláspontja szerint az okmány másolat nem tárolható, hiszen azokon olyan további adat is található, amelynek kezelésére az egészségügyi szolgáltató nem rendelkezik jogalappal (pl.: digitális aláírás, képmás vagy okmányazonosító, amely adatok a beteg azonosításhoz nem szükségesek) de a beszámolóban ismertetett ügyben nem ítélte meg jogszabálysértőnek az okmánymásolatok megismerésére vonatkozó igényt. Kiemelte ugyanakkor, hogy csak olyan adattartalmú okmány másolat kérhető, amelyről ki vannak takarva azok az adatok, amelyek kezelésére az egészségügyi szolgáltató nem jogosult. Ha mégis így kapja meg az okmányokat, (Pl.: a beteg megküldi a személyi igazolvány mindkét oldalát) neki kell gondoskodnia azok részleges kitakarásáról. (Pl.: kitakarni/felismerhetetlenné tenni a képmást vagy az okmányazonosítót.)

Joggal merülhet fel, hogyha egy páciens emailben kéri az adatküldést, akkor hogyan jár el megfelelően az eü. szolgáltató. A NAIH álláspontja szerint akkor jár el felelősségteljesen, ha olyan eljárásrendet vezet be, amely valamilyen eljárási, illetve szervezési, technikai eljárással biztosítja, hogy a személyes adatokhoz más illetéktelen személy ne férhessen hozzá. Ez a kötelezettség egyébként a GDPR beépített és alapértelmezett adatvédelmének elvéből fakad. Pl.:

  • jelszóval védi az emailben küldött filet, és a jelszót külön sms-ben küldi meg vagy
  • valamilyen saját vagy bérelt informatikai felületet használ, és arra a betegnek elküldött jelszóval biztosítja az elérést.

Záró gondolatok

A NAIH beszámolóiban felvonultatott esetekben visszatérő motívum, hogy az adatkezelő rendelő egyáltalán nem vagy nagyon hiányos adatkezelési megfelelést szolgáló dokumentációval rendelkezett. A legalapvetőbb hiba az adatkezelési tájékoztató hiánya volt. Ebből eredt később, hogy az érintetti jogok érvényesítésének lehetőségei nem is kerültek közlésre a páciensekkel. A GDPR 13. -14 cikk által megkívánt adatkezelési tájékoztató elkészítésével, megfelelő közzétételével sok jogsértésm szimplán az érintett pácienssel történő kommunikáció és együttműködés is sokat segíthet abban, hogy ezek a panasz bejelentésre indult ügyek el se induljanak.

Ha pedig már megindult a hatósági eljárás, célszerű az adatvédelmi hatósággal maximálisan együttműködni, segíteni annak eljárását, illetve elkészíteni az adatkezelési megfelelést szolgáló dokumentumokat, illetve kialakítani az adatvédelmi megfelelést minél inkább szolgáló eljárásrendeket. Az adatkezelői oldalon a NAIH vizsgálatát hátráltató, késedelmesen, eljárási határidőket be nem tartó hozzáállás, számos esetben súlyosbító tényező volt a bírságok kiszabása során.

Az esetleges adatvédelmi hatóság által kiszabott bírság mellett, talán a legfájóbb, ha publicitást kap és a szélesebb nyilvánosság felé is ismertté válik az eljárás volta, így komoly reputációs veszteséget is jelent ez, amely anyagiakban is kifejezhető bevétel kieséshez vezethet. A fentiekből kiderül, hogy a páciensek mint érintettek hozzáférési jogának biztosítása, egy olyan „banánhéj” amely némi körültekintés és a megfelelő óvintézkedések esetén könnyedén, és „orra esés nélkül” kikerülhető, így egy magánklinika vagy rendelő sem fog rajta elcsúszni.