Е-рецепт: нові технології чи «Потемкинская деревня»?

Досвід США свідчить про наявність ризиків застосування цифрової системи — шахрайство та підробки. Саме тому в США продовжують шукати шляхи захисту персональних даних пацієнтів під час здійснення відпуску фармацевтичних препаратів за рецептами у зв’язку з ризикованістю їх оцифровки¹.

Зрозуміло, що з метою замилювання очей «донорам», які фінансують програми реформування охорони здоров’я в Україні, у тому числі запровадження е-рецептів, їх можна впровадити в автономному режимі з відривом від інших забезпечувальних заходів.

Так, на сьогодні ухвалення законів України «Про електронні документи та електронний документообіг», «Про державні фінансові гарантії медичного обслуговування населення» стало передумовою прийняття наказу МОЗ України від 18.04.2018 р. № 735 «Про внесення змін до наказу Міністерства охорони здоров’я України від 19 липня 2005 року № 360».

Головна новела цього нормативно-правового акта — юридичне впровадження такого поняття, як «електронний рецепт», який виписується за тими ж правилами, що й звичайний рецепт, уповноваженою особою в інформаційній (інформаційно-телекомунікаційній) системі суб’єкта господарювання та підписується електронним цифровим підписом з використанням посиленого сертифіката відкритого ключа.

При цьому суб’єкт господарювання самостійно приймає рішення про запровадження виписування електронних рецептів, крім випадків, коли вимога щодо обов’язкового виписування електронного рецепта визначена законодавством.

Для виписування електронного рецепта суб’єкт господарювання вносить до бази даних інформаційної (інформаційно-телекомунікаційної) системи інформацію про лікаря та пацієнта, яка відповідає інформації, що зазначається на рецептурному бланку форми № 1 (ф-1).

Електронний рецепт для пацієнта може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму, яка відтворює інформацію, що зазначається на рецептурному бланку форми № 1 (ф-1).

За згодою пацієнта суб’єкт господарювання може надавати йому додаткові послуги (сервіси), пов’язані з виписуванням електронного рецепта (повідомлення номера рецепта через засоби мобільного зв’язку, на електронну адресу тощо).

Наприклад, під час укладання декларації між пацієнтом та обраним медичним закладом (лікарем) ці заклади їх обов’язково реєструють. Зазначена інформація дозволяє Національній службі здоров’я України (НСЗУ) вести облік для подальшого фінансування таких медичних закладів.

Якщо проаналізувати цей нормативно-правовий акт, то стає зрозумілим, що він легалізує можливість автономного запровадження е-рецептів з відривом від процесів надання медичних послуг та їх документального супроводження.

До цього необхідно додати, що наказом МОЗ України від 14.02.2012 р. № 110 «Про затвердження форм первинної облікової документації та Інструкцій щодо їх заповнення, що використовуються в закладах охорони здоров’я незалежно від форми власності та підпорядкування» затверджені різні форми первинної облікової документації, загалом їх 37. Але цікаво те, що в цьому наказі взагалі не йдеться про оцифровку цих форм та інформації, що в них міститься.

На мою думку, апогеєм є роз’яснення до цього наказу, що викладене в листі МОЗ щодо виготовлення бланків форм первинної облікової документації від 04.04.2017 р.

Так, у цьому листі мова йде про те, що дизайн-макет бланків форм первинної облікової документації, зокрема Медичної карти стаціонарного хворого (форма № 003/о), Листка лікарських призначень (форма № 003-4/о), Карти пацієнта, який вибув зі стаціонару (форма 066/о), не є обов’язковим до відтворення та передбачає можливість видозмінення зовнішнього вигляду полів заповнення без зміни черговості пунктів.

Більш того, МОЗ України наголошує, що всі поля бланків форм первинної облікової документації допустимо заповнювати як від руки, так і в друкованому вигляді. Тобто МОЗ України рекомендує заповнювати первинну медичну документацію «як від руки, так і в друкованому вигляді».

Незрозуміло, про яку оцифровку даних може йти мова і яким чином можна впроваджувати е-рецепт з відривом від первинної медичної документації встановленої форми.

І хоча наказом МОЗ України від 14.12.2017 р. №1594 утворено Державне комерційне підприємство «Електронне здоров’я», його завдання аж ніяк не пов’язані з оцифровкою первинної медичної документації та захистом персональних даних, викладених у ній.

Але при цьому, за інформацією, представленою в деяких ЗМІ, МОЗ України продовжує напрацювання ідей та практичних рішень щодо електронної системи охорони здоров’я.

Серед ключових принципів загальної системи eHealth згідно з планом реформ охорони здоров’я наступні:

• система має гарантувати повну захищеність інформації:
• доступ до інформації про пацієнта можуть мати лише авторизовані користувачі системи за згодою пацієнта;
• зручність організації інформації про пацієнта, сам факт наявності інформації не гарантує її придатності та доступності для медичного працівника;
• медичний працівник несе відповідальність за внесені ним дані або їх зміну: кожен такий доступ користувача системи до даних має логуватися і залишатися в системі;
• швидкий доступ до релевантної статистики та анонімізований доступ для безперервної підтримки рішень НСЗУ в менеджменті національної охорони здоров’я;
• вільний вибір технічного рішення та конкурентність у системі (рівний доступ на ринок);
• врахування можливості роботи із системою без постійного доступу до інтернету тощо.

Цікавим є те, що ці ідеї повністю адаптовані під принципи запровадження технології блокчейн. А яким чином ця технологія буде впровад­жена в кожному лікувальному закладі, особливо якщо він є в комунальній власності, не зовсім зрозуміло. І який характер технології блокчейн буде запроваджений — публічний чи приватний. Якщо мова йде про захист персональних даних, то приватний, але якщо йдеться про централізовану систему, то є можливість впровадження пуб­лічної технології.

Використовують технологію блокчейн не лише в фінансовій сфері, як це прийнято вважати. Так, шведська компанія «Bitnation» за допомогою технології блокчейн розробила програму, що забезпечує зберігання державних адміністративних актів (наприклад договорів, страхових полісів або офіційних посвідчень) у ланцюжку блоків. Це рішення вже застосовується на практиці в окремих випадках, наприклад в Естонії, де з 2015 р. визнається укладання шлюбу, оформлене з використанням програми Bitnation². У свою чергу, правляча партія Іспанії Partido Popular запропонувала законопроект про застосування технології блокчейн у рішенні завдань державного управління Іспанії.

Необхідно зрозуміти, що технічне оснащення комунальних медичних закладів та недостатня наявність кваліфікованого персоналу (точніше його відсутність) взагалі не ставить питання про запровадження технології блокчейн найближчим часом.

Але найбільше підстав для занепокоєння викликає ставлення МОЗ України до захисту персональних даних пацієнтів. У закладах охорони здоров’я як в медичних установах, так і в аптеках, ніхто не може гарантувати дотримання вимог Закону України «Про захист персональних даних». Лікар, виписуючи рецепт пацієнту, не може гарантувати йому, що інформація, викладена в рецепті та первинній медичній документації, не стане доступною для інших осіб. А аптеки? Хто в аптеках може гарантувати, хоча б формально, захист персональних даних, викладених у рецепті?

А між тим, у травні 2018 р. в ЄС набрали чинності оновлені правила обробки персональних даних, встановлені Загальним регламентом щодо захисту даних (Регламент ЄС 2016/679 від 27 квітня 2016 р., або GDPR — General Data Protection Regulation). Даний регламент має пряму дію в усіх 28 країнах ЄС і замінить рамкову Директиву про захист персональних даних 95/46/ЄС від 24 жовтня 1995 р. Важливим нюансом GDPR є екстериторіальний принцип дії нових європейських правил обробки персональних даних.

Новий регламент надає резидентам ЄС інструменти для повного контролю над своїми персональними даними. З травня 2018 р. посилилася відповідальність за порушення правил обробки персональних даних: за GDPR штрафи сягають 20 млн євро, або 4% річного доходу суб’єкта господарювання.

Відповідно до цього Регламенту персональні дані — це будь-яка інформація, що стосується ідентифікованої фізичної особи (суб’єкт даних), за якою прямо або побічно можна її визначити. До такої інформації належить у тому числі ім’я, дані про місце розташування, онлайн-ідентифікатор або один чи кілька факторів, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п. 1 ст. 4). Визначення широке і досить чітко дає зрозуміти, що навіть IP-адреси також можуть бути персональними даними. Важливо відзначити, що існують певні типи персональних даних, що відносяться до категорії особ­ливих або конфіденційних персональних даних. Це інформація, яка розкриває: расове або етнічне походження, політичні погляди, релігійні або філософські переконання і членство в профспілках. Крім того, до цієї групи належать генетичні, біомет­ричні дані, які використовуються для ідентифікації фізичної особи, дані про стан здоров’я, відомості, що стосуються сексуального життя або сексуальної орієнтації (ст. 9).

Хто в зоні дії GDPR? GDPR має екстериторіальну дію і застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місцезнаходження такої компанії.

Мені дуже прикро, але будучи прибічником урядових реформ щодо охорони здоров’я, я вимушений звертати увагу на деякі речі, що не є об’єктом уваги посадовців МОЗ України, які в силу проблем з комунікацією або непрофесіо­налізму не завжди їх сприймають конструктивно.

На сьогодні пацієнти не мають жодних механізмів контролю за тим, що відбувається з персональними даними, які зберігаються в різних медичних документах. Теоретично вони можуть бути передані невідомим організаціям або, якщо вони в електронному вигляді, просто втрачені в результаті збою в системі.

Таким чином, запровадження е-рецептів без комплексного нормативно-правового забезпечення, у тому числі без вирішення проблем технічного оснащення, залучення кваліфікованого персоналу і, як наслідок, вирішення питання захисту персональних даних пацієнтів у відповідності з GDPR, є уявною частиною реформи охорони здоров’я.

Прим. ред.: започаткована в Україні реформа системи охорони здоров’я вже торкнулася деяких аспектів діяльності операторів роздрібного сегменту фармацевтичного ринку. У майбутньому інші аспекти аптечної діяльності також піддаватимуться впливу подальших кроків реформування. Зокрема, це стосується електронного документообігу.

У даній статті наведена особиста думка правника-науковця. Ми розглядаємо її як початок ефективної дискусії між фахівцями у сфері IT-технологій, GDPR-офіцерами українських підприємств, юристами та регуляторами.

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!