Γ2δ/Γ.Π. 21605/24-05-2021
Λειτουργία ηλεκτρονικής εφαρμογής για τους σκοπούς του Συστήματος Κοστολόγησης Νοσοκομειακών Υπηρεσιών (Συ.Κ.Ν.Υ.)

Αριθμ. Γ2δ/Γ.Π. 21605/2021

(ΦΕΚ Β’ 2241/31-05-2021)

ΟΙ ΥΠΟΥΡΓΟΙ
ΥΓΕΙΑΣ-ΕΠΙΚΡΑΤΕΙΑΣ

Έχοντας υπόψη:

1) Tις διατάξεις:
α. Του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων ΓΚΠΔ/General Data Protection Regulation GDPR),
β. του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» (Α΄ 137),
γ. του άρθρου 17 του ν. 4600/2019 (Α΄ 33), για την εποπτεία και τον έλεγχο των ιδιωτικών κλινικών,
δ. του άρθρου 53 του ν. 2071/1992 (Α΄ 123), για την εποπτεία νοσηλευτικών ιδρυμάτων,
ε. του άρθρου 58 του ν. 4623/2019 «Ρυθμίσεις του Υπουργείου Εσωτερικών, διατάξεις για την ψηφιακή διακυβέρνηση, συνταξιοδοτικές ρυθμίσεις και άλλα επείγοντα ζητήματα» (Α΄ 134),
στ. της περ. ζ’ της παρ. 2 του άρθρου 3 του καταστατικού του ΚΕ.ΤΕ.Κ.Ν.Υ., όπως αυτό κυρώθηκε με το άρθρο δέκατο του ν. 4286/2014 (Α΄ 194) και η περ. ζ΄ αντικαταστάθηκε με το άρθρο τριακοστό του ν. 4771/2021 (Α΄ 16),
ζ. του π.δ. 121/2017 (Α΄ 148) «Οργανισμός του Υπουργείου Υγείας»,
η. Του π.δ. 83/2019 «Διορισμός Αντιπροέδρου της Κυβέρνησης, Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών» (Α΄121),
θ. του π.δ. 40/2020 «Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης» (Α΄85),
ι. της υπό στοιχεία Υ6/9.7.2019 απόφαση του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υπουργό Επικράτειας» (Β΄2902),
ια. της υπό στοιχεία Υ4/9.1.2021 απόφασης του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Αναπληρωτή Υπουργό Υγείας, Βασίλειο Κοντοζαμάνη» (Β’ 32),
ιβ. της υπό στοιχεία Α3(γ)77213 (Β’ 3699/2017) απόφασης του Υπουργού Υγείας, όπως έχει τροποποιηθεί με την υπό στοιχεία Γ2δ/Γ.Π. 83999/20 (Β’ 791/2021) απόφαση του Αναπληρωτή Υπουργού Υγείας και ισχύει, ιγ. της υπό στοιχεία Γ2δ/Γ.Π. 82848/20 (Β΄ 814/2021) απόφασης του Αναπληρωτή Υπουργού Υγείας,
ιδ. της υπό στοιχεία Γ2δ/Γ.Π.οικ.10748 (Β΄782/2021) απόφασης του Αναπληρωτή Υπουργού Υγείας.

2) Το υπ’ αρ. 21605/7.4.2021 έγγραφο της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε.

3) Το από 12.4.2021 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων του Υπουργείου Υγείας.

4) Την υπό στοιχεία Β2α/28543/07-05-2021 βεβαίωση της Διεύθυνσης Προϋπολογισμού και Δημοσιονομικών Αναφορών και της Διεύθυνσης Οικονομικής Εποπτείας Φορέων Γενικής Κυβέρνησης του Υπουργείου Υγείας.

5) Το γεγονός ότι από την εφαρμογή των διατάξεων της παρούσας απόφασης δεν προκαλείται επιπλέον δαπάνη σε βάρος του κρατικού προϋπολογισμού και των αναφερόμενων σε αυτή φορέων,

αποφασίζουμε:

Άρθρο 1
Περιγραφή ηλεκτρονικής εφαρμογής

Για τους σκοπούς που ορίζονται στο στοιχείο (ζ) της παρ. 2 του άρθρου 3 του Καταστατικού του «ΚΕΝΤΡΟ ΤΕΚΜΗΡΙΩΣΗΣ ΚΑΙ ΚΟΣΤΟΛΟΓΗΣΗΣ ΝΟΣΟΚΟΜΕΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ ΥΓΕΙΑΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» (εφεξής: ΚΕ.ΤΕ.Κ.Ν.Υ.) και, ιδίως, για τη λειτουργία του Συστήματος Κοστολόγησης Νοσοκομειακών Υπηρεσιών (Συ.Κ.Ν.Υ.) δημιουργείται ηλεκτρονική εφαρμογή (εφεξής: ειδικό λογισμικό-Grouper), το οποίο εφαρμόζει έναν αλγόριθμο ομαδοποίησης του συστήματος των Διαγνωστικά Ομοιογενών Ομάδων (Diagnosis Related Groups, εφεξής: DRG), για την αντιστοίχιση περιστατικών σε Μείζονες Διαγνωστικές Κατηγορίες (Major Diagnostic Categories MDC) και σε ομάδες (groups) DRG. Το ειδικό λογισμικό-Grouper επιτρέπει τη συγκεντρωτική καταχώριση με δομημένο τρόπο (σε κωδικούς) όλων των πληροφοριών που απαιτούνται για τον ορισμό των σχετικών DRG και ορίζονται στο άρθρο 3 της παρούσας.

Άρθρο 2
Τεχνικά Χαρακτηριστικά Ειδικού Λογισμικού Grouper

Το ειδικό λογισμικό-Grouper είναι εγκαταστημένο ως εικονική μηχανή (Virtual Machine) παρεχόμενη με δικτύωση μέσω της υπηρεσίας ~OKEANOS-KNOSSOS στις υποδομές υπολογιστικού νέφους του κέντρου δεδομένων του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας (εφεξής: Ε.Δ.Υ.Τ.Ε.). Μέσω του ειδικού λογισμικού-Grouper το κάθε περιστατικό νοσηλείας (εφεξής: περιστατικό), μέσα από μια αυτοματοποιημένη διαδικασία και βάσει των ιατρικών και δημογραφικών στοιχείων του, ταξινομείται στο μοναδικό DRG στο οποίο αντιστοιχούν τα χαρακτηριστικά του. Μία ομάδα DRG συμπεριλαμβάνει περιστατικά με παρόμοια ιατρικά και οικονομικά χαρακτηριστικά. Η ταξινόμηση κάθε περιστατικού σε μία ομάδα DRG είναι έργο του ειδικού λογισμικού-Grouper. Το ειδικό λογισμικό-Grouper είναι παραμετροποιημένο κατά τρόπο, ώστε να μην αναγνωρίζει ούτε τον νοσηλευόμενο ασθενή (εφεξής: ασθενής), ούτε το ιατρικό του ιστορικό και, συνεπώς, να μην είναι δυνατή η εξακρίβωση, άμεσα ή έμμεσα, της ταυτότητας του κάθε ασθενή, ως υποκειμένου δεδομένων προσωπικού χαρακτήρα. Όλες οι λειτουργίες του ειδικού λογισμικού-Grouper βασίζονται σε τυποποιημένες κατηγορίες πληροφοριών, όπως αυτές αναφέρονται στο άρθρο 3 της παρούσας.

Άρθρο 3
Πληροφορίες που καταχωρίζονται στο ειδικό λογισμικό-Grouper

1. Οι πληροφορίες που καταχωρίζονται στον ειδικό λογισμικό-Grouper ορίζονται στην υπό στοιχεία Α3(γ)77213 (Β’3699/19.10.2017) απόφαση του Υπουργού Υγείας, όπως ισχύει, και ταξινομούνται σε τρεις (3) κατηγορίες: α) πληροφορίες που αφορούν στα βασικά στοιχεία του περιστατικού, β) πληροφορίες που αφορούν στις διαγνώσεις, βάσει της ενδεδειγμένης ενιαίας κωδικοποίησης διαγνώσεων νόσων και γ) πληροφορίες που αφορούν στις ιατρικές πράξεις, βάσει της ενδεδειγμένης ενιαίας κωδικοποίησης ιατρικών πράξεων.
Ως ενδεδειγμένες ενιαίες κωδικοποιήσεις έχουν οριστεί με τις υπό στοιχεία Γ2δ/Γ.Π. 82848/20 (Β΄814/2.3.2021) και Γ2δ/Γ.Π.οικ.10748 (Β΄782/27.2.2021) αποφάσεις του Αναπληρωτή Υπουργού Υγείας, αφενός για τις διαγνώσεις νόσων ο κατάλογος της Ελληνικής Τροποποίησης της Διεθνούς Στατιστικής Ταξινόμησης Διαγνώσεων Νόσων και Συναφών Προβλημάτων Υγείας (ICD-10-GrM) και αφετέρου για τις ιατρικές πράξεις ο κατάλογος της Ελληνικής Ταξινόμησης Ιατρικών Πράξεων ΕΤΙΠ (GMPC), όπως κάθε φορά ισχύουν.

Άρθρο 4
Περιγραφή Επεξεργασίας

1. Η επεξεργασία των πληροφοριών αφορά στην αποτίμηση του κόστους των νοσοκομειακών υπηρεσιών ή στην κατανομή νοσοκομειακών αμοιβών που προέρχονται από πόρους των ασφαλιστικών οργανισμών και από τον κρατικό προϋπολογισμό. Για την εν λόγω επεξεργασία δεν είναι απαραίτητη η ταυτοποίηση φυσικών προσώπων. Ειδικότερα η επεξεργασία πληροφοριών συνίσταται:
α) στην ανωνυμοποίηση ή ψευδωνυμοποίηση και κρυπτογράφηση από τα νοσοκομεία του ΕΣΥ και τις ιδιωτικές κλινικές (εφεξής: μονάδες νοσηλείας), μέσω του συστήματος κρυπτογράφησης που ορίζεται στο άρθρο 10 της παρούσας, των προσωπικών δεδομένων των ασθενών, τα οποία αποτελούν τμήμα της κατηγορίας (α) της παρ. 1 του άρθρο 3 της παρούσας και καταχώρισή τους στο ειδικό λογισμικό-Grouper,
β) στην καταχώριση από τις μονάδες νοσηλείας των ανωνυμοποιημένων ή ψευδωνυμοποιημένων λοιπών (μη προσωπικών) πληροφοριών των ασθενών, τα οποία ανήκουν στις τρεις (3) κατηγορίες δεδομένων της παρ. 1 του άρθρο 3 της παρούσας,
γ) στην αυτοματοποιημένη ταξινόμηση κάθε περιστατικού σε μία ομάδα DRG μέσω του ειδικού λογισμικού-Grouper,
δ) στην επιστροφή της παραχθείσας από την προηγούμενη επεξεργασία πληροφορίας της ομάδας DRG του περιστατικού στις μονάδες νοσηλείας.

2. Προσωπικά δεδομένα, υπό την έννοια του στοιχείου (α) του άρθρου 4 του Γενικού Κανονισμού Προστασίας Δεδομένων, τα οποία τυγχάνουν επεξεργασίας από τις μονάδες νοσηλείας αποτελούν τα δημογραφικά δεδομένα ασθενών και τα κλινικά δεδομένα, (στοιχεία του ιατρικού φακέλου των ασθενών που σχετίζονται με τις διαγνώσεις των παθήσεων τους και τις ιατρικές πράξεις που διενεργήθηκαν κατά τη διάρκεια της νοσηλείας τους). Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα των ασθενών από τις μονάδες νοσηλείας κατά την εισαγωγή, την παραμονή και την έξοδό τους λαμβάνει χώρα ως εξής: α) ο θεράπων ιατρός του κάθε ασθενούς ή άλλο ειδικά προς τούτο εξουσιοδοτημένο πρόσωπο επιλέγει τους κατάλληλους κωδικούς διαγνώσεων νόσων και ιατρικών πράξεων και β) ακολούθως γίνεται αυτοματοποιημένη αντιστοίχιση και ταξινόμηση του περιστατικού σε μία ομάδα DRG, με τέτοιο τρόπο ώστε να μην υπάρχει ταυτοποίηση των φυσικών προσώπων.

3. Οι πληροφορίες που θα συλλέγονται, θα καταχωρούνται σε κεντρική σχεσιακή βάση δεδομένων RDBMS στο πληροφοριακό σύστημα του ΚΕ.ΤΕ.Κ.Ν.Υ., σε πλήρως κρυπτογραφημένη μορφή, και θα διατηρούνται για διάστημα τουλάχιστον 10 ετών, το οποίο κρίνεται αναγκαίο, ώστε να είναι δυνατή η ασφαλής στατιστική επεξεργασία των πληροφοριών εφαρμόζοντας συστήματα προσομοιώσεων μέσω μοντέλων, με στόχο την μετατροπή της πρωτογενούς πληροφορίας σε εργαλείο που θα βοηθά τη διαδικασία λήψης αποφάσεων. Περαιτέρω, είναι δυνατή η επ’ αόριστον αποθήκευση των ανωνυμοποιημένων δεδομένων, αφενός για τους σκοπούς διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών, οι οποίοι προσδιορίζονται στο στοιχείου (η) της παρ. 2 του άρθρου 9 του ΓΚΠΔ, καθώς επίσης, αφετέρου, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το στοιχείο (ι) της παρ. 2 του άρθρου 9 και της παρ. 1 του άρθρου 89 του ΓΚΠΔ.

Άρθρο 5
Σκοποί Επεξεργασίας

1. Κύριος σκοπός της επεξεργασίας των πληροφοριών μέσω της ηλεκτρονικής εφαρμογής του άρθρου 1 είναι η ταξινόμηση σε ομάδες DRG και η κοστολόγηση των νοσοκομειακών υπηρεσιών. Η επεξεργασία δεν αποσκοπεί στην ταυτοποίηση υποκειμένων ούτε άμεσα ούτε έμμεσα. Η ταυτοποίηση και η αντιστοίχιση των υποκειμένων γίνεται από τις μονάδες νοσηλείας, με σκοπό την αντιστοίχιση του ασθενούς με τους κωδικούς με τους οποίους θα υπολογιστεί το κόστος των παρεχόμενων σε αυτόν υπηρεσιών υγείας. Οι λοιποί σκοποί της επεξεργασίας ορίζονται στην περ. ζ’ της παρ. 2 του άρθρου 3 του Καταστατικού του ΚΕ.ΤΕ.Κ.Ν.Υ, όπως αυτό κυρώθηκε με το άρθρο δέκατο του ν. 4286/2014 και ισχύει.

2. Δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών από τις μονάδες νοσηλείας τυγχάνουν επεξεργασίας, σύμφωνα με το άρθρο 9 του ΓΚΠΔ και ειδικότερα: α) για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων, β) για λόγους προληπτικής ιατρικής, για ιατρική διάγνωση, για την παροχή υγείας και κοινωνικής περίθαλψης και για τη διαχείριση των συστημάτων και υπηρεσιών υγείας και κοινωνικής περίθαλψης, και γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων.

Άρθρο 6
Υπεύθυνοι Επεξεργασίας

1. Υπεύθυνοι Επεξεργασίας από κοινού για το ειδικό λογισμικό-Grouper είναι το ΚΕ.ΤΕ.Κ.Ν.Υ. και το Υπουργείο Υγείας.

2. To KE.TE.K.N.Y. και το Υπουργείο Υγείας ορίζουν από κοινού τους σκοπούς της επεξεργασίας, ευθύνονται από κοινού στην τήρηση των υποχρεώσεων που διέπουν το ρόλο του Υπεύθυνου Επεξεργασίας και διασφαλίζουν την προστασία των ανθρώπινων δικαιωμάτων, της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 9Α του Συντάγματος, την κείμενη νομοθεσία και, ιδίως, σύμφωνα με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, EE L 119 [ΓΚΠΔ]) και του ν. 4624/2019 (Α’ 137).

3. Το ΚΕ.ΤΕ.Κ.Ν.Υ., ειδικότερα, αναλαμβάνει: α) τον τεχνικό σχεδιασμό, την υλοποίηση και την ομαλή και ασφαλή λειτουργία και διαχείριση του ειδικού λογισμικού-Grouper, στην οποία συμπεριλαμβάνεται η λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ώστε να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφαλείας έναντι των κινδύνων κατά τη λειτουργία του, β) τη διαμόρφωση των κατάλληλων προδιαγραφών για τη διασύνδεση των μονάδων νοσηλείας με το ειδικό λογισμικό-Grouper (στις οποίες ορίζεται μεταξύ άλλων και η μέθοδος κρυπτογράφησης των προσωπικών δεδομένων, όπως αναλύεται στο άρθρο 10 της παρούσας) και γ) τη διενέργεια της προβλεπόμενης από τις διατάξεις του άρ. 35 του ΓΚΠΔ εκτίμησης αντικτύπου, σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα τα οποία συλλέγονται στο ειδικό λογισμικό-Grouper. Το ΚΕ.ΤΕ.Κ.Ν.Υ. υποβάλλει την εν λόγω εκτίμηση αντικτύπου, καθώς και κάθε επικαιροποίησή της, στην Αυτοτελή Διεύθυνση Ηλεκτρονικής Διακυβέρνησης και στον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, ως υπεύθυνου επεξεργασίας από κοινού, παρέχει συμβουλές όσον αφορά στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της, με τη συνεργασία του Υπεύθυνου Προστασίας Δεδομένων (DPO) του ΚΕ.ΤΕ.Κ.Ν.Υ.

4. Το Υπουργείο Υγείας, ειδικότερα, αναλαμβάνει: α) να αποστείλει στις μονάδες νοσηλείας της αρμοδιότητάς του τις κατάλληλες εντολές για την υιοθέτηση των προδιαγραφών για τη διασύνδεσή τους με το ειδικό λογισμικό-Grouper και της μεθόδου κρυπτογράφησης των προσωπικών δεδομένων που έχουν αμφότερες διαμορφωθεί από το ΚΕ.ΤΕ.Κ.Ν.Υ, καθώς και β) να διαμορφώσει και αποστείλει στις μονάδες νοσηλείας τις γενικές οδηγίες για τη λήψη από αυτές των κατάλληλων τεχνικών και οργανωτικών μέτρων, ώστε να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφαλείας έναντι των κινδύνων, ως υποχρεούνται με την ιδιότητα των υπεύθυνων επεξεργασίας των δικών τους ηλεκτρονικών εφαρμογών.

5. Τα ειδικότερα οργανωτικά και τεχνικά μέτρα ρυθμίζονται από έκαστο Υπεύθυνο Επεξεργασίας, κατά το μέρος που διενεργείται επεξεργασία υπό την εποπτεία του, συμπεριλαμβανομένων του προσδιορισμού και της ταυτοποίησης των προσώπων που έχουν πρόσβαση στο ειδικό λογισμικό-Grouper, της καταγραφής των δεδομένων των χρηστών που εισέρχονται στο σύστημα, της χρήσης τεχνικών ανωνυμοποίησης, ψευδωνυμοποίησης και κρυπτογράφησης, καθώς και της διάρκειας τήρησης ανά κατηγορία δεδομένων, ανωνυμοποιημένων, ψευδωνυμοποιημένων και μη, ανάλογα με το σκοπό επεξεργασίας τους.

Άρθρο 7
Εκτέλεση επεξεργασίας για λογαριασμό του Υπουργείου Υγείας και του ΚΕ.ΤΕ.Κ.Ν.Υ.

1. Το Ε.Δ.Υ.Τ.Ε., το οποίο παρέχει υπηρεσία εικονικών μηχανών με δικτύωση μέσω της υπηρεσίας ~OKEANOSKNOSSOS στις υποδομές υπολογιστικού νέφους του κέντρου δεδομένων του, όπου είναι εγκατεστημένο το ειδικό λογισμικό-Grouper, ορίζεται ως Eκτελών επεξεργασία για λογαριασμό του ΚΕ.ΤΕ.Κ.Ν.Υ. Το Ε.Δ.Υ.Τ.Ε. διεξάγει την επεξεργασία αυτή σύμφωνα με την παρούσα και σύμφωνα με σχετική σύμβαση που θα υπογραφεί μεταξύ του ΚΕ.ΤΕ.Κ.Ν.Υ. και του Ε.Δ.Υ.Τ.Ε. Το Ε.Δ.Υ.Τ.Ε. προβαίνει σε επεξεργασία (λήψη, επεξεργασία μέσω του ειδικού λογισμικού-Grouper, αποθήκευση, διαβίβαση) ανωνυμοποιημένων δεδομένων, τα οποία έχουν ήδη προηγουμένως κρυπτογραφηθεί και ψευδωνυμοποιηθεί σε επίπεδο κατάλληλο, προκειμένου να διασφαλίζεται κατά το δυνατόν (λαμβάνοντας υπόψιν το κόστος και τη διαθεσιμότητα των κατάλληλων μέσων) ότι το Ε.Δ.Υ.Τ.Ε. δεν λαμβάνει γνώση προσωπικών δεδομένων και δεν έχει δυνατότητα να ταυτοποιεί φυσικά πρόσωπα.

2. Στο πλαίσιο της εν λόγω εκτέλεσης επεξεργασίας για λογαριασμό του Υπουργείου Υγείας και του ΚΕ.ΤΕ.Κ.Ν.Υ., το Ε.Δ.Υ.Τ.Ε. επιφορτίζεται με όλες τις υποχρεώσεις που θέτουν για τον εκτελούντα την επεξεργασία οι διατάξεις του ΓΚΠΔ και ιδίως:
α) Επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα, μόνο βάσει καταγεγραμμένων εντολών του Υπουργείου Υγείας και του ΚΕ.ΤΕ.Κ.Ν.Υ., ως υπεύθυνων επεξεργασίας από κοινού, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός αν υποχρεούται προς τούτο βάσει του δικαίου της Ευρωπαϊκής Ένωσης ή βάσει εθνικών ρυθμίσεων. Σε αυτή την περίπτωση, το Ε.Δ.Υ.Τ.Ε. ενημερώνει το Υπουργείο Υγείας και το ΚΕ.ΤΕ.Κ.Ν.Υ. για την εν λόγω νομική απαίτηση πριν από την επεξεργασία.
β) Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.
γ) Λαμβάνει όλα τα απαιτούμενα μέτρα για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας σύμφωνα με το άρθρο 32 του ΓΚΠΔ.
δ) Τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 του άρθρου 28 του ΓΚΠΔ σχετικά με την πρόσληψη άλλου εκτελούντος την επεξεργασία.
ε) Λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί το Υπουργείο Υγείας και το ΚΕ.ΤΕ.Κ.Ν.Υ. με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στο βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης τους ως υπεύθυνων επεξεργασίας από κοινού να απαντούν σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, που προβλέπονται στο Κεφάλαιο III του ΓΚΠΔ.
στ) Συνδράμει το Υπουργείο Υγείας και το ΚΕ.ΤΕ.Κ.Ν.Υ. στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει το Ε.Δ.Υ.Τ.Ε.. Στο πλαίσιο αυτό το Ε.Δ.Υ.Τ.Ε. ιδίως συνδράμει το ΚΕΤΚΝΥ για τη διενέργεια της απαιτούμενης από τις διατάξεις του άρθρου 35 του ΓΚΠΔ εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
ζ) Θέτει στη διάθεση του Υπουργείου Υγείας και του ΚΕ.ΤΕ.Κ.Ν.Υ. κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων που διενεργούνται από το Υπουργείο Υγείας, ιδίως, μέσω του Υπευθύνου Προστασίας Δεδομένων (DPO) και υπαλλήλων της Αυτοτελούς Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης του Υπουργείου Υγείας, ή από άλλον ελεγκτή εντεταλμένο από το Υπουργείο Υγείας.
η) Ενημερώνει το Υπουργείο Υγείας και το ΚΕΤΚΝΥ, ως υπεύθυνους επεξεργασίας από κοινού, αμελλητί, στην περίπτωση που αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις του άρθρου 33 του ΓΚΠΔ.
θ) Το Ε.Δ.Υ.Τ.Ε. διαλειτουργεί με ασφάλεια με τα συστήματα που έχουν αναπτυχθεί από το ίδιο το Ε.Δ.Υ.Τ.Ε., από το ΚΕ.ΤΕ.Κ.Ν.Υ., από το Υπουργείο Υγείας και από τις μονάδες νοσηλείας. Εφόσον τερματιστεί η εκτέλεση επεξεργασίας σχετικά με τη λειτουργία του ειδικού λογισμικού-Grouper από το Ε.Δ.Υ.Τ.Ε. και, μετά από αίτημα του ΚΕ.ΤΕ.Κ.Ν.Υ., υποχρεούται να διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ευρωπαϊκής Ένωσης ή το εθνικό δίκαιο απαιτεί την αποθήκευση των δεδομένων, συντάσσοντας σχετικό πρωτόκολλο.
ι) Η επεξεργασία όλων των δεδομένων από το ειδικό λογισμικό-Grouper υποστηρίζεται από τα υφιστάμενα συστήματα ασφαλείας, καθώς και τις υφιστάμενες σχετικές διαδικασίες του Ε.Δ.Υ.Τ.Ε. Το Ε.Δ.Υ.Τ.Ε. έχει παραχωρήσει κανάλι επικοινωνίας μόνο με το ΚΕ.ΤΕ.Κ.Ν.Υ. της εικονικής μηχανής, όπου είναι εγκατεστημένο το ειδικό λογισμικό-Grouper και αναλαμβάνει την υποχρέωση να διασφαλίζει την πρόσβαση στην εικονική μηχανή μόνο σε εξουσιοδοτημένους υπαλλήλους του και μόνο για το σκοπό της παροχής τεχνικής υποστήριξης της ομαλής λειτουργίας του ειδικού λογισμικού-Grouper.

Άρθρο 8
Τρίτοι και Αποδέκτες

1. Ως τρίτοι υπό την έννοια της περ. 10 του άρθρου 4 του ΓΚΠΔ ορίζονται όλες οι μονάδες νοσηλείας που καταχωρίζουν δεδομένα στο ειδικό λογισμικό-Grouper. Οι τρίτοι είναι υπεύθυνοι ως προς την τήρηση των αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα δικά τους συστήματα, αλλά και ως προς την τήρηση των υποχρεώσεων που διέπουν το ρόλο του Υπευθύνου Επεξεργασίας των δικών τους πληροφοριακών συστημάτων, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός 679/2016 ΕΕ) και τον ν. 4624/2019 (Α’ 137) και τυχόν ειδικότερη νομοθεσία. Προκειμένου να επιτευχθεί η διασύνδεση με το ειδικό λογισμικό-Grouper, τα μεν νοσοκομεία του ΕΣΥ υποχρεούνται στην τήρηση όλων των εντολών-προδιαγραφών διασύνδεσης με το ειδικό λογισμικό-Grouper που έχει διαμορφώσει το ΚΕ.ΤΕ.Κ.Ν.Υ. και τους διαβιβάζει το Υπουργείο Υγείας, οι δε ιδιωτικές κλινικές συνάπτουν σύμβαση με το ΚΕ.ΤΕ.Κ.Ν.Υ., προκειμένου να λάβουν τις τεχνικές προδιαγραφές διασύνδεσης με το ειδικό λογισμικό-Grouper.

2. Αποδέκτες, υπό την έννοια της περ. 9 του άρθρου 4 του ΓΚΠΔ, των δεδομένων προσωπικού χαρακτήρα που έχουν καταχωριστεί στο ειδικό λογισμικό-Grouper και των δεδομένων που προκύπτουν από την επεξεργασία των δεδομένων είναι: τα ίδια τα υποκείμενα των δεδομένων, οι εκάστοτε αρμόδιες υπηρεσίες του ΚΕ.ΤΕ.Κ.Ν.Υ. και του Υπουργείου Υγείας, ως υπεύθυνοι επεξεργασίας, για την άσκηση των εκ του νόμου αρμοδιοτήτων τους, το Ε.Δ.Υ.Τ.Ε. για το σκοπό της λειτουργίας του ειδικού λογισμικού-Grouper, ο εκάστοτε θεράπων ιατρός ή άλλος επαγγελματίας υγείας και το ειδικά διαπιστευμένο διοικητικό προσωπικών των μονάδων νοσηλείας, καθώς και επαγγελματίες υγείας και δημόσιες αρχές, για το σκοπό εκπλήρωσης δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας.

3. Οι δημόσιες αρχές που ενδέχεται να λάβουν πληροφορίες στο πλαίσιο συγκεκριμένης έρευνας, για την εκπλήρωση της κύριας αποστολής τους, σύμφωνα με το ενωσιακό δίκαιο ή εθνικές ρυθμίσεις, δεν θεωρούνται ως αποδέκτες. Η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τις κείμενες διατάξεις για την προστασία των δεδομένων, ανάλογα με τους σκοπούς της επεξεργασίας.

4. Οι υπηρεσίες του ΚΕ.ΤΕ.Κ.Ν.Υ. και του Υπουργείου Υγείας και οι εποπτευόμενοι από το Υπουργείο Υγείας φορείς ή, ενδεχομένως, άλλοι φορείς του Δημοσίου ή διεθνείς οργανισμοί, κατά τον λόγο της αρμοδιότητάς τους, δύνανται να λαμβάνουν από το ειδικό λογισμικόGrouper ψευδωνυμοποιημένες ή ανωνυμοποιημένες πληροφορίες, από τις οποίες δεν μπορεί να προκύψει άμεση ή έμμεση ταυτοποίηση των ενδιαφερόμενων υποκειμένων, για σκοπούς που καθιστούν την εν λόγω επεξεργασία (διαβίβαση) απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.

5. Οποιαδήποτε δημόσια αρχή ή οργανισμός (όπως ο ΕΟΠΥΥ, κ.ά.) συμφωνηθεί να διασυνδεθεί με το ειδικό λογισμικό-Grouper, συνάπτει σύμβαση με το ΚΕ.ΤΕ.Κ.Ν.Υ., όπου ορίζεται ο τρόπος και ο σκοπός της διασύνδεσης, τηρουμένων όσων ορίζει ο νόμος και η παρούσα.

Άρθρο 9
Τρόπος εισόδου χρηστών

Το ΚΕ.ΤΕ.Κ.Ν.Υ. αποστέλλει σε κάθε μονάδα νοσηλείας διαπιστευτήρια («Credentials»: User Name και Password) με τα οποία θα πρέπει να εισέλθουν τα εξουσιοδοτημένα προς τούτο πρόσωπα, υπάλληλοι δηλαδή των μονάδων νοσηλείας και συνεργάτες με οποιαδήποτε σχέση με τις μονάδες νοσηλείας (εφεξής: χρήστες), στην εφαρμογή Διαχείρισης Χρηστών, ώστε να παραλάβουν τον «μυστικό κωδικό ταυτοποίησης της εφαρμογής ΑpiKey» και τον κωδικό του φορέα, στοιχεία που πρέπει να ενσωματώνονται στην επικεφαλίδα κάθε κλήσης. Μέσα από την πιο πάνω εφαρμογή υπάρχει η δυνατότητα αλλαγής του «μυστικού κωδικού ApiKey». Σε περίπτωση αλλαγής του «μυστικού αριθμού ApiKey» ο συγκεκριμένος κωδικός θα αντικαθιστά τον προηγούμενο σε κάθε κλήση προς το ειδικό λογισμικό-Grouper, ώστε αυτή να γίνει αποδεκτή. Το ειδικό λογισμικό-Grouper επικοινωνεί με το σύστημα της εκάστοτε μονάδας νοσηλείας μέσω μοναδικού αριθμού αναγνώρισης («ID Record Number»), που χορηγείται μέσω αυτοματοποιημένης διαδικασίας από το ΚΕ.ΤΕ.Κ.Ν.Υ. Η διαδικασία εξακρίβωσης/ εξουσιοδότησης υλοποιείται μέσω Διεπαφής τύπου M2M («Machine-toMachine»), η οποία θα ελέγχει αυτοματοποιημένα την εγκυρότητα των Διαπιστευτηρίων, ώστε να ξεκινήσει η επικοινωνία των συστημάτων. Οι συγκεκριμένοι κωδικοί οφείλουν να διαθέτουν υψηλό βαθμό δυσκολίας, παραχωρούνται αρχικά από το ΚΕ.ΤΕ.Κ.Ν.Υ., ενώ στη συνέχεια οι χρήστες του ειδικού λογισμικού-Grouper έχουν την δυνατότητα αλλαγής τους. Οι μονάδες νοσηλείας οφείλουν να διατηρούν κατάλογο χρηστών που κρυπτογραφούν, εισάγουν και στέλνουν δεδομένα στο ειδικό λογισμικό-Grouper. Δεν νοείται χρόνος παραμονής στο ειδικό λογισμικό-Grouper, διότι η διασύνδεση με αυτό λαμβάνει χώρα μέσω ανταλλαγής μηνυμάτων.

Άρθρο 10
Τεχνικά μέτρα για την ασφάλεια των προσωπικών δεδομένων

1. Οι χρήστες, για να μπορέσουν να καταχωρίζουν δεδομένα της μονάδας νοσηλείας τους στο ειδικό λογισμικό-Grouper, χρησιμοποιούν σύστημα κρυπτογράφησης, το οποίο δεν επιτρέπει την επιστροφή σε προηγούμενη καταχώριση (μονόδρομη κρυπτογράφηση), για τα εξής δεδομένα προσωπικού χαρακτήρα: τον ΑΜΚΑ του ασθενή και τον αριθμό του περιστατικού. Ειδικότερα χρησιμοποιούν την υποδομή ασύμμετρης κρυπτογράφησης Δημόσιου Κλειδιού, η οποία συνίσταται σε συνδυασμό λογισμικού, υπηρεσιών και τεχνολογιών κρυπτογραφίας. Οι πληροφορίες αυτές παραμένουν κρυπτογραφημένες σε όλη την ροή των δεδομένων και το ΚΕ.ΤΕ.Κ.Ν.Υ. δεν έχει τη δυνατότητα αποκρυπτογράφησης και ταυτοποίησης του περιστατικού με το φυσικό πρόσωπο το οποίο αφορά. Το ΚΕ.ΤΕ.Κ.Ν.Υ. στέλνει πίσω στις μονάδες νοσηλείας την ομάδα DRG κάθε περιστατικού, όπως έχει προκύψει από την ταξινόμηση των δεδομένων που πραγματοποιεί το ειδικό λογισμικό-Grouper. Στη συνέχεια οι μονάδες νοσηλείας αξιοποιούν κατάλληλα την πληροφορία που έχουν λάβει από το ΚΕ.ΤΕ.Κ.Ν.Υ., σε χρόνο και με τρόπο που θα επιλέξουν, έχοντας πλήρη την ευθύνη για την ακεραιότητα των δεδομένων.

Άρθρο 11
Τρόπος διασύνδεσης με ειδικό λογισμικό-Grouper

1. Τα πληροφοριακά συστήματα των μονάδων νοσηλείας έχουν πρόσβαση στο ειδικό λογισμικό-Grouper μέσω διασύνδεσης M2M (machine-to-machine), η οποία είναι διαθέσιμη μέσω προκαθορισμένης διεπαφής (C2). Αυτή η διεπαφή ακολουθεί το πρότυπο REST, καθορίζει τις μεθόδους πρόσβασης, αλλά και το πρωτόκολλο επικοινωνίας μεταξύ των συστημάτων.
Το ειδικό λογισμικό-Grouper (C3) χρησιμοποιεί υπηρεσίες JEE και φιλοξενείται σε έναν διακομιστή εφαρμογών, ο οποίος παρέχει αυτές τις υπηρεσίες και λειτουργεί πίσω από έναν εξυπηρετητή, ο οποίος εξασφαλίζει την ασφαλή επικοινωνία και ελέγχει όλα τα εισερχόμενα αιτήματα και τις αντίστοιχες απαντήσεις, μόνο προς και από εξουσιοδοτημένα συστήματα των μονάδων νοσηλείας. Για να συνδεθούν με το ειδικό λογισμικό-Grouper oι μονάδες νοσηλείας πρέπει να έχουν τα απαραίτητα Διαπιστευτήρια, με βάση τα οποία θα λάβουν ένα διακριτικό ασφαλείας (με καθορισμένη διάρκεια ισχύος) για να το χρησιμοποιήσουν σε κάθε κλήση μεθόδου, όπως ορίζεται και στο άρθρο 9 της παρούσας. Οι κλήσεις του ειδικού λογισμικού-Grouper γίνονται από τα πληροφοριακά συστήματα των μονάδων νοσηλείας μέσω μιας πλήρως προδιαγεγραμμένης και ασφαλούς διαδικασίας.

Άρθρο 12
Προσδιορισμός των ρόλων των χρηστών του ειδικού λογισμικού-Grouper

1. Η εκάστοτε μονάδα νοσηλείας, ως Υπεύθυνος επεξεργασίας για το δικό της πληροφορικό σύστημα, θεσπίζει εσωτερικές πολιτικές και κανονισμούς, προκειμένου να διασφαλίζει τουλάχιστον ότι τα δεδομένα και οι συσχετίσεις τους δεν αποκαλύπτονται σε τρίτους μη εξουσιοδοτημένους φορείς ή πρόσωπα και ότι η πρόσβαση στα δεδομένα και η επεξεργασία επιτρέπονται μόνο με χρήση κατάλληλων διαπιστευτηρίων, από προσωπικό που έχει τις απαραίτητες εξουσιοδοτήσεις τους χρήστες.

2. Οι διαβιβάσεις δεδομένων πραγματοποιούνται με κρυπτογράφηση και κάθε χρήστης του ειδικού λογισμικού-Grouper επεξεργάζεται μόνο τα δεδομένα που είναι απαραίτητα για την εκπλήρωση των καθηκόντων του. Οι χρήστες, υπό την άμεση εποπτεία των Υπεύθυνων Επεξεργασίας, δεσμεύονται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των εν λόγω καθηκόντων τους, σύμφωνα με τις οικείες διατάξεις, ιδίως του Υπαλληλικού Κώδικα και του Ποινικού Κώδικα.

3. Οι χρήστες έχουν πρόσβαση στο σύνολο των πληροφοριών των περιστατικών της μονάδας νοσηλείας τους, οι οποίες προσδιορίζονται από τις ισχύουσες διατάξεις για τη διαδικασία και τον τρόπο αποστολής στοιχείων διοικητικού και ιατρικού φακέλου ασθενών από τις μονάδες νοσηλείας.

4. Τα υποκείμενα των δεδομένων έχουν δικαίωμα πρόσβασης στις πληροφορίες που τους αφορούν και επεξεργάζονται οι μονάδες νοσηλείας, σύμφωνα με τα οριζόμενα στο άρθρο 15 του ΓΚΠΔ και όλα τα δικαιώματα που κατοχυρώνονται στον ΓΚΠΔ και την κείμενη εθνική νομοθεσία.

Άρθρο 13
Προστασία και άσκηση των δικαιωμάτων των υποκειμένων

1. Έκαστος φορέας είναι υπεύθυνος για την προστασία των δικαιωμάτων των υποκειμένων και την άσκηση των δικαιωμάτων τους. Ειδικότερα σχετικά με την πληροφόρηση των υποκειμένων των δεδομένων, η εφαρμογή των μεθόδων ανωνυμοποίησης/ψευδωνυμοποίησης και της κρυπτογράφησης από μέρους των μονάδων νοσηλείας και της επεξεργασίας μόνο των ήδη ανωνυμοποιημένων/ψευδωνυμοποιημένων και κρυπτογραφημένων δεδομένων από το ΚΕ.ΤΕ.Κ.Ν.Υ. συνεπάγεται την ανωνυμοποίηση των δεδομένων, έτσι ώστε το ΚΕ.ΤΕ.Κ.Ν.Υ. να απαλλάσσεται της σχετικής υποχρέωσης για δεδομένα προσωπικού χαρακτήρα ασθενών. Οι μονάδες νοσηλείας οφείλουν να ενημερώνουν σχετικά τα υποκείμενα των δεδομένων, καθώς η ενημέρωση των υποκειμένων αφορά στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα μέχρι και το στάδιο της κρυπτογράφησης/ ανωνυμοποίησης. Αυτό συνεπάγεται ότι το δικαίωμα των υποκειμένων κατ’ αρχήν ασκείται προς τις μονάδες νοσηλείας.

2. Τα δικαιώματα των υποκειμένων σχετικά με τα προσωπικά τους δεδομένα όπως κατοχυρώνονται από τις εφαρμοστέες διατάξεις του ΓΚΠΔ, ασκούνται στις μονάδες νοσηλείας, ως υπεύθυνων επεξεργασίας. Οι Υπεύθυνοι Προστασίας Δεδομένων του ΚΕ.ΤΕ.Κ.Ν.Υ. και του Υπουργείου Υγείας, ως υπεύθυνων επεξεργασίας από κοινού, παρακολουθούν τη συμμόρφωση του Ε.Δ.Υ.Τ.Ε. και των μονάδων νοσηλείας στη σύμφωνη με τις διατάξεις του ΓΚΠΔ επεξεργασία δεδομένων που αφορούν τη λειτουργία του ειδικού λογισμικού-Grouper, σε συνεργασία με τον Υπεύθυνο Προστασίας Δεδομένων του Ε.Δ.Υ.Τ.Ε., ως εκτελούντος την επεξεργασία, και των Υπεύθυνων Προστασίας Δεδομένων των μονάδων νοσηλείας, ως τρίτων.

3. Ως σημείο επικοινωνίας των υποκειμένων των δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους, ορίζεται ο Υπεύθυνος Προστασίας Δεδομένων κάθε φορέα.».

Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.

Αθήνα, 24 Μαΐου 2021

Οι Υπουργοί

Αναπληρωτής Υπουργός Υγείας
ΒΑΣΙΛΕΙΟΣ ΚΟΝΤΟΖΑΜΑΝΗΣ

Επικρατείας
ΚΥΡΙΑΚΟΣ ΠΙΕΡΡΑΚΑΚΗΣ