Ana se je pred leti zdravila na psihiatrični kliniki, njene psihične težave so bile povezane s spolno zlorabo, ki jo je doživela kot otrok. Pred meseci je medicinska sestra na tej kliniki, ki je bila Anina soseda, nepooblaščeno vpogled(ov)ala v njeno zdravstveno kartoteko ter najbolj intimne in boleče dogodke iz njene preteklosti uporabila zato, da jo je zasmehovala, jo poniževala in ji grozila, nam je povedala Ana. Klinika je potrebovala pet mesecev, da je kršitev potrdila – čeprav se vsi vpogledi v zdravstveni karton beležijo samodejno in jih lahko celo zavarovanec sam preveri v portalu eZvem.
Zaposlena na Univerzitetni psihiatrični kliniki (UPK) Ljubljana je nepooblaščeno vpogledovala v zdravstveno dokumentacijo pacientke, ki se je pred časom zdravila na kliniki. To je potrdil izredni strokovni nadzor, ki ga je na podlagi prijave te pacientke aprila uvedel generalni direktor prof. dr. Bojan Zalar, septembra pa je bil nadzor zaključen.
Klinika je v odzivu za N1 pojasnila, da so od aprila do septembra “zaradi verjetnosti suma storitve kaznivega dejanja in zaradi kompleksnosti zadeve” uvedli celo več nadzorov, v njih pa da je sodelovalo celo več zunanjih strokovnjakov.
Po neuradnih podatkih je v dokumentacijo nepooblaščeno vpogledovala diplomirana medicinska sestra, ki je trenutno vodja enega od oddelkov na enoti za intenzivno psihiatrijo.
V času, ko je zaposlena vpogledovala v njene podatke, se pacientka na kliniki ni zdravila, nam je povedala. Poudarila je še, da se nikoli ni zdravila v enoti, kjer dotična zaposlena dela.
“S parkirišča se je drla o mojih težavah”
Ana (ime smo zaradi varovanja njenih podatkov spremenili), ki se je pred leti zdravila na drugi enoti klinike, je posumila, da je zaposlena vpogledovala v njene podatke, potem ko jo je zaradi njenih preteklih psihičnih težav začela zasmehovati, jo poniževati in ji groziti, nam je povedala.
Takrat sta namreč obe živeli v istem stanovanjskem bloku, njuni medsosedski odnosi pa so bili po Aninih besedah slabi. “Ko sem nekega dne stala pri odprtem oknu, se je s parkirišča drla name in pri tem omenjala moje psihične težave,” nam je povedala in poudarila, da gre za zelo intimne zadeve, ki jih nikoli ni zaupala niti najboljšim prijateljicam. Zanje so vedeli samo najožji družinski člani, je dejala. Njene težave so bile namreč povezane s spolno zlorabo, ki jo je doživela kot otrok, nam je še povedala.
Zaposlena pa naj ne bi grozila samo njej, ampak tudi njeni mami, s katero si je Ana delila stanovanje. “Moji mami je grozila, da jo bo spravila v Polje (v psihiatrično kliniko, op. a.), ker da ona tam dela,” nam je še povedala Ana.
“Rekla mi je, naj se pazim noči”
10. aprila je zato na kliniko poslala elektronsko sporočilo, v katerem je opozorila, da sumi, da je nekdo, ki živi v istem bloku, vpogledoval v njeno zdravstveno kartoteko, saj da “govori okoli o mojem zdravstvenem stanju”, ob čemer je poudarila, da gre za zelo občutljive stvari. Omenila je, da sumi tudi, da je ta oseba vpogledovala tudi v očetovo kartoteko. Dvanajst dni pozneje ji je strokovna direktorica prof. dr. Blanka Kores Plesničar odgovorila, da bodo zadevo preučili.
Sredi maja je Ana na kliniko poslala novo sporočilo, v katerem je opozorila, da se je situacija zaostrila in da se je vpletla tudi policija. Zaposleno je namreč takrat prijavila zaradi groženj, kar so nam potrdili tudi na policiji. “Vpričo nečaka, ki je še majhen, mi je rekla ‘posiljenka’. Rekla mi je, naj se pazim noči,” nam je dejala.
Strokovna direktorica ji je še isti dan odgovorila, da zadevo preiskujejo.
Ugotovitve šele pet mesecev pozneje
Šele pet mesecev po prijavi je Ana od klinike prejela sklep izrednega strokovnega nadzora, v katerem piše, da je komisija v svojem poročilu ugotovila, da je “v omenjenem primeru prišlo do več nepooblaščenih dostopov do osebnih podatkov pritožnice ter tudi do zlorabe uporabniških dostopov v bolnišničnem informacijskem sistemu oziroma do malomarnega ravnanja z gesli”.
Kot še izhaja iz sklepa, je klinika “zoper kršitelja uvedla delovnopravni postopek in sprejela končne ukrepe ter odredila druge korake za izboljšanje varovanja osebnih podatkov in dostopa do njih”.
Ana nam je še povedala, da ji je pravnica, zaposlena na kliniki, sporočila, da je zaposlena, ki je vpogledovala v njeno kartoteko, dobila opomin pred odpovedjo. Na kliniki so nam potrdili, da so sprejeli “ukrep delovnopravne zakonodaje zoper zaposleno”.
“Izgubila zaupanje”
“Že tako je težko poiskati pomoč, ko se znajdeš v stiski. Potem pa se ti zgodi še nekaj takšnega,” je komentirala Ana. “Žalostna sem, da nekdo tak sploh lahko dela na kliniki, kjer je v stiku z ljudmi, ki so se jim v življenju zgodile hude stvari. Pa še po tem, ko ugotovijo hude kršitve, se mu pravzaprav ne zgodi nič.” Kot rečeno, je omenjena medicinska sestra po naših informacijah trenutno vodja enega od oddelkov.
“Povsem sem izgubila zaupanje v zdravstveni sistem,” je še dejala Ana.
Klinika: “Nemudoma smo ukrepali.” A zakaj je nadzor trajal pet mesecev?
Na kliniko smo poslali več vprašanj v zvezi s tem primerov. Med drugim nas je zanimalo, kolikokrat je bilo nepooblaščeno vpogledano v Anino dokumentacijo, koliko zaposlenih je nepooblaščeno vpogledovalo ter ali so vpogledovali tudi v dokumentacijo njenega očeta, kot je opozorila v prijavi.
Zanimalo nas je tudi, ali je dotična zaposlena nepooblaščeno vpogledovala tudi v dokumentacije drugih pacientov ter na katerem delovnem mestu trenutno dela. Vendar pa natančnejših odgovorov na ta vprašanja nismo dobili, saj da so postopki na UPK “še v teku”.
S klinike so nam v odzivu sporočili, da so v zvezi s sumi nepooblaščenih vpogledov “nemudoma ukrepali”, saj da je generalni direktor uvedel notranji izredni nadzor in imenoval komisijo, ki je imela “nalogo opraviti nadzor na podlagi usmerjene revizijske sledi”.
“Zaradi verjetnosti suma storitve kaznivega dejanja in zaradi kompleksnosti zadeve je bilo v obdobju ugotavljanja dejanskega stanja (od aprila do septembra 2024) uvedenih več nadzorov. Kot člani komisij so v teh nadzorih sodelovali različni zunanji strokovnjaki in zaposleni UPK Ljubljana,” so zapisali.
S kakšnim namenom naj bi bilo uvedenih več nadzorov in vpoklicanih več zunanjih strokovnjakov, niso pojasnili.
Iz revizijske sledi v bolnišničnem sistemu Birpis, ki ga po naših informacijah uporabljajo na kliniki (tudi sicer gre za enega najbolj razširjenih informacijskih sistemov v zdravstvu), je namreč mogoče preprosto preveriti, kdo, kdaj in s kakšnim namenom je vpogledoval v osebne podatke pacientke.
Namesto v 72 urah so informacijskega pooblaščenca obvestili po mesecu in pol
Klinika je o kršitvi obvestila Informacijskega pooblaščenca, kar v primeru tovrstnih kršitev nalagata zakon o varstvu pacientovih pravic in splošna uredba o varstvu podatkov.
Čeprav uredba nalaga, da mora zavod v primeru kršitve najpozneje v 72 urah po seznanitvi s kršitvijo obvestiti pristojni nadzorni organ, je klinika pooblaščenca obvestila 31. maja, torej več kot mesec in pol po seznanitvi.
Pri Informacijskem pooblaščencu (IP) zadeve še niso želeli komentirati, potrdili pa so, da so prejeli prijavo o kršitvi. “Predmetni postopek je še v teku, zato v tem trenutku več informacij ne moremo podati,” so nam odgovorili.
Pojasnili so, da pooblaščenec v okviru prekrškovnih postopkov ugotavlja odgovornost tako pravne osebe (upravljalca) kot tudi odgovorne osebe (storilca). Za vsak nezakonit vpogled v osebne podatke je v zakonu o varstvu osebnih podatkov za odgovorno osebo predpisanih 200 evrov globe, so pojasnili.
“Če bi bila v postopku ugotovljena tudi odgovornost upravljalca (npr. zaradi neustreznega zagotavljanja varnosti podatkov), pa bi IP v prekrškovnem postopku ugotavljal tudi odgovornost pravne osebe, za katero je globa predpisana v splošni uredbi o varstvu podatkov. Glede višine globe se v vsakem posamičnem primeru upoštevajo konkretne okoliščine prekrška, teža prekrška, posledice za posameznika, vrsta osebnih podatkov ipd.”
“Nepooblaščeno vpogledovanje v podatke o diagnozi pacienta je huda kršitev”
Do vprašanja, ali bi šlo v tem primeru lahko tudi za sum kaznivega dejanja zlorabe osebnih podatkov po 143. členu kazenskega zakonika, se pri Informacijskem pooblaščencu niso želeli opredeljevati, saj da o tem presoja tožilstvo.
Zastopnica pacientovih pravic za območje Novega mesta Zlata Rebolj, ki dotičnega primera ne pozna in ga ni želela natančneje komentirati, je splošno poudarila, da je v tovrstnih primerih nujno prijavo podati tudi na policijo oziroma tožilstvo. “Nepooblaščeno vpogledovanje v podatke o diagnozi pacienta je huda kršitev,” je poudarila.
S klinike so nam sporočili, da so sum kaznivega dejanja v tem primeru naznanili pristojnim organom. “Različnim komisijam ni uspelo z dovolj visoko stopnjo verjetnosti ugotoviti, da je konkretna oseba dejansko ravnala na način, kot je bila podana prijava prijaviteljice. V skladu s tem je UPK Ljubljana celotno dokumentacijo posredovala organom pregona, ki so pristojni za raziskovanje in pregon kaznivih dejanj.”
Ko smo preverjali na policiji in na okrožnem državnem tožilstvu, ali so od klinike prejeli naznanitev suma kaznivega dejanja v tej zadevi, nam tega ne na policiji ne na okrožnem državnem tožilstvu niso potrdili.
Sprejeli ukrepe za izboljšanje varnosti podatkov
Na kliniki so v odgovoru za N1 poudarili še, da so po ugotovljeni kršitvi “zgolj na podlagi suma o storjenih morebitnih nepravilnostih” sprejeli tudi druge ukrepe za izboljšanje varovanja osebnih podatkov na kliniki.
“V pripravi je izobraževanje za zaposlene, ki obravnava temo varovanja osebnih podatkov v zdravstvu, nepooblaščene vpoglede in revizijske sledi ter najbolj pogoste primere kršitev. Pripravila so se posodobljena navodila za vse zaposlene, opozorilo glede nepooblaščenih vpogledov in nedovoljene obdelave osebnih podatkov, preverili se bodo tudi možni neupravičeni vpogledi v zdravstveno dokumentacijo desetih drugih naključno izbranih pacientov,” so našteli.
Po navedbah več virov s klinike pa se to, da je nekdo od zaposlenih nepooblaščeno vpogledal v diagnozo pacienta, ni zgodilo prvič.
Na kliniki sistemske nepravilnosti, a ministrica vodstvu očitno zaupa
Spomnimo, da je bil pred kratkim zaključen sistemski nadzor nad UPK Ljubljana, ki je trajal kar 15 mesecev. Potem ko je šestčlanska nadzorna komisija v poročilu, ki je bilo zaključeno že konec aprila, opozorila na številne sistemske nepravilnosti in pozvala k zamenjavi vodstva klinike, je ministrstvo šele minuli teden izdalo odločbo z zavezujočimi ukrepi za kliniko.
Na vprašanje, ali ministrica za zdravje Valentina Prevolnik Rupel še zaupa vodstvu klinike, je ministrstvo v odgovoru izpostavilo, da aktualnemu vodstvu niso bila dokazana protipravna dejanja. Član komisije, ki je opravljala nadzor, pa je nato poudaril, da je sistem vodenja kakovosti na kliniki “povsem padel”, da je odgovor ministrstva “politikantski” in da komisija še vedno trdno stoji za svojim pozivom k zamenjavi vodstva klinike.
Sistemski nadzor je bil sicer uveden zaradi pričevanj o nasilju nad pacienti. Naš celoten dosje o tem pa je dostopen tukaj.
Načelo minimalne obdelave podatkov
Zlata Rebolj, s katero smo se pogovarjali o njenih izkušnjah s prijavami tovrstnih kršitev, torej s prijavami nepooblaščenih vpogledov, je še povedala, da je v Sloveniji na področju varstva osebnih podatkov pacientov, predvsem pa urejanja in spoštovanja nivojskih dostopov do teh podatkov, veliko nereda.
Zdravstveni delavci bi morali do podatkov vedno dostopati s svojim geslom, saj ima – oziroma bi moral imeti – vsak zaposleni dostop samo do tistih podatkov, ki jih potrebuje pri svojem delu. Gre za načelo minimalne obdelave podatkov. A v praksi se pogosto že tukaj zalomi, je opozorila Rebolj.
“Veliko zdravnikov svojo kartico oz. svoje geslo da medicinski sestri, da določeno nalogo opravi namesto njih. Tukaj se potem lahko zgodijo zlorabe, saj sestra lahko ta dostop izkoristi tudi za neupravičene oz. nepooblaščene vpoglede.”
Vsi vpogledi v zdravstveno dokumentacijo pacienta se beležijo tako v informacijskem sistemu zdravstvenega zavoda kot tudi na portalu eZvem. Vsak zavarovanec tako lahko sam preveri, v katerem zdravstvenem zavodu, kdaj in s kakšnim namenom so vpogledovali v njegove podatke. Če je nekdo vpogledoval takrat, ko pacient ni potreboval zdravstvenih storitev, je smiselno preveriti, kaj je bil namen vpogledovanja.
“Vpogledovanje za nekatere pravi užitek”
“Pred nekaj leti, ko še ni bilo toliko zavedanja, da se vpogledi beležijo, se je zdelo, da je bil nekaterim to pravi užitek,” je dejala Rebolj. “Zdravstveni delavci so vpogledovali, kdo je abortiral, kdo se je ponesrečil, kakšne zdravstvene težave je imel. Pogosto je šlo za primere, ko so bile v ozadju sorodstvene vezi.”
V zadnjem času se je zavedanje o tem okrepilo, vendar pa se kršitve še vedno dogajajo, je še opozorila sogovornica. Težava pa je v tem, da si pacienti pogosto ne upajo ukrepati glede tega. V zadnjem takšnem primeru, ki ga je vodila kot zastopnica pacientovih pravic, je bila pacientka zadovoljna z opravičilom zdravstvenega zavoda, je še dejala Rebolj.
“Pacienti si pogosto ne upajo nadaljevati postopkov. Razlog je zagotovo strah pred slabšo obravnavo ali celo odklonitvijo obravnave. Imela sem primer, ko je zdravnica po obravnavi kršitve pacientu zabrusila, naj se kar spet pritoži, saj da tako ali tako nič ne bo dosegel. Ta bojazen torej ni iz trte zvita.”
Preberite pa še današnji članek: Kdo lahko gleda vaše zdravstvene podatke?
Kako vam je všeč N1? Kaj bi izboljšali?
Dragi bralci in bralke, pomagajte nam izboljšati N1. Kaj pogrešate, kaj vam je všeč, česa ne marate? Pripravili smo kratko anketo o zadovoljstvu bralcev, reševanje traja približno pet minut, anketa pa je anonimna. Povezava do ankete: https://n1slovenija.1ka.si/raziskava-branosti
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje