NIK: tylko prywatne laboratoria genetyczne stosowały procedury wymagane standardami jakości
Najwyższa Izba Kontroli zajęła się podmiotami leczniczymi, których laboratoria wykonują badania genetyczne. Laboratoria tylko dwóch z sześciu kontrolowanych podmiotów leczniczych – Medgen i Invicta, opracowały, wdrożyły i stosowały kompletne procedury w zakresie czynności laboratoryjnej genetyki medycznej wymagane standardami jakości.
Chodzi o procedury zlecania badania, pobierania, transportu, przyjmowania próbek materiału genetycznego, metod diagnostycznych, jakości oraz przedstawiania i wydawania sprawozdań z badań.
NIK skontrolowała szczegółowo sześć podmiotów leczniczych – trzy instytuty badawcze, jeden samodzielny publiczny szpital oraz dwa podmioty gospodarcze prowadzące podmioty lecznicze w formie spółek prawa handlowego.
W okresie objętym kontrolą jednostki te wykonały łącznie ponad 87 tysięcy badań genetycznych (w tym 39,9 tysiąca badań o wartości ogółem prawie 14,5 mln zł w ramach kontraktów z NFZ) oraz zleciły wykonanie ponad 8 tysięcy badań genetycznych podmiotom zewnętrznym, z powodu braku możliwości technicznych realizacji ich we własnym zakresie.
Podmioty te zapewniły określone w przepisach dla medycznych laboratoriów diagnostycznych warunki przeprowadzania badań genetycznych, a pięć z nich zapewniło również poradnictwo genetyczne dla pacjentów. Laboratoria dysponowały wykwalifikowaną kadrą oraz specjalistyczną aparaturą dostosowaną do rodzaju wykonywanych badań, z wyjątkiem jednego podmiotu leczniczego, którym był Instytut Hematologii i Transfuzjologii, w którym na stanowiskach kierowników i diagnostów laboratoryjnych zatrudniono osoby nieposiadające wymaganych kwalifikacji.
Każdy z kontrolowanych podmiotów leczniczych w odmienny sposób zorganizował proces wykonywania badań genetycznych i ochronę danych genetycznych pacjentów na każdym etapie tego procesu.
Wszystkie kontrolowane podmioty lecznicze przechowywały materiał genetyczny i dane pacjentów po wykonaniu badania (od kilku do kilkunastu tysięcy próbek DNA pacjentów). Jeden z podmiotów przechowywał próbki DNA nawet z lat osiemdziesiątych XX wieku. Chociaż nie obowiązują przepisy regulujące funkcjonowanie biobanków, NIK podkreśliła, że cztery spośród sześciu kontrolowanych podmiotów leczniczych nie posiadało regulacji wewnętrznych określających strukturę i zasady funkcjonowania biobanku, a także w jakim celu i jak długo dane genetyczne pacjentów będą zbierane i przetwarzane.
W czterech podmiotach nie przyjęto odrębnych regulacji wewnętrznych określających szczegółowe zasady postępowania z danymi osobowymi pacjentów na każdym etapie procesu wykonywania badań genetycznych i zapewnienia ich bezpieczeństwa w zakresie zarządzania, przetwarzania i niszczenia danych genetycznych.
Kontrolerzy stwierdzili również naruszenie przepisów ustawy o ochronie danych osobowych poprzez niedopełnienie przez administratorów danych osobowych obowiązku informowania pacjentów o celu zbierania i przechowywania pobranych próbek i danych genetycznych pacjentów.
Kierownicy czterech kontrolowanych jednostek, jako administratorzy danych osobowych, nie zapewnili odpowiednich środków technicznych i organizacyjnych gwarantujących ochronę danych osobowych pacjentów oraz wyników badań genetycznych. W efekcie istniało ryzyko nieuprawnionego ujawnienia danych osobowych. Przykładowo w jednym podmiocie leczniczym transportem próbek z materiałem do badania wraz z niezabezpieczoną dokumentacją pacjentów zajmowali się pracownicy serwisu sprzątającego firmy zewnętrznej, świadczącej na rzecz szpitala między innymi usługę transportu wewnątrzszpitalnego.
NIK po przeprowadzeniu kontroli skierowała do ministra wnioski o doprowadzenie do stworzenia, w ramach opieki zdrowotnej, systemu opieki genetycznej, który określałby zasady wykonywania badań genetycznych, poradnictwa genetycznego, ochrony danych genetycznych oraz bankowania i wykorzystania materiału genetycznego, a także przeprowadzanie kontroli podmiotów leczniczych działających w obszarze badań genetycznych pod kątem bezpieczeństwa tych badań oraz podejmowanie działań edukacyjnych mających na celu podniesienie świadomości społeczeństwa w zakresie bezpieczeństwa badań genetycznych.
Badania genetyczne stanowią integralną część współczesnej medycyny. Umożliwiają nie tylko precyzyjną diagnozę choroby, ale także dostosowanie terapii, dobór właściwych leków czy wgląd w przyszły stan zdrowia. Analiza informacji genetycznej umożliwia identyfikację osoby, a wynik badania dotyczy nie tylko samego pacjenta, lecz także osób spokrewnionych.
Od kilku lat obserwuje się wzrost liczby oferowanych i wykonywanych testów genetycznych. Wzrasta zainteresowanie DNA, nie tylko naukowców przeprowadzających analizy materiału DNA, ale również przemysłu farmaceutycznego oferującego coraz bardziej popularne terapie spersonalizowane dostosowane do potrzeb genetycznych pacjenta, ubezpieczycieli i pracodawców. Dlatego, jak podkreśla NIK, istnieje konieczność ustanowienia ram prawnych stosowania biomedycyny i genetyki, w tym reguł przeprowadzania badań genetycznych z zachowaniem standardów bezpieczeństwa i poufności informacji genetycznych.
W ostatnich kilkunastu latach wiele państw europejskich wprowadziło regulacje prawne normujące wykonywanie badań genetycznych. W Austrii od kilkudziesięciu lat obowiązuje ustawa o technikach genetycznych, a ostatnio badania genetyczne zostały uregulowane w Czechach.
W naszym kraju ciągle nie ma przepisów regulujących kompleksowo obszar genetyki, w tym wykonywanie badań genetycznych. Obowiązujące regulacje w bardzo ograniczonym zakresie odnoszą się bezpośrednio do badań genetycznych, dodatkowo są rozsiane po różnych aktach prawnych (przynajmniej w siedmiu różnych ustawach). Dane genetyczne traktuje się jako dane osobowe podlegające ochronie na podstawie ustawy o ochronie danych osobowych, przy czym ustawa posługuje się sformułowaniem „kod genetyczny”, oznaczającym tak naprawdę zasadę kodowania informacji genetycznej, a nie samą informację. W związku z tym ochronie podlega nie informacja genetyczna, a kod genetyczny, który jest wspólny dla wszystkich.
Obowiązujące przepisy prawne nie określają grupy podmiotów, które mogą oferować i wykonywać badania genetyczne. W obecnym stanie prawnym badania genetyczne wykonywane są przez laboratoria genetyczne, w tym funkcjonujące w zakładach opieki zdrowotnej, niepublicznych zakładach opieki zdrowotnej oraz podmioty prywatne oferujące/wykonujące badania poza systemem ochrony zdrowia. Podmioty prywatne mogą oferować dowolne testy genetyczne, w dowolnym zakresie i dotyczące dowolnie wybranych chorób genetycznych, tylko na zasadzie zgłoszenia działalności gospodarczej, bez konieczności posiadania własnego laboratorium, uzyskania opinii ekspertów genetyki medycznej, posiadania państwowego certyfikatu czy też poddawania się kontroli.
NIK podkreśla, że założenia regulacji prawnych ograniczają się do testów genetycznych wykonywanych dla celów zdrowotnych, wyłączona została z prac problematyka biobankowania czyli gromadzenia i przechowywania próbek pobranego materiału biologicznego oraz danych pacjenta. Zdaniem NIK, regulacje prawne powinny obejmować wszystkie aspekty związane z wykonywaniem badań genetycznych, w tym wykraczające poza sferę publicznej opieki zdrowotnej.
25 maja 2018 roku zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016 r.) – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), które wprowadza do porządku prawnego pojęcie danych genetycznych (art. 4 ust. 13) definiując je, jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
RODO określa między innymi podstawy prawne przetwarzania danych oraz nakłada na administratora danych osobowych szereg obowiązków, w tym obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w takim zakresie aby wykazać, że przetwarzanie odbywa się zgodnie z RODO uwzględniając charakter, zakres, kontekst przetwarzania, cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (w razie potrzeby zastosowane środki są aktualizowane i poddawane przeglądom), dokumentowania naruszenia ochrony danych osobowych.
Obecnie trwają prace nad nowelizacją ustawy o ochronie danych osobowych i regulacjami w tym zakresie w celu dookreślenia, w granicach dopuszczalnych przez RODO, krajowego systemu ochrony danych osobowych.