Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

21 februarie 2018

Spitale, clinici medicale, cabinete particulare, industrii ce oferă servicii complementare domeniului medical sau orice altă instituție cu activități specifice trebuie să îndeplinească normele reglementării europene (GDPR).

Industria medicală – unul dintre domeniile cu risc crescut de afectare din punctul de vedere al normelor GPDR

Cu excepția obiectivelor de cercetare, toate datele colectate de aceste segmente de activitate sunt supuse regulilor GDPR, cu atât mai mult cu cât informațiile pe care le dețin sunt confidențiale și extrem de sensibile.

Care sunt tipurile de date direct vizate pentru sistemul medical în contextul aplicării normelor GDPR?

  • Datele care vizează starea de sănătate = sunt definite ca fiind datele personale, ce includ caracteristici fizice, psihice sau mentale ale unei persoane în raport cu serviciile medicale oferite de o instituție medicală, aceasta din urmă fiind cea care le transformă în statusuri ale sănătății unei persoane.
  • Date genetice = trăsături de natură fizică, precum imagini care pot oferi recunoașterea facială sau semnătura pacientului
  • Date biometrice

Ceea ce este foarte interesant în acest context este faptul că o dată cu aplicarea normelor GDPR, atât drepturile, cât și provocările sunt, deopotrivă, mai mari. De exemplu, există dreptul la portabilitate, ceea ce înseamnă că fiecare pacient are dreptul la accesarea propriului dosar, primit în condiții care să îi permită să îl distribuie facil, precum și Right to be Forgotten, ceea ce presupune că, la cerere, instituția medicală este obligată să șteargă informațiile pacientului din bazele sale de date.

Care sunt canalele prin care o instituție medicală culege și operează cu date personale?

  • Aplicații software (dedicate programărilor, managementul dosarului pacientului, gestionării stocurilor de medicamente/materiale necesare, de resurse umane, de facturare, contabilitate, acces rezultate analize)
  • Website-uri (prin formulare de colectare a feedback-urilor pacienților, formulare dedicate programărilor, widget-uri de instant messaging, acces rezultate analize)
  • Aplicații mobile derivate, care sprijină interacțiunea cu pacienții
  • Call-center
  • Prin colectarea datelor, prin intermediul fișelor pacienților sau prin chestionarele fizice, regăsite în recepții sau în rezerve

Canalele cu cel mai mare risc de expunere a datelor:

Securitatea datelor în industria medicală

Întrucât domeniul medical este unul considerat extrem de sensibil, atenția la protejarea informațiilor care intră în sistemele centralizate este esențială.

În luna mai a anului 2017, spitalele din toată lumea s-au aflat în centrul unor atacuri cibernetice extrem de serioase, care au afectat din toate punctele de vedere activitatea medicală: programările au fost anulate, inclusiv pentru intervenții chirurgicale, iar activitatea generală a fost compromisă până la rezolvarea problemelor apărute.

Ce se întâmplă în cazul aceste norme nu sunt respectate?

În cazul în care companiile nu îndeplinesc normele GDPR, amenzile sunt de maxim 20 de milioane de Euro sau 4% din cifra de afaceri din anul anterior. Industria medicală nu este deloc menajată, ci extrem de vizată. În UK, cea mai mare amendă dată unei companii medicale a fost de 235.000£, după ce computerele care stocau date despre pacienți a fost furate din spitalele rețelei medicale.

Care sunt pașii recomandați a fi efectuați cât mai repede în perioada următoare?

  • Stabilirea fluxurilor interne de lucru și definirea zonelor, persoanelor și departamentelor care înregistrează și lucrează cu datele personale ale pacienților.
  • În funcție de dimensiunea unității sau rețelei medicale, desemnarea unui consultant sau a unui angajat specializat, responsabil cu protecția datelor și cu normarea fluxurilor de lucru.
  • Actualizarea politicilor interne, a procedurilor, documentelor, formularelor și modului în care acestea sunt arhivate.
  • Informarea personalului angajat sau colaborator despre aceste norme și despre impactul lor asupra bunei funcționări a instituției medicale.
  • Definirea riscurilor posibile prin tipologia de fluxuri de lucru
  • Definirea modalității prin care pacienții pot avea acces la toate datele pe care clinica sau spitalul le deține (exportul automat)
  • Înștiințarea pacientului cu privire la companiile terțe care au acces la datele persoanele (ex. în cazul medicilor colaboratori, serviciilor externalizate etc.)
  • Implementarea normelor conform Data Protection Assesment (Articolul 35)
  • Implementarea protocoalelor de securitate ce vizează amenințări și vulnerabilități
  • Controlul regulat al modalității prin care se asigură confidențialitatea datelor și integritatea pacienților

 

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

În 2018, România s-a clasat pe locul 8 în topul țărilor cu cel mai mare procent de utilizatori atacați de ransomware-ul mobil

Cercetătorii Kaspersky Lab au constatat că numărul de atacuri care folosesc software periculos pentru dispozitive mobile aproape s-a dublat, în numai un an. În 2018 au existat 116,5 milioane de atacuri, comparativ cu 66,4 milioane, în 2017, cu o creștere semnificativă a numărului de utilizatori unici afectați. În ciuda faptului că sunt atacate mai multe dispozitive,...

Citește tot arrow_forward

Una dintre cele mai complexe operațiuni de spionaj pe Android: Mandrake a rămas nedectat timp de patru ani în aplicații din magazine oficiale

Specialiștii în securitate informatică de la Bitdefender au identificat o nouă amenințare informatică, denumită Mandrake, care infectează dispozitive cu Android ale unor victime atent alese cu scopul de a le spiona și de a le goli conturile bancare.

Citește tot arrow_forward

Ce trebuie să știi la implementarea primului ERP?

95% dintre companiile care implementează corect o aplicație software reușesc să îmbunătățească procesele interne după acest pas.

Citește tot arrow_forward