3 klíčové zdroje na implementaci GDPR ve zdravotnictví
- Datum: 20.02.2018
- Autor: Vít Lidinský
Poskytovatelé zdravotních služeb musí chránit osobní údaje. V případě sporu, či kontroly doložit plnění GDPR. Tyto 3 tipy by vám neměli uniknout!
Metodika implementace GDPR ve zdravotnictví
Při poskytování zdravotních služeb z podstaty věci dochází ke zpracování velmi citlivých osobních údajů, údajů o zdraví člověka.
Může se jednat o jeho zdravotní anamnézu, informace o konkrétních nemocech, úrazech a postupu léčení, ale i o výsledky genetických vyšetření, které mohou obsahovat i údaje o jeho nejbližší rodině.
Je tedy zcela pochopitelné, že i právní předpisy v oblasti zpracování osobních údajů zdůrazňují nutno vyšší míry ochrany pro údaje o zdravotním stavu člověka.
Stejně tak i nové evropské nařízení o ochraně osobních údajů, General Data Protection Regulation (GDPR), které bude přímo účinné již od května 2018, považuje zpracování údajů o zdravotním stavu za rizikové.
Poskytovatelé zdravotních služeb tak musí plnit řadu povinností, aby ochránili citlivé osobní údaje svých klientů a aby byli v případě sporu či kontroly také schopni doložit, že mají zavedený dostatečný systém pro ochranu těchto dat. Například zřídit funkci Pověřence na ochranu osobních údajů.
Pověřenec ochrany osobních údajů >
Pokud by se jim to nepodařilo, vystavují se riziku prohry v případném soudním sporu či uložení sankce Úřadem pro ochranu osobních údajů, přičemž finanční sankce může při závažném selhání, úniku či přímo zneužití dat vyšplhat až na 20 milionů EUR nebo 4 % z celosvětového obratu dané skupiny podniků za předchozí finanční rok, podle toho, která částka bude vyšší.
Důležitosti správné implementace GDPR v této oblasti a nutnosti zohlednění specifik poskytování zdravotních služeb a příslušné sektorové regulace si je vědomo i Ministerstvo zdravotnictví.
1 TIP
Snadnější zavedení GDPR díky metodice ministerstva
Dále výstižně uvádí, ani v oblasti zdravotnictví se nelze GDPR vyhnout, lze se na něj pouze připravit. Oba dokumenty přinášejí základní návod, jak v oblasti poskytování zdravotních služeb obecně, a rovněž v ambulantní sféře, přistupovat k implementaci jednotlivých povinností vyplývajících z GDPR.
Metodiky se tak zabývají zjištění současného rozsahu a procesů pro zpracování osobních údajů, ale i nových povinností rizikové analýzy, vést dokumentaci o činnostech zpracování dat, povinnosti jmenovat pověřence pro ochranu osobních údajů a nutnosti revidovat a případně rozšířit zabezpečení zpracovávaných osobních údajů.
2 TIP
Praktické Workshopy vám vyřeší implementační problémy a nejasnosti
V oblasti bezpečnosti dat metodické materiály odkazují na postupy dle norem ISO řady 27000, které zavádějí systém řízení bezpečnosti informací (Information Security Management System).
Ministerstvo rovněž konstatuje, že vhodným nástrojem jak pro zjištění výchozího stavu, tak pro následnou kontrolu zavedených opatření v oblasti ochrany osobních údajů, je audit prováděný podle standardizovaných postupů.
3 TIP
GDPR Audit Tool
Základní nástroj pro zjištění připravenosti organizace na soulad s GDPR
TAYLLORCOX připravili GDPR Self Assesment Tool. Jde o přehledný a srozumitelný auditní nástroj vyvinutý ve spolupráci s GDPR Lead Auditory.
Struktura otázek, doplňujících vysvětlení i připravených odpovědí splňuje roadmapu implementace. Představuje tak i srozumitelný a objektivní checklist projektu.
V 19 klíčových otázkách a odpovědích nejlépe zjistíte, co vás čeká a jak jste připraveni na zajištění souladu s obecným nařízením na ochranu osobních údajů. Je určen široké veřejnosti, nejenom Pověřencům pro ochranu osobních údajů. A co je nejdůležitější, tento sebehodnotící Maturity Model je zcela zdarma!
