Cu excepția obiectivelor de cercetare, toate datele colectate de aceste segmente de activitate sunt supuse regulilor GDPR, cu atât mai mult cu cât informațiile pe care le dețin sunt confidențiale și extrem de sensibile.
Care sunt tipurile de date direct vizate pentru sistemul medical în contextul aplicării normelor GDPR?
- Datele care vizează starea de sănătate = sunt definite ca fiind datele personale, ce includ caracteristici fizice, psihice sau mentale ale unei persoane în raport cu serviciile medicale oferite de o instituție medicală, aceasta din urmă fiind cea care le transformă în statusuri ale sănătății unei persoane.
- Date genetice = trăsături de natură fizică, precum imagini care pot oferi recunoașterea facială sau semnătura pacientului
- Date biometrice
Ceea ce este foarte interesant în acest context este faptul că o dată cu aplicarea normelor GDPR, atât drepturile, cât și provocările sunt, deopotrivă, mai mari. De exemplu, există dreptul la portabilitate, ceea ce înseamnă că fiecare pacient are dreptul la accesarea propriului dosar, primit în condiții care să îi permită să îl distribuie facil, precum și Right to be Forgotten, ceea ce presupune că, la cerere, instituția medicală este obligată să șteargă informațiile pacientului din bazele sale de date.
Care sunt canalele prin care o instituție medicală culege și operează cu date personale?
- Aplicații software (dedicate programărilor, managementul dosarului pacientului, gestionării stocurilor de medicamente/materiale necesare, de resurse umane, de facturare, contabilitate, acces rezultate analize)
- Website-uri (prin formulare de colectare a feedback-urilor pacienților, formulare dedicate programărilor, widget-uri de instant messaging, acces rezultate analize)
- Aplicații mobile derivate, care sprijină interacțiunea cu pacienții
- Call-center
- Prin colectarea datelor, prin intermediul fișelor pacienților sau prin chestionarele fizice, regăsite în recepții sau în rezerve
Canalele cu cel mai mare risc de expunere a datelor:
Securitatea datelor în industria medicală
Întrucât domeniul medical este unul considerat extrem de sensibil, atenția la protejarea informațiilor care intră în sistemele centralizate este esențială.
În luna mai a anului 2017, spitalele din toată lumea s-au aflat în centrul unor atacuri cibernetice extrem de serioase, care au afectat din toate punctele de vedere activitatea medicală: programările au fost anulate, inclusiv pentru intervenții chirurgicale, iar activitatea generală a fost compromisă până la rezolvarea problemelor apărute.
Ce se întâmplă în cazul aceste norme nu sunt respectate?
În cazul în care companiile nu îndeplinesc normele GDPR, amenzile sunt de maxim 20 de milioane de Euro sau 4% din cifra de afaceri din anul anterior. Industria medicală nu este deloc menajată, ci extrem de vizată. În UK, cea mai mare amendă dată unei companii medicale a fost de 235.000£, după ce computerele care stocau date despre pacienți a fost furate din spitalele rețelei medicale.
Care sunt pașii recomandați a fi efectuați cât mai repede în perioada următoare?
- Stabilirea fluxurilor interne de lucru și definirea zonelor, persoanelor și departamentelor care înregistrează și lucrează cu datele personale ale pacienților.
- În funcție de dimensiunea unității sau rețelei medicale, desemnarea unui consultant sau a unui angajat specializat, responsabil cu protecția datelor și cu normarea fluxurilor de lucru.
- Actualizarea politicilor interne, a procedurilor, documentelor, formularelor și modului în care acestea sunt arhivate.
- Informarea personalului angajat sau colaborator despre aceste norme și despre impactul lor asupra bunei funcționări a instituției medicale.
- Definirea riscurilor posibile prin tipologia de fluxuri de lucru
- Definirea modalității prin care pacienții pot avea acces la toate datele pe care clinica sau spitalul le deține (exportul automat)
- Înștiințarea pacientului cu privire la companiile terțe care au acces la datele persoanele (ex. în cazul medicilor colaboratori, serviciilor externalizate etc.)
- Implementarea normelor conform Data Protection Assesment (Articolul 35)
- Implementarea protocoalelor de securitate ce vizează amenințări și vulnerabilități
- Controlul regulat al modalității prin care se asigură confidențialitatea datelor și integritatea pacienților