Andmekaitse Inspektsiooni (AKI) 2024. aasta fookusteema oli tervishoid ning seega suunasime rohkem tegevusi ja koolitusi tervishoiuteenuse osutajatele (TTO). Üldjoontes algasid koolitused alati õiguslike aluste selgitamisega ehk millal võib TTO ilma nõusolekuta patsiendi andmeid tervise infosüsteemis (TIS, patsientidele tuntud ka läbi juurdepääsu „Terviseportaal“) töödelda. Selline baasteadmine peaks olema iga TTO jaoks elementaarne, aga paratamatult ilmnes, et ka kõige problemaatilisem.
Lühidalt öeldes tuleneb TTO õigus isikuandmete töötlemiseks tervishoiuteenuse korraldamise seadusest (TTKS). Selles on sätestatud, et tervishoiuteenuse osutajal on õigus töödelda andmesubjekti nõusolekuta isikuandmeid 1) tervishoiuteenuse osutamiseks (§ 41 lg 1), kavandamiseks (§ 41 lg 11 p 1) või kvaliteedi tagamiseks (§ 41 lg 11 p 2). Kvaliteedi tagamisel tuleb lisaks TTKS-ile lähtuda ka rakendusaktist. Senine sotsiaalministri määrus sätestas tervishoiuteenuste kvaliteedi tagamise nõuded, kuid selles oli selgelt täpsustamata andmete töötlemise ulatus ja eesmärgid, nagu seaduse viide eeldaks.¹ Sellest tulid ka eri tõlgendused andmetöötluse ulatusele.
Kui esimesed kaks seaduse õiguslikku alust – teenuse osutamine ja kavandamine – on võrdlemisi selged, siis kvaliteedi tagamise eesmärk tekitas praktikas vaieldamatult kõige enam segadust ja küsimusi. Seda tõlgendasid TTO-d erinevalt, nii koolitustel kui ka AKI menetluste käigus.
Tekkis mitmeid küsimusi, näiteks: kas olukorras, kus kiirabi annab patsiendi üle haiglale ja sooviks pärast veenduda, kas esialgne diagnoos oli õige või mitte, võiks seda vaadata või mitte? Või olukorras, kus psühhiaatri patsient vahetab arsti, kas senine arst võib vaadata, mis järeldusele teine psühhiaater jõudis või oleks see lubamatu? Kas õendusjuht võib vaadata nende asutuses olnud patsientide käekäiku, et õdedele häid näiteid tuua? Samuti olukorras, kus patsient läheb teise haiglasse ravile, kas võiks eeldada, et senine raviarst võib tema andmeid vaadata või mitte?
Inimlikult ja professionaalsest vaatenurgast võib ju aru saada, et arst tahab teada, mida teises haiglas teisti arvatakse, eriti kui seal on väga professionaalsed arstid. Samuti võib tõdeda, et huvi on seda suurem, kui erinev lähenemine aitaks kaasa senise raviarsti teadmistele, mis tähendaks lõppastmes ka senise teenuse kvaliteedi parandamist. Tundub loogiline ja põhjendatud, eks?
Seni kehtinud määruse kohaselt (kuni 01.11.2024) andis vastuse nendele küsimustele määruse § 3 lg 1, mis ütles, et tervishoiuteenuse osutaja vastutab patsiendile osutatud tervishoiuteenuste kvaliteedi eest /…/. Määrus jättis aga andmetöötluse ulatuse sisuliselt piiritlemata, ehk ei toonud välja, mis ulatuses ja eesmärgil võiks teenuse osutamise käigus kogutud andmeid siis ikkagi töödelda. Pidevalt tekkisid küsimused, et kuidas võib siis andmeid töödelda, et õppida? Kuidas TTO-d teavad, mida nad valesti/õigesti tegid? Millele tuginedes nad kvaliteeti parandavad? Miks nad ei või infosüsteemist andmeid vaadata, kui see ei ole ajendatud uudishimust, vaid on objektiivselt põhjendatud ja on vajalik enda arendamiseks ja edasiste ravivigade vältimiseks? Mida enam see segadust ja küsimusi tekitas, seda enam AKI nõustus TTO-dega, et määrust võib mitmeti mõista ning õigusselguse huvides oleks vaja seda täpsustada.
Seega kutsusime sotsiaalministeeriumi (SoM) ühisele arutelule ning arutlesime üheskoos, millised on senised praktikad ja kuidas oleks võimalik sätteid selgemaks muuta.
Kuivõrd SoM-il oli plaanis määrust patsiendi vastutuskindlustuse raames nagunii muutma hakata (eelkõige patsiendiohutuse tagamiseks)², kuulasid nad hea meelega eri tähelepanekuid, osaledes AKI korraldatud haiglate ja kiirabide andmekaitsespetsialistide infopäeval. Määrust muudeti 01.11.2024 ning lisatud on eraldi paragrahv, mis sätestab kvaliteedi hindamise andmetöötluspõhimõtted³, mis on oluliselt selgemad ning kohustavad TTO-d määratlema, kes, kuidas ja milliseid andmeid kogub, säilitab ja kasutab ning kuidas tagatakse teenuseid kasutanud isikute privaatsus, järgides kehtivaid andmekaitsestandardeid.
Olgu öeldud, et TTO-de õiguseid patsiendi isikuandmete töötlemiseks ilma tema nõusolekuta ei ole muudetud ega laiendatud. Endiselt kehtib põhimõte, et kvaliteedi tagamise eesmärgil on TTO-l õigus tutvuda nende andmetega, mida ta on ise patsiendi kohta kogunud, hindamaks tema enda teenuse vastavust kehtestatud nõuetele, kaasaja teadmistele, olemasolevatele ressurssidele, kutse- ja erialanõuetele ning patsiendi rahulolule ja tervise seisundi vajadustele. TTO ei tohi tutvuda andmetega ulatuses, mida teised TTO-d osutavad või hakkavad võib-olla osutama. Tõsi, päringu võib teha ka TIS-i, kuid TTO enda osutatud teenusega seonduvalt.4
Muuhulgas peab TTO uue määruse järgi looma isikustatud andmete töötlemise tulemuste põhjal parendustegevuste plaani, mis näitab, et töötlus ei ole olnud juhuslik, vaid eesmärgistatud. Andmekaitse seisukohast on see väga oluline muudatus, sest tervishoiuvaldkonna populaarseim kaebus AKI laual on jätkuvalt arstide ja õdede uudishimupäringud. Määruse muudatus välistab loodetavasti vähemalt selle võimaluse, kus kvaliteedile tuginemise varjus on tegemist uudishimust ajendatud päringutega. See tähendab, et määruses toodud ja lubatud töötlust peaks olema ka tegelikult võimalik objektiivselt kontrollida.
Lõpetuseks on oluline rõhutada, et inimlikult võiks teenuse osutaja paigutada end alati patsiendi kui andmesubjekti asemele ja mõelda, kas tema tegevus on objektiivselt põhjendatud ja loodud korrad seda toetavad. Nagu inimõiguste kohus tõi juba 2008. aastal väga tabavalt välja, et kuigi oluline on ka patsiendi eraelu austamine, on samavõrra oluline ka tema usalduse säilitamine arstide ja tervishoiuteenuste vastu üldiselt.5 Viidatud lahend ei käsitle pelgalt kvaliteedi tagamist, kuid on märgiline, sest vaatamata sellele, et selleks ajaks ei olnud veel jõustunud detailsete normidega andmekaitse üldmäärust (sh lõimitud ja vaikimisi andmekaitse, artikkel 25), sedastas kohus, et vastutav töötleja peab võtma kasutusele meetmeid, mis riivet vähendaksid (juurdepääsude haldus või nt logid). Kuna kvaliteedi tagamise sisuline ulatus võib lähtuvalt teenuse iseloomust või organisatsiooni suurustest erinev olla, pole võimalik detailseid piire seada. See ei tähenda, et isiku eraelu kaitseks ja valdkondliku usalduse säilimiseks ei ole võimalik välja töötada eri juhiseid ja kehtestada sisemisi kordasid, mis aitavad arstidel ja teistel isikutel andmekaitse põhimõtteid ka reaalselt järgida. Mõelgem alati, kui teie olete väga tundliku taustalooga patsient, siis mis ulatuses TTO ligipääsuõigust oma andmetele te tolereeriksite?
Artikli autorid: AKI ja Sotsiaalministeerium
- Kommenteerimiseks logi sisse või registreeru