GDPR: Obligațiile medicului de familie

(guest post George Stan)

Din momentul intrării în vigoare, regulamentul GDPR a început să afecteze toți procesatorii de date cu caracter personal. Ce înțelegem prin procesator de date cu caracter personal? Toate entitățile care colectează diverse date personale din partea cetățenilor UE, pentru a le stoca și prelucra în vederea atingerii unor scopuri bine definite, sunt considerate procesatori de date cu caracter personal. Așadar, este ușor de văzut legătura dintre GDPR și domeniul medical.

Ca și medic de familie, ai de a face cu date personale zilnic. De la numele, adresa, si numărul de telefon ale pacienților, până la istoricul medical, afecțiunile de care suferă, tratamente, alergii, și așa mai departe, toate sunt considerate date cu caracter personal. Fie că ne place sau nu, și în ciuda faptului că nu mai aveam neapărat nevoie de încă o sarcină în agenda zilnică, trebuie sa respectăm prevederile regulamentului GDPR pentru a asigura o protecție sporită datelor personale pe care le colectăm în mod frecvent din partea pacienților. Amenzile pentru nerespectarea GDPR-ului sunt, din păcate, usturătoare și vor fi aplicate în cazul în care datele colectate se pierd prin diverse breșe de securitate sau ajung în mâna cui nu trebuie.

Pentru că poate părea o problemă destul de dificil de gestionat, am venit în sprijinul vostru cu un mic ghid ce vă va ajuta să înțelegeți obligațiile medicului de familie cu privire la acest aspect și ce trebuie făcut în vederea implementării GDPR în cadrul cabinetului de medicină de familie.

Care sunt obligațiile medicului de familie?

Obținerea consimțământului scris al persoanelor angajate la cabinetul medical

Deoarece pentru angajare este nevoie de o serie de date cu caracter personal, persoanele angajate trebuie să își exprime în scris acordul pentru colectarea, stocarea, și prelucrarea datelor lor în vederea angajării și a diverselor proceduri îndeplinite de către angajator.

Luarea de măsuri cu privirea la protecția adecvată a datelor cu caracter personal, ceea ce include și instruirea personalului

Scopul GDPR-ului este să sporească setul de măsuri de protecție când vine vorba de preluarea și prelucrarea datelor cu caracter personal. Acest regulament a venit ca răspuns a numeroaselor pierderi de date personal în diverse circumstanțe, așadar îmbunătățirea acestor măsuri este mai mult decât necesară pentru o implementare adecvată.

Cum ne dăm seama ce măsuri trebuie să luăm? În primul rând trebuie sa analizăm modul curent de gestionare a datelor cu caracter personal și să efectuăm un audit GDPR. Rezultatele oferite de audit ne va arăta cât de eficienți suntem la capitolul colectare și prelucrare de date, dacă echipamentele folosite sunt cele adecvate, și dacă măsurile pe care le utilizăm în prezent sunt suficiente sau nu.

Informarea pacienților că în cadrul cabinetului sunt luate măsuri cu privire la protecția datelor

Pacienții trebuie informați cu privire la faptul că datele lor sunt protejate în mod corespunzător de către cabinetul de medicină de familie. Acest lucru se poate realiza destule de ușor, prin afișarea unui anunț lizibil într-o zonă ușor de observat. Anunțul trebuie să menționeze faptul că la nivelul cabinetului sunt luat măsuri de protecție a datelor.

Este bine de știut că pentru colectarea datelor cu caracter personal din partea pacienților, nu este necesar obținerea acordului lor în scris. De asemenea, un cabinet de medicină de familie nu este obligat să desemneze un ofițer de protecție a datelor, așa cum trebuie să se întâmple în cazul altor procesatori de date cu caracter personal.

Ce trebuie făcut pentru a implementa regulamentul GDPR corect?

Pentru a ne asigura că respectăm regulamentul GDPR în mod adecvat, trebuie să avem în vedere îndeplinirea anumitor pași. Menținerea unei evidențe cu privire la activitățile de prelucrare este unul din acești pași.

Această evidență trebuie să existe în fiecare cabinet, pentru că ajută la urmărirea modului în care datele sunt gestionate, pentru a putea identifica potențialele probleme. În primul rând, evidența trebuie să conțină numele și datele de contact al operatorului de date, fie că vorbim de cabinet sau un operator asociat, cum ar fi o instituție publică sau alți furnizori de servicii medicale.

Determinarea scopului pentru care datele sunt prelucrate este un alt punct ce trebui avut în evidență. Conform regulamentului, datele se pot prelucra doar pentru un scop precis și bine definit. Odată ce scopul a fost atins, iar datele colectate nu mai sunt necesare, ele trebuie șterse.

De la cine preluăm date și ce tip de date preluăm? Pentru o evidență corectă, trebuie să determinăm grupele de persoane de la care se colectează datele și tipul de date colectate.

Cui furnizăm datele colectate? Deoarece sunt cazuri în care datele colectate vor trebui să ajungă la diverși destinatari, trebuie să determinăm grupele de destinatari care au primit datele colectate sau care vor ajunge să le primească. Trebuie avute în evidență și transferurile de date către o terță țară, în cazul în care acest lucru are loc.

Ideal ar fi să avem în evidență termene-limită când vine vorba de ștergerea datelor. Regulamentul GDPR nu recomandă stocarea datelor pe termen nedefinit. Așadar, unde este posibil, este bine să avem un termen limită pentru ștergerea datelor ce nu mai sunt necesare.

Unde se poate, trebuie să avem și o descriere a măsurilor luate pentru sporirea securității în acest sector. Aceste măsuri trebuie să cuprindă atât pe cele de natură tehnică, cât și pe cele de natură organizatorică.

Prelucrarea datelor cu caracter personal în cadrul cabinetelor de medicină de familie trebuie sa fie transparentă, corectă, și în conformitate cu legile în vigoare. Pacienții trebuie să poată să își verifice datele colectate când doresc, iar cabinetele trebuie să se asigure că ele sunt exacte și valide.

Deși, așa cum am menționat anterior, cabinetele de medicină de familie nu au nevoie de acordul scris al pacienților pentru prelucrarea datelor lor, sunt situații în care acest acord este necesar. De exemplu, atunci când datele lor vor trebui divulgate unor entități ce nu furnizează servicii de natură medicală sau socială, cum ar fi avocați sau companii de asigurare, acordul lor scris este necesar.

Concluzie

Cantitatea de date cu caracter personal colectate și gestionate de către un cabinet ar trebui redus la minim. Cu cât sunt mai puține date colectate, cu atât riscurile sunt mai reduse. Așadar, preluați doar datele cu adevărat necesare și care vă servesc în scopuri bine definite.

(guest post George Stan)

portal gda - ue-gdpr
portal gda – ue-gdpr, https://flic.kr/p/HhF9kT

Partajează pe WhatsApp

Lasă un comentariu