GDPR in serviciile medicale. Implementarea programului de conformitate.

Article GDPR in serviciile medicale | Program de conformitate GDPR |Decalex

Conform GDPR, datele de sănătate sunt considerate o categorie specială de date cu caracter personal, fiind necesar implementarea unui program de conformitate cu prevederile Regulamentului mult mai amplu, decat alte industrii.

GDPR definește datele cu caracter personal legate de sănătate ca: „date cu caracter personal legate de sănătatea fizică sau psihică a unei persoane, inclusiv furnizarea de servicii de îngrijire a sănătății, care dezvăluie informații despre starea lor de sănătate." Alte date cu caracter personal din categoria specială includ detalii precum convingerile unei persoane, originile etnice, informațiile genetice și alte informații detaliate semnificative.

Pentru a prelucra în mod legal datele de categorie specială, trebuie identificate atât un temei juridic în temeiul articolului 6 GDPR, cât și o condiție separată pentru prelucrarea în temeiul articolului 9 GDPR.

Intrucat sectorul sănătății gestionează unele dintre cele mai sensibile date iar pacienții au dreptul să se aștepte ca informațiile să fie bine protejate de personalul medical, va prezentăm mai jos cei mai importanți 3 pași de aplicat in strategia de conformitate:

1.   Furnizorii de servicii medicale trebuie să efectueze o evaluare amănunțită a modului în care personalul are acces la informațiile din dosarele de sănătate și a riscurilor pe care le include accesarea datelor pacientului, în conformitate si cu legea romana privind datele pacientului.

2.   Să aplice măsuri adecvate pentru a asigura și a putea demonstra un nivel suficient de securitate pentru datele cu caracter personal din sistemele electronice de evidență medicală.

3.   Să realizeze analiza de risc cu scopul de a garanta pacienților confidențialitatea informațiilor.

Cum stabilești costul programului de conformitate GDPR în sistemul medical

1) Costul activităților preliminare

Articolul 5 impune operatorului de date să demonstreze propria conformitate cu cerințele GDPR. Aceasta înseamnă că operatorul de date trebuie să cunoască și să țină evidența propriei conformități.

Prin urmare, unul dintre primii pași pentru a începe este așa-numitul auditului sau analiza GAP pentru a înțelege mai bine de unde ar trebui să înceapă implementarea conformității GDPR.

2) Costul instruirii, educației și literaturii

Pentru a implementa GDPR, operatorul de date va trebui să instruiască toate persoanele implicate în prelucrarea datelor. Acesta este un element cheie al implementării GDPR, deoarece este singura modalitate de a respecta cu adevărat principiile confidențialității prin proiectare și confidențialitate în mod implicit, astfel cum sunt stabilite de articolul 25, care se referă la măsurile organizatorice care trebuie luate. Deci, personalul și conducerea implicată în procesarea datelor trebuie să fie instruiți.

3) Costul tehnologiei

Costul tehnologiei va varia în funcție de industrie, dimensiunile afacerii și organizația specifică. Întrucât implementarea GDPR se bazează pe multe elemente diferite, atât tehnice, cât și organizaționale, nu există niciun software care să facă o companie compatibilă cu GDPR printr-un singur click.

Prin urmare, va trebui să vă gândiți dacă achiziționarea de software sau actualizarea hardware-ului  vă va permite să creșteți nivelul de securitate al organizației și apoi să estimați costul noii actualizări de software sau hardware.

4) Costul (sau pierderea) timpului angajaților

Desigur, printre costurile implementării GDPR, va trebui să luați în considerare timpul angajaților care va fi necesar pentru instruire, învățarea noilor tehnologii și pentru a începe să lucrați conform noilor sisteme utilizate. Va dura timp pana angajații vor conștientiza riscurile si vor asimila noile proceduri si politici de prelucrare a datelor.

5) Costul menținerii conformității

GDPR presupune un program de conformitate updatat continuu, ceea ce înseamnă că organizația va trebui periodic să auditeze măsurile aplicate pentru a analiza în ce măsură acestea mai corespund cu realitatea din companie.

Costul final al programului de conformitate cu GDPR

Pentru a afla care va fi costul final, va trebui să luați în considerare cu atenție  toate elementele de cost menționate mai sus precum si alte elemente importante, cum ar fi, dimensiunea companiei, industria și tipurile de date prelucrate pot avea impact diferit asupra costurilor

Alte noutăți ce impacteaza programul GDPR în serviciile medicale

Pandemia COVID-19 a accelerat procesul de transformarea digitală în sectorul medical, fapt confirmat și prin noua reglementare a telemedicinei prin OUG 196/2020 .

Acest nou cadru legislativ a adus în atenția instituțiilor medicale aspecte noi în ceea ce privește protecția datelor pacienților precum și o răspundere mult mai mare a organizațiilor ce livrează servicii medicale atunci cand serviciile medicale sunt livrate prin intermediul telemedicinei.

Pentru informații detaliate despre conformitatea GDPR în organizațiile medicale ne puteți scrie la office@decalex.ro si unul din colegii nostri va prelua mesajul tau.

 

Share:
Cristiana Deca
Autor: Cristiana Deca Expert in protectia datelor, Privacy UX, Business Consultant
Cristiana are o experienta de 10 ani in antreprenoriat, timp in care a dezvoltat mai multe business-uri in diverse domenii. Pasionata de protectia datelor si project management, de 7 ani coordoneaza proiectele de implementare a strategiilor GDPR in companii.

PUNE O INTREBARE