Poskytovatelé zdravotních služeb musí chránit osobní údaje. V případě sporu, či kontroly doložit plnění GDPR. Tyto 3 tipy by vám neměli uniknout!
Metodika implementace GDPR ve zdravotnictví
Při poskytování zdravotních služeb z podstaty věci dochází ke zpracování velmi citlivých osobních údajů, údajů o zdraví člověka.
Může se jednat o jeho zdravotní anamnézu, informace o konkrétních nemocech, úrazech a postupu léčení, ale i o výsledky genetických vyšetření, které mohou obsahovat i údaje o jeho nejbližší rodině.
Je tedy zcela pochopitelné, že i právní předpisy v oblasti zpracování osobních údajů zdůrazňují nutno vyšší míry ochrany pro údaje o zdravotním stavu člověka.
Stejně tak i nové evropské nařízení o ochraně osobních údajů, General Data Protection Regulation (GDPR), které bude přímo účinné již od května 2018, považuje zpracování údajů o zdravotním stavu za rizikové.
Poskytovatelé zdravotních služeb tak musí plnit řadu povinností, aby ochránili citlivé osobní údaje svých klientů a aby byli v případě sporu či kontroly také schopni doložit, že mají zavedený dostatečný systém pro ochranu těchto dat. Například zřídit funkci:
Pověřenec ochrany osobních údajů
Pokud by se jim to nepodařilo, vystavují se riziku prohry v případném soudním sporu či uložení sankce Úřadem pro ochranu osobních údajů, přičemž finanční sankce může při závažném selhání, úniku či přímo zneužití dat vyšplhat až na 20 milionů EUR nebo 4 % z celosvětového obratu dané skupiny podniků za předchozí finanční rok, podle toho, která částka bude vyšší.
- Proč není dobré ignorovat funkci Pověřence (DPO)
- Jakou kvalifikaci by měl vlastně Pověřenec pro ochranu osobních údajů mít?
Důležitosti správné implementace GDPR v této oblasti a nutnosti zohlednění specifik poskytování zdravotních služeb a příslušné sektorové regulace si je vědomo i Ministerstvo zdravotnictví.
#1. Tip: Snadnější zavedení GDPR díky metodice ministerstva
- Metodika implementace GDPR ve zdravotnictví
- Metodika implementace GDPR v ambulantní sféře
Dále výstižně uvádí, ani v oblasti zdravotnictví se nelze GDPR vyhnout, lze se na něj pouze připravit. Oba dokumenty přinášejí základní návod, jak v oblasti poskytování zdravotních služeb obecně, a rovněž v ambulantní sféře, přistupovat k implementaci jednotlivých povinností vyplývajících z GDPR.
Metodiky se tak zabývají zjištění současného rozsahu a procesů pro zpracování osobních údajů, ale i nových povinností rizikové analýzy, vést dokumentaci o činnostech zpracování dat, povinnosti jmenovat pověřence pro ochranu osobních údajů a nutnosti revidovat a případně rozšířit zabezpečení zpracovávaných osobních údajů.
#2 Tip: Praktické Workshopy vám vyřeší implementační problémy a nejasnosti
- GDPR Risk Analýza a DPIA (Data Protection Impact Analyst)
V oblasti bezpečnosti dat metodické materiály odkazují na postupy dle norem ISO řady 27000, které zavádějí systém řízení bezpečnosti informací (Information Security Management System). O tom, jak standard ISO 27000 může pomoci s GPDR jsme psali v tomto článku:
- ISO 27001 výrazně usnadní implementaci GDPR
Ministerstvo rovněž konstatuje, že vhodným nástrojem jak pro zjištění výchozího stavu, tak pro následnou kontrolu zavedených opatření v oblasti ochrany osobních údajů, je audit prováděný podle standardizovaných postupů.
#3 Tip: GDPR Audit Tool
Základní nástroj pro zjištění připravenosti organizace na soulad s GDPR
TAYLLORCOX připravili GDPR Self Assesment Tool. Jde o přehledný a srozumitelný auditní nástroj vyvinutý ve spolupráci s GDPR Lead Auditory.
Struktura otázek, doplňujících vysvětlení i připravených odpovědí splňuje roadmapu implementace. Představuje tak i srozumitelný a objektivní checklist projektu.
V 19 klíčových otázkách a odpovědích nejlépe zjistíte, co vás čeká a jak jste připraveni na zajištění souladu s obecným nařízením na ochranu osobních údajů. Je určen široké veřejnosti, nejenom Pověřencům pro ochranu osobních údajů. A co je nejdůležitější, tento sebehodnotící Maturity Model je zcela zdarma!
Kontakt:
TAYLLORCOX
www.tx.cz 800 11 00 11