Każdy pacjent ma prawo dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń medycznych. W konsekwencji przychodnia lub szpital mają obowiązek umożliwić mu skorzystanie z tego uprawnienia.
W pierwszej kolejności odbywa się to poprzez udostępnienie pacjentowi dokumentacji medycznej do wglądu w siedzibie placówki. Jest to opcja bezpłatna. Zainteresowany może również na wniosek uzyskać wyciąg, odpis, kopię lub wydruk dokumentacji w wersji papierowej lub na informatycznym nośniku danych, jak np. płyta CD albo pendrive. To rozwiązanie zwykle wiąże się z określonymi kosztami. Za każdą stronę dokumentacji placówka medyczna może (choć nie musi) pobrać stosowną opłatę. Maksymalna jej wysokość wynika z ustawy, zaś poniżej tych limitów szpitale i przychodnie mogą dokonywać swobodnych ustaleń. Najtańsze są zwykłe kserokopie (kilkadziesiąt groszy za stronę), zaś najdroższe odpisy (kilka złotych za stronę). Udostępnienie dokumentów powinno nastąpić bez zbędnej zwłoki.
Wprowadzone pod koniec 2015 r. zmiany w przepisach umożliwiły udostępnianie dokumentacji także za pośrednictwem środków komunikacji elektronicznej. Placówki medyczne mogą zatem przesłać pacjentowi dokumenty online, a więc np. pocztą elektroniczną lub przy wykorzystaniu portalu pacjenta czy też elektronicznej platformy usług administracji publicznej – ePUAP (patrz opinia eksperta). Co ważne, nie ma możliwości pobierania opłat za tę formę udostępnienia akt pacjenta.
Tyle teoria. Praktyka pokazuje, że ze skorzystaniem z nowej formy dostępu do dokumentacji medycznej są poważne kłopoty. Co prawda placówki umożliwiają przesyłanie online, a więc mejlem lub przez ePUAP wniosków o uzyskanie kopii akt pacjenta, ale jednocześnie nakazują osobisty odbiór dokumentów w postaci papierowej lub na płycie CD po wylegitymowaniu się. Przykładowo, Szpital Specjalistyczny im. Świętej Rodziny w Warszawie informuje, że „nie wysyła dokumentacji medycznej drogą elektroniczną”. Takie postępowanie jest niedopuszczalne. Potwierdza to chociażby opinia prawna Okręgowej Izby Lekarskiej w Gdańsku. Wskazuje ona, że próby wprowadzenia przez podmioty lecznicze postanowień odgórnie ograniczających wybór przez pacjentów opcji dostępu do dokumentacji medycznej drogą elektroniczną nie mają mocy prawnej.
Ustanawianie przywołanych barier wynika z obawy placówek, czy komunikując się z pacjentem elektronicznie, właściwie zweryfikują jego tożsamość. Prośba o udostępnienie dokumentacji przesyłana drogą mejlową, nawet z imiennego adresu, nie gwarantuje bowiem, że osoba, która wysyła wniosek, jest rzeczywiście uprawniona do otrzymania akt.
Argumentacja ta wydaje się zrozumiała, ale tylko w pewnej części. Pacjent może bowiem opatrzyć przesyłany online wniosek kwalifikowanym podpisem elektronicznym lub skorzystać z ePUAP (jeśli placówka ma tam skrzynkę), a to są instrumenty, które skutecznie uwierzytelniają nadawcę.
Jeśli mimo wszystko przychodnia lub szpital nie mogą udostępnić dokumentacji medycznej w postaci elektronicznej, powinny na piśmie odmówić pacjentowi i podać przyczyny takiego stanowiska.
Podstawa prawna
Art. 23, art. 26 ust. 1, art. 27, art. 28 ustawy z 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta (t.j. DzU. z 2016 r. poz. 186 ze zm.). Par. 78 ust. 1, par. 79 rozporządzenia ministra zdrowia z 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. z 2015 r. poz. 2069).
Krzysztof Świtała Katedra Prawa Informatycznego na Wydziale Prawa i Administracji UKSW / Dziennik Gazeta Prawna
OPINIA EKSPERTA
Przepisy stanowią wyraźnie, że dokumentacja medyczna może być udostępniana przy wykorzystaniu środków komunikacji elektronicznej. Istnieje zatem możliwość zwrócenia się o dostęp do własnej dokumentacji za pośrednictwem tychże środków, ponieważ ustawa nie wskazuje szczególnych wymagań związanych z formą prawną tej czynności. Może być to zatem dowolna forma. Zgodnie z art. 60 kodeksu cywilnego wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia tę wolę w sposób dostateczny, w tym również w postaci elektronicznej.
Należy jednak zaznaczyć, że na podmiocie wykonującym działalność leczniczą spoczywa obowiązek odpowiedniego zabezpieczenia dokumentacji medycznej przed dostępem osób nieuprawnionych. Stąd stosowana metoda przyjmowania próśb o udostępnienie dokumentacji medycznej musi gwarantować możliwość należytej weryfikacji tożsamości osoby zwracającej się o taki dostęp. Oznacza to, że wiadomość mejlowa powinna być co najmniej opatrzona wiarygodną postacią podpisu elektronicznego, choć niekoniecznie powiązanego z kwalifikowanym certyfikatem.
Z pewnością akceptowalne jest wykorzystanie do udostępniania dokumentacji medycznej własnych portali internetowych z zastrzeżeniem konieczności implementacji w takim narzędziu odpowiednich mechanizmów zarządzania tożsamością użytkowników i zabezpieczeń przed dostępem osób nieuprawnionych do funkcjonalności takiego rozwiązania elektronicznego. Trzeba pamiętać, że w przypadku, o którym mówimy, mamy do czynienia z przetwarzaniem danych osobowych wrażliwych, a zatem poziom bezpieczeństwa użytkowanych w tym obszarze platform elektronicznych musi uwzględniać specyficzny status tej kategorii zasobów informacyjnych.
Wydaje się, że wykorzystanie systemu zarządzania tożsamością powiązanego z profilem zaufanym ePUAP jest ze wszech miar godne promowania. Jest to mechanizm o uznanej skuteczności, oparty na otwartym standardzie SAML (ang. Security Assertion Markup Language) i posiadający wyraźną podstawę normatywną. Szkoda tylko, że nadal stosunkowo rzadko jest stosowany w ochronie zdrowia.