Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

21 februarie 2018

Spitale, clinici medicale, cabinete particulare, industrii ce oferă servicii complementare domeniului medical sau orice altă instituție cu activități specifice trebuie să îndeplinească normele reglementării europene (GDPR).

Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

Cu excepția obiectivelor de cercetare, toate datele colectate de aceste segmente de activitate sunt supuse regulilor GDPR, cu atât mai mult cu cât informațiile pe care le dețin sunt confidențiale și extrem de sensibile.

Care sunt tipurile de date direct vizate pentru sistemul medical în contextul aplicării normelor GDPR?

  • Datele care vizează starea de sănătate = sunt definite ca fiind datele personale, ce includ caracteristici fizice, psihice sau mentale ale unei persoane în raport cu serviciile medicale oferite de o instituție medicală, aceasta din urmă fiind cea care le transformă în statusuri ale sănătății unei persoane.
  • Date genetice = trăsături de natură fizică, precum imagini care pot oferi recunoașterea facială sau semnătura pacientului
  • Date biometrice

Ceea ce este foarte interesant în acest context este faptul că o dată cu aplicarea normelor GDPR, atât drepturile, cât și provocările sunt, deopotrivă, mai mari. De exemplu, există dreptul la portabilitate, ceea ce înseamnă că fiecare pacient are dreptul la accesarea propriului dosar, primit în condiții care să îi permită să îl distribuie facil, precum și Right to be Forgotten, ceea ce presupune că, la cerere, instituția medicală este obligată să șteargă informațiile pacientului din bazele sale de date.

Care sunt canalele prin care o instituție medicală culege și operează cu date personale?

  • Aplicații software (dedicate programărilor, managementul dosarului pacientului, gestionării stocurilor de medicamente/materiale necesare, de resurse umane, de facturare, contabilitate, acces rezultate analize)
  • Website-uri (prin formulare de colectare a feedback-urilor pacienților, formulare dedicate programărilor, widget-uri de instant messaging, acces rezultate analize)
  • Aplicații mobile derivate, care sprijină interacțiunea cu pacienții
  • Call-center
  • Prin colectarea datelor, prin intermediul fișelor pacienților sau prin chestionarele fizice, regăsite în recepții sau în rezerve

Canalele cu cel mai mare risc de expunere a datelor:

Securitatea datelor în industria medicală

Întrucât domeniul medical este unul considerat extrem de sensibil, atenția la protejarea informațiilor care intră în sistemele centralizate este esențială.

În luna mai a anului 2017, spitalele din toată lumea s-au aflat în centrul unor atacuri cibernetice extrem de serioase, care au afectat din toate punctele de vedere activitatea medicală: programările au fost anulate, inclusiv pentru intervenții chirurgicale, iar activitatea generală a fost compromisă până la rezolvarea problemelor apărute.

Ce se întâmplă în cazul aceste norme nu sunt respectate?

În cazul în care companiile nu îndeplinesc normele GDPR, amenzile sunt de maxim 20 de milioane de Euro sau 4% din cifra de afaceri din anul anterior. Industria medicală nu este deloc menajată, ci extrem de vizată. În UK, cea mai mare amendă dată unei companii medicale a fost de 235.000£, după ce computerele care stocau date despre pacienți a fost furate din spitalele rețelei medicale.

Care sunt pașii recomandați a fi efectuați cât mai repede în perioada următoare?

  • Stabilirea fluxurilor interne de lucru și definirea zonelor, persoanelor și departamentelor care înregistrează și lucrează cu datele personale ale pacienților.
  • În funcție de dimensiunea unității sau rețelei medicale, desemnarea unui consultant sau a unui angajat specializat, responsabil cu protecția datelor și cu normarea fluxurilor de lucru.
  • Actualizarea politicilor interne, a procedurilor, documentelor, formularelor și modului în care acestea sunt arhivate.
  • Informarea personalului angajat sau colaborator despre aceste norme și despre impactul lor asupra bunei funcționări a instituției medicale.
  • Definirea riscurilor posibile prin tipologia de fluxuri de lucru
  • Definirea modalității prin care pacienții pot avea acces la toate datele pe care clinica sau spitalul le deține (exportul automat)
  • Înștiințarea pacientului cu privire la companiile terțe care au acces la datele persoanele (ex. în cazul medicilor colaboratori, serviciilor externalizate etc.)
  • Implementarea normelor conform Data Protection Assesment (Articolul 35)
  • Implementarea protocoalelor de securitate ce vizează amenințări și vulnerabilități
  • Controlul regulat al modalității prin care se asigură confidențialitatea datelor și integritatea pacienților

 

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare
Softlead

56% dintre organizațiile din România ar apela prima dată la furnizorul lor de securitate cibernetică, după un atac

Pe fondul unui peisaj al amenințărilor cibernetice care evoluează permanent, peste jumătate dintre organizațiile europene (57%) consideră că este ușor pentru atacatori să își ducă la bun sfârșit planurile fără a lăsa vreo urmă. În plus, 79% dintre respondenți ar vrea să știe cine se află în spatele unui atac – conform unui studiu[1] recent Kaspersk...

Citește articolul arrow_forward
Softlead

Aplicațiile software pentru consultații medicale – în topul preferințelor spitalelor și clinicilor private

Sistemul medical este unul dintre principalii actori ai mediului economic, poziționându-se mereu la baza piramidei nevoilor oamenilor, fie că este vorba despre persoane fizice sau juridice. Astfel, Softlead recomandă achiziția și implementarea aplicațiilor software dedicate, ca instrumente vitale de planificare și oferire a consultațiilor medicale la distanță....

Citește articolul arrow_forward