Izvajanje analiz kakovosti v zdravstvu s strani zunanje institucije

Datum

08.04.2025

Številka

07120-1/2025/162

Kategorije

Zdravstveni osebni podatki, Pogodbena obdelava podatkov, Varnost osebnih podatkov, Statistika in raziskovanje

Pri Informacijskem pooblaščencu (IP) smo dne 25. 3. 2025 prejeli vaše zaprosilo za mnenje o tem, ali in na kateri pravni podlagi bi bilo dopustno, da kot izvajalec zdravstvene dejavnosti zunanjemu podjetju poverite izdelavo analiz zaradi kontrole kakovosti določenega oddelka. Gre za podjetje, ki take analize že izvaja za druge bolnišnice v Sloveniji in Italiji. Pri tem bi bile pomembne analize zlasti glede naslednjih podatkov:

-število bolnikov sprejetih letno na oddelek,

-vrsta bolnikov (kirurški, nekirurški),

-vzrok sprejema (intenzivna terapija, intenziven nadzor),

-teža bolezni bolnikov ob sprejemu,

-zapleti tekom zdravljenja (kazalce kakovosti),

-število bolnikov na mehanski ventilaciji in čas trajanja,

-zasedenost oddelka (postelj) in obremenjenost osebja (sester, zdravnikov),

-uporaba opreme (računalniki, ventilatorji, črpalke…).

Anonimizacija v fazi vnosa podatkov v sistem ni možna.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še:

-da se IP lahko dokončno opredeljuje do obdelav osebnih podatkov le v nadzornih postopkih,

-da to mnenje ne predstavlja formalnega dovoljenja ali odobritve nameravanega posredovanja osebnih podatkov,

-da na podlagi predstavljenega dejanskega stanja ne more dokončno oceniti, za kakšno naravo analiz oziroma obdelav podatkov gre v konkretnem primeru in

-da tudi ne more oceniti zakonitosti prakse pogodbenega obdelovalca.

Po mnenju IP je - pod pogojem, da ne gre za znanstveno-raziskovalno delo, temveč za notranje kontrolo kakovosti zdravstvene oskrbe - dopustno brez privolitve pacientov pri zunanjem podjetju naročiti izdelavo strokovnih analiz, in sicer na podlagi pogodbe o obdelavi osebnih podatkov po 28. členu Splošne uredbe.

Opozarjamo, da mora upravljavec poskrbeti tudi za ustrezno psevdonimizacijo osebnih podatkov pred oziroma ob posredovanju in tudi sicer poskrbeti za druge ustrezne ukrepe za varnost osebnih podatkov pri posredovanju (npr. šifriranje podatkov) in po izvedbi analiz (npr. uničenje psevdonimiziranih podatkov).

Obrazložitev:

Glede na predstavljeno dejansko stanje sklepamo, da gre za notranje analize zdravstvene oskrbe (v konkretnem primeru na področju intenzivne terapije) za namen spremljanja in izboljšanja kakovosti lastne zdravstvene oskrbe, torej za notranje namene, na primer v smislu nadzora kakovosti po Zakonu o zagotavljanju kakovosti v zdravstvu, in ne za namene širše družbene uporabe z osredotočenostjo na splošni razvoj medicinske znanosti; te analize bi sicer lahko izvajali tudi sami, vendar bi raje videli, da jih v vašem imenu izvaja zunanje podjetje, ki specializirane strokovne analize izvaja tudi za druge bolnišnice, zaradi česar bi vam sodelovanje omogočilo tudi anonimizirano primerjavo z drugimi bolnišnicami.

Glede pogodbene obdelave osebnih podatkov so na spletni strani IP na voljo smernice.

Ker popolna anonimizacija v fazi posredovanja podatkov ni možna, morata izvajalec zdravstvene dejavnosti in pogodbeni obdelovalec, v skladu z 32. členom Splošne uredbe, načelom najmanjšega obsega podatkov in načelom omejitve namena, poskrbeti za tako raven psevdonimizacije, ki bo čim manj posegla v zasebnost pacientov. Poleg spoštovanja drugih načel varstva osebnih podatkov in pravil iz 28. člena Splošne uredbe je v konkretnem primeru pomembno tudi:

-vnaprejšnje informiranje pacientov po določbah 12., 13. in 14. člena Splošne uredbe,

-zagotovitev, da se psevdonimizirani podatki s strani obdelovalca ne posredujejo tretjim osebam brez pravne podlage in da so določeni kratki roki hrambe teh podatkov pri obdelovalcu in

-zagotovitev tehnične in organizacijske varnosti pri obdelavi psevdonimiziranih podatkov kot to zahtevata 5. člen (e. in f. točka) in 32. člen Splošne uredbe.

Prijazen pozdrav.

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka