نظام حماية البيانات الشخصية

Confidentiality and Privacy of Personal Data

إعداد: أ. سماء الجشي

يطبق نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي بتاريخ 9/2/1443 هـ والمعدل بالمرسوم الملكي رقم (م/148) وتاريخ 5/9/1444 هـ على أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، ويجب أن تلتزم المنشآت الصحية بالحقوق والواجبات الإنسانية والإجتماعية والوطنيــة التي كفلها النظــام للأفــراد، فمن حقوق المرضى وذويهم الخصوصية والسرية.

عرفت سدايا البيانات الشخصية بأنها “كل بيان مهما كان مصدره أو شكله من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، و العناوين، وأرقام التواصل، وأرقام الرخص، والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة، وغير ذلك من البيانات ذات الطابع الشخصي” وتشمل كذلك “كل بيان شخصي يتعلق بحالة الفرد الصحية، سواء الجسدية أو العقلية أو النفسية أو المتعلقة بالخدمات الصحية الخاصة به”. [1]

مع استمرار زيادة حجم البيانات الصحية، ساعدت رقمنة البيانات على تسهيل اجراءات الحياة اليومية. فاليوم، يستخدم مقدمو الخدمات السجلات الصحية الإلكترونية وتطبق عمليات تبادل المعلومات الإلكترونية (Electronic Information Exchange) في الرعاية الصحية، و يستخدم المرضى التطبيقات الصحية الرقمية لإدارة معلوماتهم الصحية.

تحفظ أنظمة الرعاية الصحية بيانات المرضى عن طريق استخدام معدات طبية مختلفة وتخزنها في قواعد البيانات، وعملية نقل هذه البيانات الضخمة والمعالجة المستمرة لها ومشاركتها عبر الشبكات تثير مخاوف متزايدة، [2] فعملية تبادل المعلومات الطبية مرتبطة مع خصوصية البيانات ومشاركتها تعرضها لمخاطر الإفصاح، وتحتوي السجلات الطبية على معلومات هامة وخاصة مما جعل قطاع الرعاية الصحية تاريخيًا هدفا محبذا لسرقة البيانات. لذا أوجد المجرمون السبرانيون (Cybercriminals) طرقًا جديدة إضافةً إلى بيع البيانات في الأسواق السرية (Underground Markets) التي حدثت في عمليات انتهاكات البيانات السابقة لاستخدام المعلومات من السجلات الصحية الإلكترونية (EHR).

مع أخذ هذا الأمر في الاعتبار، ينبغي إيجاد ضمانات إضافية لحماية بيانات الرعاية الصحية مثل استخدام تقنية سلسلة الكتل (Blockchain) التي تعتبر إحدى الوسائل المهمة لتحقيق الأمان في الوقت الحاضر. [3]

تُظهر الدراسات اهتمام وقلق المرضى بالجوانب المتعلقة بالسرية والأمان والخصوصية والثقة عند مشاركة المنشأة للبيانات، وأشارت الدراسات كذلك إلى أن المرضى أكثر استعدادًا لمشاركة البيانات مع أنظمة الرعاية الصحية وأقل احتمالًا لمشاركة البيانات مع شركات التأمين والشركات المرتبطة بالتكنولوجيا الحيوية وشركات المنتجات الصيدلانية. و بازدياد تطور واستخدام الذكاء الاصطناعي المعتمد على البيانات في السنوات الأخيرة، وإضافته إلى المعادلة، يظهر لنا منظور جديد، حيث أظهرت بعض الدراسات أن المرضى يكونون أكثر تقبلاً لاستخدام الذكاء الاصطناعي إذا تم تنفيذه واستخدامه بطريقة تحافظ على العلاقة بين المريض والطبيب، ويرجع ذلك جزئيًا إلى الخوف من استبدال البشر وجزئيًا لأن الذكاء الاصطناعي يتحدى الجانب الإنساني للرعاية الصحية. [4]

الأطباء ملزمون أخلاقيا وقانونيا بالحفاظ على خصوصية بيانات مرضاهم وعدم انتهاك خصوصيتهم إلا أن مشاركة بيانات المرضى مع أشخاص غير مصرح لهم مازالت تحدث بشكل متكرر في أماكن وأقسام سريرية مختلفة، تشمل هذه الانتهاكات الكشف عن بيانات المريض لأطراف ثالثة، ومناقشة معلومات المريض في الأماكن العامة، والتخلص من سجلات المرضى بطرق غير صحيحة، وترك السجلات الصحية الإلكترونية أو الورقية دون رقابة، وتقديم الرعاية دون إغلاق الأبواب. [5]

قد تقلل هذه المخاوف من ثقة المرضى في الأطباء، فقد يتردد المرضى في طلب المساعدة أو حضور مواعيد المتابعة أو حتى الكشف عن المعلومات الأساسية لإنشاء خطة رعاية صحية فعالة. وباعتبار أن هذه المخاوف عالمية، تم تطوير العديد من التوصيات والمبادئ التوجيهية المتفق عليها دوليًا والتي تحمي قدسية الحياة الخاصة للمرضى أثناء العلاج. [5]

في شأن معالجة البيانات الصحية حددت اللوائح السعودية الضوابط والإجراءات بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم، على أن تشمل ما يأتي:

  1. قصر حق الإطلاع على البيانات الصحية بما فيها الملفات الطبية على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة.
  2. تقييد إجراءات وعمليات معالجة البيانات الصحية إلى أقل قدر ممكن من الموظفين والعاملين لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي.[1]

وأشارت وثيقة الحقوق الصادرة من وزارة الصحة بوجوب توفيـــر الخصوصية والســـرية عند مناقشـــة البرنامـــج العلاجي للمريض  ســـواء معه أو الوصـــي القانونـــي عليه ومنع تسريب أو سوء استخدام المعلومات الخاصـــة بالمريض في الملـــف الطبـــي والمعلومات الطبيـــة الخاصـــة بالتشـــخيص والتحاليـــل والعلاج إلى أي جهـــة أو شـــخص كان دون موافقـــة المريض أو الوصـــي القانوني عليه )فيمـــا عـــدا مـــا تطلبـــه الجهـــات القضائيـــة(. ومنع مقابلـــة أي شـــخص للمريـــض لا علاقة لـــه بتقديـــم الرعايـــة الصحية بما فـــي ذلك الزوار. و أوصت بتهيئة أماكـــن التنويم والفحـــص والإجراءات الطبيـــة واتخـــاذ جميـــع التدابيـــر الممكنة للمحافظـــة على الخصوصية وســـتر العورة في غير ما تقتضيه ضـــرورة العلاج. [6]

ونص نظام حماية البيانات الشخصية على أنه يجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة أصحابها في الأحوال التالية:

  1. إذا لم تتضمن البيانات الشخصية مايدل على هوية صاحبها على وجه التحديد.
  2. إذا كان سيجرى إتلاف مايدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى ولم تكن تلك البيانات بيانات حساسة.
  3. إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذًا لاتفاق سابق يكون صاحبها طرفًا فيه.[1]

المراجع:

الأول

الثاني

الثالث

الرابع

الخامس

السادس