Az egészségügyi adatok az új rendelkezéstől függetlenül az érzékeny adatok közé tartoznak, így az új adatvédelmi szabályok különleges figyelmet irányítanak az egészségügyre, ezen belül is a privát szektor szereplőire. Iparági tapasztalatok arról számolnak be, hogy bár a határidő rendkívüli módon közeleg, a magán egészségügyi vállalkozások felkészülése korántsem általános. A megkérdezett intézményvezetők állandó jogi segítség és kapacitásproblémák miatt nincsenek pontosan tisztában, milyen változásokat eredményez a korábbinál jóval szigorúbb GDPR.
Folyamatosan tapasztaljuk a tanácstalanságot, mellette az információk dömpingszerű áradatát, anélkül, hogy a privát egészségügyi szolgáltatók praktikus tanácsokat kapnának. Pontosan látjuk, mennyire nem gyakorlatias az ún. adatvédelmi incidensek megfogalmazása, így a felkészülés szorongató szükségessége nem olyan egyértelmű. Néhány egyszerű kérdést szoktam partnereinknek feltenni, és egyből érthetővé válik számukra, hogy nincs esély a halogatásra - megkérdezem, előfordult-e, hogy egy páciens lelete más páciens számára láthatóvá vált, történt-e olyan, hogy vizsgálati eredményt speciális azonosítás nélkül kiadtak telefonon, és tisztában vannak-e pontosan a páciensek adatait hány helyen tárolják és ahhoz ki férhet hozzá? - foglalja össze tapasztalatait Straub Fanni, a PraxisAkadémia alapítója.
A korábbiaktól eltérően az adatvédelmi veszélyekre az adatkezelést végző vállalkozásnak sokkal hatványozottabban kell figyelnie, a felkészülés során pontosan fel kell térképeznie ezeket a hibaforrásokat, illetve tervet kell kidolgoznia a rések befoltozására. Az adatkezelésben, -feldolgozásban történt hibát, azaz az adatvédelmi incidenst a felfedezéstől számított 72 órán belül be kell jelenteni a hatóságnak, ezzel párhuzamosan szükséges az érintettek értesítése, valamint a veszély azonnali elhárítása.
A felkészülési folyamat nem nélkülözi a jogász segítségét, és aktív szereplést kíván a privát egészségügyi vállalkozás informatikai rendszeréért felelős személytől is, a munka az adatkezelés rendszerszintű vizsgálatával indul, ennek során elemzik a tárolt adatokat, azok jellegét, a tárolás helyét, illetve az egyik jellemző hibaforrást, az adattovábbítás módját. Ennek a hatásvizsgálatnak az eredményét képezi a cselekvési terv, melynek minden elemével a határidőig végezni kell.
A felkészülés egyik jól látható nehézsége, hogy nincsenek általánosan használható, kész megoldások, minden privát praxist egyenként kell megvizsgálni, és a belső szabályozást egyedileg megalkotni, ugyanakkor fontosnak tartom, hogy a praxis tulajdonosa vagy vezetője pontosan tisztában legyen, milyen elvárásokat támaszt a GDPR, éppen ezért kifejezetten privát egészségügyi vállalkozások számára idén már második alkalommal, április 13-án GDPR-képzést tartunk - zárta nyilatkozatát Straub Fanni.
Regisztráció: http://praxisakademia.hu/gdpr/
