Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

21 februarie 2018

Spitale, clinici medicale, cabinete particulare, industrii ce oferă servicii complementare domeniului medical sau orice altă instituție cu activități specifice trebuie să îndeplinească normele reglementării europene (GDPR).

Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

Cu excepția obiectivelor de cercetare, toate datele colectate de aceste segmente de activitate sunt supuse regulilor GDPR, cu atât mai mult cu cât informațiile pe care le dețin sunt confidențiale și extrem de sensibile.

Care sunt tipurile de date direct vizate pentru sistemul medical în contextul aplicării normelor GDPR?

  • Datele care vizează starea de sănătate = sunt definite ca fiind datele personale, ce includ caracteristici fizice, psihice sau mentale ale unei persoane în raport cu serviciile medicale oferite de o instituție medicală, aceasta din urmă fiind cea care le transformă în statusuri ale sănătății unei persoane.
  • Date genetice = trăsături de natură fizică, precum imagini care pot oferi recunoașterea facială sau semnătura pacientului
  • Date biometrice

Ceea ce este foarte interesant în acest context este faptul că o dată cu aplicarea normelor GDPR, atât drepturile, cât și provocările sunt, deopotrivă, mai mari. De exemplu, există dreptul la portabilitate, ceea ce înseamnă că fiecare pacient are dreptul la accesarea propriului dosar, primit în condiții care să îi permită să îl distribuie facil, precum și Right to be Forgotten, ceea ce presupune că, la cerere, instituția medicală este obligată să șteargă informațiile pacientului din bazele sale de date.

Care sunt canalele prin care o instituție medicală culege și operează cu date personale?

  • Aplicații software (dedicate programărilor, managementul dosarului pacientului, gestionării stocurilor de medicamente/materiale necesare, de resurse umane, de facturare, contabilitate, acces rezultate analize)
  • Website-uri (prin formulare de colectare a feedback-urilor pacienților, formulare dedicate programărilor, widget-uri de instant messaging, acces rezultate analize)
  • Aplicații mobile derivate, care sprijină interacțiunea cu pacienții
  • Call-center
  • Prin colectarea datelor, prin intermediul fișelor pacienților sau prin chestionarele fizice, regăsite în recepții sau în rezerve

Canalele cu cel mai mare risc de expunere a datelor:

Securitatea datelor în industria medicală

Întrucât domeniul medical este unul considerat extrem de sensibil, atenția la protejarea informațiilor care intră în sistemele centralizate este esențială.

În luna mai a anului 2017, spitalele din toată lumea s-au aflat în centrul unor atacuri cibernetice extrem de serioase, care au afectat din toate punctele de vedere activitatea medicală: programările au fost anulate, inclusiv pentru intervenții chirurgicale, iar activitatea generală a fost compromisă până la rezolvarea problemelor apărute.

Ce se întâmplă în cazul aceste norme nu sunt respectate?

În cazul în care companiile nu îndeplinesc normele GDPR, amenzile sunt de maxim 20 de milioane de Euro sau 4% din cifra de afaceri din anul anterior. Industria medicală nu este deloc menajată, ci extrem de vizată. În UK, cea mai mare amendă dată unei companii medicale a fost de 235.000£, după ce computerele care stocau date despre pacienți a fost furate din spitalele rețelei medicale.

Care sunt pașii recomandați a fi efectuați cât mai repede în perioada următoare?

  • Stabilirea fluxurilor interne de lucru și definirea zonelor, persoanelor și departamentelor care înregistrează și lucrează cu datele personale ale pacienților.
  • În funcție de dimensiunea unității sau rețelei medicale, desemnarea unui consultant sau a unui angajat specializat, responsabil cu protecția datelor și cu normarea fluxurilor de lucru.
  • Actualizarea politicilor interne, a procedurilor, documentelor, formularelor și modului în care acestea sunt arhivate.
  • Informarea personalului angajat sau colaborator despre aceste norme și despre impactul lor asupra bunei funcționări a instituției medicale.
  • Definirea riscurilor posibile prin tipologia de fluxuri de lucru
  • Definirea modalității prin care pacienții pot avea acces la toate datele pe care clinica sau spitalul le deține (exportul automat)
  • Înștiințarea pacientului cu privire la companiile terțe care au acces la datele persoanele (ex. în cazul medicilor colaboratori, serviciilor externalizate etc.)
  • Implementarea normelor conform Data Protection Assesment (Articolul 35)
  • Implementarea protocoalelor de securitate ce vizează amenințări și vulnerabilități
  • Controlul regulat al modalității prin care se asigură confidențialitatea datelor și integritatea pacienților

 

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare
Softlead

Kaspersky prezintă o soluție cloud creată pentru a contracara trișatul în domeniul eSports

Kaspersky a făcut primul pas în protejarea fair play-ului în domeniul eSports: compania a introdus o versiune beta a noii sale soluții Kaspersky Anti-Cheat pentru a ajuta organizatorii să combată trișorii. Cu această nouă ofertă cloud, Kaspersky detectează în timp real tentativele de a trișa și furnizează rapoarte automate clientului, care poate apoi să ia o decizie ...

Citește articolul arrow_forward
Softlead

SAP Business One HANA, tranzacţional şi analitic într-o singură platformă

Dacă aveţi în plan implementarea SAP Business One, trebuie să decideţi ce versiune a sistemului ERP alegeţi. În funcţie de tipul bazei de date, aveţi două opţiuni: SAP Business One pentru Microsoft SQL (baza de date relaţională standard) sau SAP Business One pentru SAP HANA (baza de date pe tehnologie in-memory computing). 

Citește articolul arrow_forward
Softlead

De ce e nevoie de normarea industriei de robotică?

Era digitală înseamnă, printre multe altele, şi automatizarea extinsă a proceselor robotice (RPA). Tehnologia scuteşte oamenii de efectuarea unor ore nenumărate de sarcini repetitive şi secvenţiale, fără o mare valoare adăugată. Însă aceşti “boţi” care definesc automatizarea nu înseamnă şi scutirea de existenţa unor ameninţări de natură informatic...

Citește articolul arrow_forward