Na Informacijskega pooblaščenca je bilo naslovljeno vprašanje, ali je z vidika varstva osebnih podatkov ustrezno, da se pacientu, ki po elektronski pošti zaprosi za elektronsko kopijo zdravstvene dokumentacije, ta dokumentacija posreduje po tej poti brez preverjanja identitete ter ali zadostuje, da se dokumentacija zgolj zaklene z geslom (npr. rojstnim datumom pacienta).
Pošiljanje zdravstvenih podatkov po navadni elektronski pošti brez šifriranja (kriptiranja) datoteke predstavlja kršitev 14. člena ZVOP-1, ki določa, da se morajo občutljivi osebni podatki, preko telekomunikacijskih omrežij posredovati z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Opisana praksa z vidika zagotavljanja varnosti obdelave osebnih podatkov ni ustrezna, saj predstavlja resno tveganje za nezakonito razkritje osebnih podatkov nepooblaščeni osebi.
Pri posredovanju zdravstvene dokumentacije po elektronski pošti mora izvajalec preveriti ali za posredovanje podatkov razpolaga z ustrezno pravno podlago, opraviti avtentifikacijo posameznika in datoteko šifrirati. Geslo za dešifriranje mora posamezniku poslati ločeno, preko drugega medija (npr. sms, klica, …). Avtentikacijo se lahko v takem primeru opravi z uporabo elektronskega podpisa, preverjanjem e-naslova v internih zbirkah podatkov, dodatnimi kontrolnimi vprašanji (npr. interna številka pacienta, ki naj bi jo poznal samo pacient), z uporabo varnega poštnega predala itd.
V dvomu se lahko elektronska kopija dokumentacije na fizičnem nosilcu na uradni naslov pacienta pošlje po klasični pošti z osebno vročitvijo.
Kršitev varstva osebnih podatkov bi predstavljajo tudi golo zaklepanje dokumenta, saj se morajo zdravstveni podatki (in drugi podatki posebne vrste npr. podatki o članstvu v sindikatu, …) med prenosom šifrirati. Svetuje se uporaba sodobnih informacijskih rešitev, ki omogočajo za obe strani varen neposredni dostop do dokumentacije (npr. zVEM – CRPP).
Celotno mnenje Informacijskega pooblaščenca številka 07120-1/2022/260 z dne 4. 8. 2022 je na voljo na povezavi: https://www.ip-rs.si/mnenja-gdpr/avtentikacija-pri-po%C5%A1iljanju-zdravstvene-dokumentacije-pacientu-po-e-po%C5%A1ti-1659595363
Za svoje stranke smo v preteklosti že pripravili navodila za šifriranje elektronske pošte. Če jih še niste prejeli, ali ste jih založili, nam to sporočite in vam jih bomo posredovali. Na tem mestu še dodajamo, da rojstni datum (ali drug podoben osebni podatek) ne predstavlja varnega gesla. Spomnimo, varno geslo mora biti ustrezne dolžine (vsaj 8 znakov) ter sestavljeno iz velikih in malih črk, številk ter posebnih znakov.