Na Informacijskega pooblaščenca je bilo naslovljeno vprašanje glede potrebe po šifriranju elektronskih sporočil, ki vsebujejo različne zdravstvene podatke.
Novi ZVOP-2 sicer za razliko od ZVOP-1 ne določa izrecne obveznosti šifriranja elektronske pošte s posebnimi vrstami osebnih podatkov, med katere sodijo zdravstveni podatki, a Splošna uredba v prvem odstavku 32. člena med primeroma naštetimi ukrepi za varnost obdelave določa tudi šifriranje osebnih podatkov. Ker ne gre za absolutno zahtevo, mora vsak upravljavec oz. izvajalec zdravstvene dejavnosti za konkreten primer presoditi, ali je šifriranje ustrezen ukrep zagotavljanja varnosti.
Izvajalec zdravstvene dejavnosti mora zdravstveno dokumentacijo varno posredovati zakonitemu uporabniku. To pomeni, da se dokumentacija pravilno odpremi le upravičenemu uporabniku, da so podatki dostopni in na razpolago, da se podatki po poti ne spremenijo ali uničijo ter zlasti, da vsebina podatkov med potjo ni na voljo neupravičenim osebam. Zadnji dve zahtevi se načeloma zagotavljata s šifriranjem posredovane vsebine preko elektronske pošte ali druge informacijske rešitve, namenjene komunikaciji s pacienti.
Šifriranje elektronske pošte, ki vsebuje zdravstvene podatke, je načeloma potrebno v primeru, kadar to narekujejo konkretne varnostne okoliščine, na kar predvsem vpliva obseg in občutljivost osebnih podatkov ter vprašanje določljivosti posameznika.
Šifriranje se priporoča, ker je dostopno in relativno enostavno izvedljivo in ker gre za učinkovito metodo preprečevanja hudih posledic varnostnih dogodkov (npr. sporočilo prejme napačen naslovnik). Informacijski pooblaščenec prav tako poudarja, da gre za splošno varnostno zahtevo, zato se pacient ukrepa šifriranja ne more odpovedati.
Celotno mnenje Informacijskega pooblaščenca številka 07121-1/2023/1341 z dne 23. 10. 2023 je dostopno tukaj.