W maju br. Komisja Europejska przedstawiła projekt rozporządzenia ustanawiającego europejską przestrzeń danych dotyczących zdrowia (EHDS). Inicjatywa ta jest jednym z głównych fundamentów Europejskiej Unii Zdrowotnej, a ponadto stanowi realizację założeń europejskiej strategii w zakresie danych. Dzięki nowej regulacji otwarty zostanie dostęp do niezwykle cennych, niewykorzystywanych dotychczas informacji medycznych, co znacznie podniesie jakość opieki zdrowotnej oraz przyczyni się do wzrostu innowacji, chociażby w przemyśle farmaceutycznym. Co więcej, EHDS umożliwi pacjentom kontrolowanie ich danych dotyczących zdrowia i wykorzystanie tych danych w ich kraju lub w innych państwach członkowskich. W założeniu projekt wspiera jednolity rynek cyfrowych usług i produktów zdrowotnych. Ma zapewnić również spójne, wiarygodne i skuteczne ramy wykorzystywania danych dotyczących zdrowia do celów badań naukowych, innowacji, kształtowania polityki i działań regulacyjnych, przy jednoczesnym zapewnieniu pełnej zgodności z wysokimi unijnymi standardami ochrony danych. Mimo to, w obecnym kształcie regulacje zaproponowane przez Komisję Europejską pozostawiają ryzyko korzystania z pewnych mechanizmów przewidzianych EHDS w sposób sprzeczny z interesem obywateli.
JAK ZBUDOWANE JEST EHDS
Projekt rozporządzenia ustanawiającego europejską przestrzeń danych dotyczących zdrowia (EHDS) przewiduje dostęp do elektronicznych danych zdrowotnych dla lekarzy i pacjentów (primary use), a ponadto zapewnia mechanizmy pozwalające na wykorzystanie tychże danych przez inne zainteresowane instytucje – decydentów, ośrodki naukowo-badawcze, koncerny farmaceutyczne (secondary use).
Jak wskazuje unijny legislator, objęcie regulacją tak szerokiego katalogu podmiotów przyniesie ogromne korzyści społeczne w postaci wzrostu innowacji w medycynie oraz możliwości szybszego reagowania na pandemie i kryzysy zdrowotne. Takie podejście jest zgodne z ideą otwierania danych w poszczególnych sektorach, propagowaną zarówno przez Fundację Instrat, jak i Open Future. Jednak pomimo ogólnej aprobaty względem omawianej inicjatywy, obie organizacje są zdania, że aktualnie w regulacji brak jest dostatecznych zabezpieczeń gwarantujących obywatelom, że informacje nt. ich kondycji zdrowotnej nie trafią w niepowołane ręce.
Chociaż w obecnym kształcie instytucje odpowiedzialne za dostęp do danych dotyczących zdrowia (Health Data Access Bodies; HDAB) nie są związane żadnymi instrukcjami przy podejmowaniu decyzji, to jednak projekt rozporządzenia pozostawia ich tworzenie wyłącznie w gestii państw członkowskich i poza skuteczną kontrolą unijną lub społeczną. Tym samym, występuje ryzyko podatności HDAB na wpływy ze strony organów krajowych, które mogą próbować przekraczać swoje uprawnienia. Równocześnie, mimo że zadaniem HDAB jest zarządzanie danymi zdrowotnymi jako dobrem wspólnym, w budowie tych instytucji brakuje elementów przewidujących możliwość kontroli demokratycznej i odpowiedzialności publicznej. Może to budzić obawy oraz niechęć do dzielenia się danymi przez obywateli, w szczególności w krajach takich jak Polska, w których wskaźnik braku zaufania do rządu (56.8%) przewyższa wskaźnik rzeczywistego zaufania (33.7%) (Statista, 2020).
UWAGI INSTRATU I OPEN FUTURE
Aby więc uniknąć korporacyjnego i politycznego przejęcia instytucji, których mandat obejmuje wspieranie celów interesu publicznego związanych z dostępem do danych zdrowotnych i ich wymianą, Instrat oraz Open Future proponują następujące rozwiązania:
1. Kolektywne zarządzanie danymi przez instytucje odpowiedzialne za dostęp do danych dotyczących zdrowia za pośrednictwem niezależnych organów nadzorczych
Pomimo przypisanych im funkcji, HDAB nie zostały wyposażone w odpowiednio autonomiczną przestrzeń przewidującą element partycypacji społecznej w podejmowaniu decyzji dotyczących udostępniania danych. Aby zmienić ten stan rzeczy, należy zabezpieczyć niezależność HDAB, a jednocześnie stworzyć warunki do wprowadzenia zbiorowej warstwy demokratycznej kontroli. W związku z tym, art. 36 ust. 3 proponowanej regulacji powinien uwzględniać elementy zaangażowania szerszego grona interesariuszy. Jednocześnie, sugerujemy rozbudowanie tego przepisu o zapis dotyczący niezależnego panelu nadzorczego, działającego jako centralny punkt zarządzania HDAB w imieniu i na rzecz ogółu społeczeństwa.
2. Trust-by-design i społeczna kontrola instytucji dostępu do danych zdrowotnych
Dodatkowo, aby zmaksymalizować odpowiedzialność publiczną i nadzór, wewnętrzne obrady i dokumenty wytworzone w ramach panelu powinny być upublicznione. Podobnie członkowie niezależnej rady nadzorczej powinni mieć możliwość zgłaszania potencjalnych uchybień wynikających z postępowania HDAB. Ma to zasadnicze znaczenie dla zapobieżenia sytuacjom, w których HDAB – jako jedyny podmiot, któremu powierzono zadanie monitorowania i nadzorowania przestrzegania przepisów rozdziału IV (dot. wtórnego wykorzystania danych) – mógłby nadużywać swojej centralnej pozycji.
Artykuł 38 ust. 4 ma na celu legitymizację działalności HDAB oraz zwiększenie atrakcyjności dzielenia się danymi zdrowotnymi poprzez informowanie ogółu społeczeństwa o korzyściach płynących z działalności tych instytucji. Równocześnie, w brak bardziej precyzyjnych, unijnych zasad dotyczących projektowania HDAB oraz konkretnych mechanizmów zapewniających niezależność tych ciał od wpływów politycznych sprawia, iż powyższy zapis może nie wystarczyć, aby zbudować zaufanie obywateli do HDAB.
Z tego względu zalecamy wprowadzenie zasady trust-by-design, mającej za zadanie zwiększać wiarygodność HDAB poprzez zaproponowanie odpowiedniej architektury tych instytucji w samej regulacji. Oznacza to, po pierwsze, wzmocnienie kompetencji Komisji Europejskiej w zakresie kontroli HDAB oraz stworzenie odpowiednich ram regulacyjnych pozwalających unijnym organom reagować w przypadku naruszeń przepisów dotyczących wtórnego wykorzystania danych. Po drugie, proponujemy, aby zapisy zwiększające legitymizację działalności HDAB (jak chociażby informowanie o działalności tych instytucji oraz korzyściach z ich występowania) znalazły się nie w art. 38 traktującym o obowiązkach HDAB względem osób fizycznych, ale w art. 36 mówiącym ustanawianiu tych instytucji.
3. Uwagi końcowe
Opłaty za dostęp do danych dla instytucji publicznych
Zdaniem obu organizacji wszelkie opłaty związane z udzielaniem dostępu do danych instytucjom publicznym powinny być ograniczone do rzeczywistych kosztów wynikających z rozpatrywania wniosku o dostęp. W przypadku braku takiego zastrzeżenia w regulacji istnieje ryzyko nakładania na organy sektora publicznego nieproporcjonalnych opłat, co mogłoby stanowić barierę dla pozyskiwania danych o wysokiej wartości społecznej (jak miało to miejsce w przypadku Polskiej Agencji Rynku Energii (ARE).
Zasady udostępniania danych między przedsiębiorstwami a rządem (B2G)
Zgodnie z propozycją rozporządzenia ustanawiającego europejską przestrzeń danych dotyczących zdrowia udzielanie dostępu do danych przechowywanych prywatnie w celu zapobiegania sytuacjom kryzysowym powinno być dokonywane w zgodzie z art. 15 Aktu ws. Danych (Data Act). Równocześnie, należy zauważyć, że projekt rozporządzenia ws. przestrzeni danych zdrowotnych proponuje znacznie bardziej ambitne ramy ochrony interesu publicznego w przypadku kryzysu, a ponadto w preambule znajduje się zastrzeżenie, że organy państwowe mogą wychodzić poza obszar wyznaczony rozdziałem V Data Act. Rozbieżności co do ogólnego zakresu udostępniania danych B2G mogą prowadzić więc do niepewności prawnej i obniżenia skuteczności omawianych regulacji. Dlatego, aby uniknąć ewentualnych wątpliwości, rekomendujemy lepsze dopasowanie do siebie ww. aktów prawnych poprzez uwzględnienie w Data Act nadrzędności zasad wynikających z regulacji sektorowych takich, jak rozporządzenie ustanawiające europejską przestrzeń danych dotyczących zdrowia.
PEŁNE STANOWISKO FUNDACJI INSTRAT I OPEN FUTURE W KONSULTACJACH KE
Kontakt dla mediów:
- Patryk Berus, menadżer ds. komunikacji, patryk.berus@istrat.pl, +48 519 466 422
- Blanka Wawrzyniak, kierowniczka programu Gospodarka Cyfrowa, blanka.wawrzyniak@instrat.pl, +48 668 487 653
