Hiljuti jõudis meediasse lugu sellest, kuidas kümned Ida-Tallinna Keskhaigla töötajad patsiendi haigusloos surfasid (1). Analoogseid näited on aeg-ajalt ajakirjandusest ka varem läbi käinud, kuid ülemäära suurt kõlapinda ei ole need saanud. Küll aga saab Andmekaitse Inspektsioon (AKI) igal aastal üsna suure hulga kaebusi inimestelt, kes on Terviseportaali (Digilugu) andmejälgija kaudu avastanud, et neile tundmatu tervishoiutöötaja on nende andmeid vaadanud.
Hästi üldistatult öeldes jagunevad sellised kaebused kaheks: ekslikud päringud ja uudishimupäringud.
Tegemist on eksliku päringuga eelkõige siis, kui ekslikkus saab tõendatud. Tervishoiutöötaja kinnitusest, et kogemata läks sassi, ei piisa. Näitena võib tuua olukorrad, kus tervishoiuteenuse osutaja süsteemis oli patsiendi nimekaim, isikukoodi number sisestati valesti, automaatpäring tehti programmi vea tõttu jms. Sellisel juhul on tavapärane meede, mida inspektsioon ette võtab, kas ettepanek viia isikuandmete töötlemine vastavusse isikuandmete kaitse nõuetega või noomitus tervishoiutöötajale endale ja/või andmetöötlejale. Näiteks oleme praktikas teinud ettepaneku viia sisse infosüsteemis otsingu tegemise muudatused.
Samuti on ette tulnud olukord, kus ühel suurel erameditsiiniasutusel puudus ülevaade broneeringute tühistamisest, mistõttu oli neil võimatu tõendada, et patsiendi andmeid vaadati visiidi ettevalmistamiseks (mis on iseenesest õiguspärane). Seega pidasid nad pärast AKI sekkumist parimaks hakata edaspidi avama patsiendile haigusjuhte mitteilmumise märkega. Menetlus ise võttis kogu segaduse lahtiharutamiseks aega ligi pool aastat ning arusaam, et tegelikult on neil olemas täiesti korrektse logimisega broneerimissüsteem, jõudis nendeni alles siis, kui AKI lõpuks ise infosüsteemi haldajaga ühendust võttis ning üle küsis, kas broneeringute tühistamisi tõesti ei logita. Seejärel sai ka päringu ekslikkuse tõestamine lahenduse. Vastasel juhul oleks tegemist olnud andmekaitse mõttes rikkumisega – ilma õigusliku aluseta päring isiku terviseandmete kohta. See tõestab veel kord, kui oluline on, et tervishoiuteenuse osutajad ise hoolitseksid andmekaitsenõuete täitmise eest ja suhtleksid infosüsteemi pakkujaga pakutavate võimaluste asjus. Ja seda mitte selleks, et AKI ei tuleks näpuga viibutama, vaid eelkõige oma töötajate kaitseks.
Seega tohib tervishoiutöötaja – juriidiliselt korrektselt lähenedes – teha inimese terviseandmete päringuid siis, kui tal on selleks olemas õiguslik alus. Peamiselt on õiguslikuks aluseks ravisuhte olemasolu.
Uudishimupäringud on vastupidi aga sellised, kus tervishoiutöötaja on kas omal algatusel või tuttava soovil läinud ja vaadanud teadlikult inimese andmeid tervise infosüsteemis uudishimust ja ilma ravisuhteta. Kahjuks on praktikas sellised kaebused valdavad. Juhul, kui tegemist on uudishimupäringuga, algatame väärteomenetluse.
Miks me sellistele kaebustele nii teravalt reageerime? Mis siis, et arst korraks vaatas, kuidas ta minial rasedusega läheb? Nad on ju ometigi üks pere. Mis siis, et arst vaatab oma kolleegi andmeid, kes viibib haiguslehel? Tal on ju mure töötaja heaolu pärast. Mis siis, et arst vaatab, kuidas ta endisel patsiendil läheb? Ta tahab ju ennast lihtsalt erialaselt harida. Mis siis, et arst vaatas oma patsiendi lähedase soovil, kuidas tolle depressioon kulgeb? Lähedane oli ju lihtsalt mures.
Siinkohal ei ole mõtet laskuda aruteludesse patsiendisaladuse hoidmise kohustuse ja arstieetika põhimõtete üle, sest kõik tervishoiutöötajad teavad nende sisu niigi. Küll aga tasub rõhutada, et terviseandmed on oma olemuselt kõige delikaatsemad andmed, mida tuleb kaitsta oluliselt hoolikamalt kui tavalisi isikuandmeid. Need on isiku füüsilise ja vaimse tervisega seotud andmed, mis annavad teavet tema tervisliku seisundi kohta ning nende andmete lekkimine teeb inimese haavatavaks hoopis teisel tasemel kui näiteks e-posti aadressi lekkimine.
Seega ei ole siinkohal vahet sellel, mis põhjusel andmeid on vaadatud ja kas selle taga on nii-öelda inimlik tegur nagu mure lähedase pärast. Fakt, et tervishoiutöötaja, kellel on ligipääs süsteemile, mis sisaldab kõikide Eesti inimeste terviseandmeid, kasutab seda enda huvides ära, on juba piisavalt taunitav tegu. Ka Tallinna Kiirabi töötajate kohta meedias lahvatanud skandaal, kus omavahelises vestluses jagati patsientide andmeid, näitas, et ühiskond reageerib sellistele olukordadele väga teravalt ning tegemist ei ole lihtsalt ühe pisikese probleemiga, mille puhul piisab noomitusest.
Ühiskond on tervishoiutöötajatele usaldanud juurdepääsu terviseandmetele tingimusel, et nad tagavad isikuandmete töötlemise seaduslikkuse, sh töötlevad isikuandmeid ainult tööülesannetest lähtudes. Kui isik seda usaldust rikub, tõukudes enda isiklikest huvidest, mõjutab ta sellega ka tervishoiusüsteemi kui terviku usaldusväärsust. Me peame seda usaldust hoidma, et iga inimene julgeks arstile ausalt oma muredest rääkida.