Andmekaitse Inspektsioonil tuli ühe menetluse käigus välja, et kindlustusjuhtumi lahendamisel rikuti mitut isikuandmete kaitse üldmäärusest (IKÜM) tulenevat nõuet, mistõttu tegime kõikidele kindlustusseltsidele ringkirja, et selgitada, kuidas peaks kindlustusseltsi ja tervishoiuasutuse vahel kindlustusaluse isiku andmete edastamine toimuma.
Kindlustusandjal tuleneb kindlustusjuhtumi korral õigus isikuandmete töötlemiseks seadusest. Kindlustustegevuse seaduse § 218 lg 2 punkt 2 sätestab, et terviseandmete töötlemine on lubatud juhul, kui see on vajalik kindlustusandja kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramiseks ning tagasinõuete esitamiseks, kui kindlustusjuhtumiks on andmesubjekti surm või kui kindlustuslepingu täitmise kohustuse ja selle ulatuse kindlaksmääramine ning tagasinõuete esitamine eeldab andmete töötlemist andmesubjekti terviseseisundi või puude kohta. Täitmaks kindlustuslepingust tulenevaid kohustusi, on kindlustusseltsil õigus töödelda isiku terviseandmeid ning võimalus kaasata terviseandmete hindamiseks eksperte (nt oma usaldusarsti).
Tihtilugu kasutavadki kindlustusseltsid meditsiiniliste hinnangute andmiseks oma usaldusarste. Sel juhul on üldiselt tegemist volitatudtöötleja kasutamisega (v.a. kui usaldusarst ei ole kindlustusseltsi oma töötaja), kus on väga oluline, et oleks ka sõlmitud korrektne vastutava ja volitatud töötleja leping. Küll aga töötab sama usaldusarst väga tõenäoliselt arstina ka mõnes haiglas või kliinikus. Seega võib tekkida olukord, kus arst võib kindlustusseltsi tarbeks isiku andmeid töödelda, aga ei või sama isiku andmeid töödelda kui meditsiiniasutuse töötaja. Meie kaasuse puhul sai arst väärteokorras karistada, sest tegi tervise infosüsteemi kliendi kohta päringuid, milleks tal ei olnud õiguslikku alust.
Kindlustusselts pani piltlikult arsti olukorda, kus ta palus küll töö tegemist, aga ei andnud töövahendeid. Seega kasutas arst kindlustusseltsile töö tegemiseks talle üksnes oma põhitööks antud infosüsteemide ligipääse õigusvastaselt (tegi haigla töötajana päringuid isiku kohta, kellega tal puudub ravisuhe, mis on seetõttu teo eest väärteokorras karistatav). Samuti võib seetõttu olla selline kindlustusotsus tsiviilkohtus vaidlustatav, kuna puudub kontroll, kas arst vaatas andmeid põhjendatud mahus (konkreetse kindlustusjuhtumi tarbeks).
Selgitame, et kindlustusselts peab alati ise pöörduma oma kliendi terviseandmete küsimiseks vastava meditsiiniasutuse poole. Sealjuures on andmete väljastajal kohustus kontrollida, kas kõik küsitud andmed on põhjendatud ja vajalikud, et vajadusel mingis osas andmete väljastamisest keelduda. See on vajalik selleks, et ei küsitaks rohkem terviseandmeid, kui on tarvis konkreetse kindlustusjuhtumi lahendamiseks. Pärast seda saab kindlustusselts terviseandmete hindamiseks kasutada oma volitatud töötlejat ja anda selleks volitatud töötleja kasutusse saadud kliendi terviseandmed. Teise variandina võib kindlustusseltsi usaldusarst kindlustusseltsi volitusel (nt volikirja alusel) pöörduda meditsiiniasutuse poole andmete saamiseks. Ka sel juhul peab arst pöörduma meditsiiniasutuse poole, mitte teostama päringuid ise. V.a kui ka haigla ei ole teda volitanud haigla eest kindlustusseltsile andmete väljastamise nõuet täitma.
Kaasuse käigus tõi kindlustusselts välja, et selliselt võib tekkida probleem, kus haigla väljastab vaid viimasest haigusjuhtumist andmed, aga jääb märkamata, et kliendil esines sama tervisekaebus juba enne kindlustusjuhtumit (tegemist on kroonilise haigusjuhuga). Mööname, et selline probleem võib esineda, aga väga üksikute juhtumite puhul. Seega ei peaks see olema põhjuseks, miks anda kindlustusseltsidele laialdasem ligipääs kliendi kõigile tundlikele terviseandmetele. Samas võib olla põhjendatud, et keerulistel juhtudel saab kindlustusselts nt kliendi perearstilt nõuda ka laialdasemat andmete vaatamist. See aga vajaks täpsemat analüüsi ja ka eelnevalt lisaregulatsiooni. Sel juhul piisaks meie hinnangul arsti kinnitusest, et kliendil ei ole samalaadseid, enne kindlustusjuhtumit, ilmnenud haigussümptomeid. Kuna see paneks perearstile lisakohustuse ja ka vastutuse (nt et ta ei avaks neid epikriise, mis kuidagi ei seostu kindlustusjuhtumiga).
Selleks, et muuta arstide tööd lihtsamaks, peaks alustuseks tegelema sellega, et nii tervise infosüsteemi päringute kui ka haiglate infosüsteemide kuvatavad metaandmed oleks üheselt selged (ei oleks vaja teha õige asja leidmiseks põhjendamatuid muid päringuid) ja et kõik infosüsteemid oleks alati ajakohastatud (tarkvarauuendused tehtud). Samuti on puudujääke arstide infosüsteemide kasutusoskustes ja mitmed vead on tekkinud kiirustamisest kui ka teadmatusest.
- Kommenteerimiseks logi sisse või registreeru