Comunitatea DPOCategorie: Aspecte generaleBuna dimineata! Care considerati ca sunt masurile necesare care ar trebui luate imediat dpdv al GDPR intr-o institutie medicala (institut, spita, policlinica)? Multumesc
IntrebariCursanti Echipa asked 4 luni ago
1 Answers
Cioroianu Adrian answered 4 luni ago

Buna ziua,

Raspunsul cel mai corect ar fi "trebuie sa va conformati GDPR imediat" deoarece toate prevederile GDPR au acelasi nivel ca importanta. Acest lucru presupune:

  1. analiza activitatilor de prelucrare date cu caracter personal. In urma acestei analize, aflati fluxul acestor date in cadrul institutiei dvs si adoptati masuri pentru respectarea principiilor GDPR (reducerea la minim, perioada de stocare, etc). De asemenea stabiliti baza legala pentru fiecare prelucrare si aveti mare grija la baza legala privind prelucrarile datelor medicale care trebuie incadrate atat conform art.6 cat si conform art. 9 al GDPR. Aveti mare grija daca va bazati prelucrarea pacientilor pe baza consimtamantului acestora. Acesta trebuie sa poata fi demonstrat de catre dvs in orice moment si poate fi retras de catre pacient in orice moment, motiv pentru care, diverse institutii si autoritati din Europa recomanda sa nu fie folosit consimtamantul pentru aceasta prelucrare!
  2. informarea vizitatorilor si ai pacientilor. In urma analizei de la pct.1 trebuie sa gasiti metodele potrivite pentru a informa persoanele vizate cu privire la fiecare prelucrare, oferind toate informatiile cerute de GDPR (scopul, baza legala, termene de stocare, informatii de identificare institutie si DPO daca e desemnat, transferul de date catre alte entitati, drepturile persoanelor vizate, etc).
  3. Politici si proceduri privind protectia datelor, protectia si pastrarea inregistrarilor (cu termene stabilite de stocare), politici privind securitatea informatiei (va recomand sa faceti si un audit IT pentru a vedea daca calculatoarele, reteaua si programele folosite respecta prevederile GDPR), proceduri privind solicitarile persoanelor vizate, proceduri privind bresele de securitate si incalcarea securitatii datelor cu caracter personal.
  4. Confidentialitatea angajatilor (asistenti, personal receptie, personal it, rezidenti, etc). Mai mult, angajatii sunt, de asemenea persoane vizate si trebuie sa fie informate cu privire la orice prelucrare a datelor cu caracter personal ale acestora.
  5. Revizuirea contractelor cu furnizorii. Stabilirea operatorului si a persoanei impurnicite, acorduri de confidentialitate si protectia datelor care respecta prevederile GDPR. (serviciu extern contabilitate, SSI, PSM, alte persoane juridice care ofera servicii pentru clinica dvs, cum ar fi o alta firma medicala care ar oferi consultatii in institutia dvs., etc).
  6. Securitatea informatiei: presupune ca toate resursele informatice si de comunicatii ale companiei sa respecte mai multe reguli (calculatoare cu parola, servere cu baze de date criptate, retea interna criptata, programe cu control acces si roluri, etc).
  7. Responsabilizare (foarte important!) – training cu toti angajatii (inclusiv directorii, etc) cu privire la GDPR, la IT (utilizare acceptabila) si la toate procedurile si politicile interne cu privire la IT si prelucrarea datelor personale.
  8. Trebuie stabilit daca este necesara o evaluare de impact cu privire la protectia datelor.
  9. Trebuie stabilit daca este necesar desemnarea unui responsabil cu protectia datelor.
  10. Monitorizare si testare (testare aptitudini angajati, testare infrastructura, etc)