Ο GDPR στην Υγεία
2310566767

Η εφαρμογή του GDPR στους τομείς της Υγείας & των Κοινωνικών Υπηρεσιών

Οι οργανισμοί και οι εταιρίες που παρέχουν υπηρεσίες υγείας και κοινωνικής υποστήριξης καθώς και όλοι οι επαγγελματίες του τομέα της Υγείας, έχουν αυξημένες υποχρεώσεις από την εφαρμογή του Κανονισμού.

Ασφαλιστικοί οργανισμοί δημόσιοι και ιδιωτικοί, κοινωνικές υπηρεσίες και δομές που ανήκουν σε δήμους ή στο δημόσιο τομέα, μη κερδοσκοπικά ιδρύματα, ενώσεις και επιστημονικοί φορείς υποστήριξης ασθενών, νοσοκομεία, πολυκλινικές, κλινικές, κέντρα αποκατάστασης, ειδικά θεραπευτήρια, διαγνωστικά κέντρα αλλά και οι επαγγελματίες υγείας θα πρέπει να αναλύσουν με ιδιαίτερη προσοχή τις απαιτήσεις του Κανονισμού και να προβούν στις κατάλληλες ενέργειες τόσο για την κανονιστική τους συμμόρφωση, όσο και για την ενίσχυση της ασφάλειας των πληροφοριακών τους συστημάτων.

Αυξημένες υποχρεώσεις έχουν και οι εταιρίες που προμηθεύουν ιατροτεχνολογικό εξοπλισμό, πληροφοριακά συστήματα για την υγεία, υπηρεσίες προς τους ανωτέρω (όπως οι εταιρίες γραμματειακής υποστήριξης, φύλαξης & καθαρισμού), οι εταιρίες εκπόνησης «Κλινικών Μελετών» καθώς και οι φαρμακευτικές εταιρίες.

Στην ουσία τα δεδομένα υγείας χαίρουν αυξημένης προστασίας σε σχέση με τα απλά προσωπικά δεδομένα λόγω της ιδιαίτερης φύσης τους. Οι οργανισμοί παροχής υγειονομικής περίθαλψης χειρίζονται ένα πολύ ευρύ φάσμα δεδομένων που περιλαμβάνει τα οικονομικά αρχεία και τις πληροφορίες ασφάλισης υγείας έως τα αποτελέσματα των εξετάσεων ασθενών.

Μερικοί από αυτούς τους τύπους δεδομένων είναι πιο ευαίσθητοι από τις τυπικές πληροφορίες που συλλέγουν οι οργανισμοί που δεν ανήκουν στον κλάδο υγείας. Τα δεδομένα αυτά είναι μοναδικά συνδεδεμένα με ένα άτομο και είναι ως επί το πλείστον αμετάβλητα. Για παράδειγμα, ένα φυσικό πρόσωπο μπορεί να δημιουργήσει μια νέα διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά δεν μπορεί να αλλάξει το ιατρικό ιστορικό του, καθιστώντας το θέμα προστασίας των δεδομένων του σε περίπτωση κλοπής ιδιαιτέρως σοβαρό και επικίνδυνο.

Οι πάροχοι υπηρεσιών υγείας θα πρέπει να λαμβάνουν υπόψη τους πριν από οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα τις παρακάτω προϋποθέσεις νομιμότητας. Σύμφωνα με όσα ορίζει ο Κανονισμός η επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανήκουν σε ειδικές κατηγορίες απαγορεύεται εκτός αν ισχύει κάποια από τις ακόλουθες περιπτώσεις:

  • το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων (Άρθρο 22).
  • η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.
  • η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας με την επιφύλαξη ότι τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.
  • η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
  • η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Συχνά προβλήματα που παρατηρούνται στον κλάδο της υγείας είναι μεταξύ άλλων η παραβίαση των χώρων φύλαξης των ιατρικών αρχείων, η απώλεια ή η καταστροφή αρχείων αλλά και η μη εξουσιοδοτημένη πρόσβαση σε αρχεία. Η ανεπαρκής χρηματοδότηση των συστημάτων ασφάλειας αποτελεί ένα ακόμη πρόβλημα προς επίλυση. Δεν είναι λίγες οι μονάδες υγείας που χρησιμοποιούν παλαιές εκδόσεις λογισμικού χωρίς να ανανεώνονται σε τακτική βάση. Επιπρόσθετα, αρκετά λογισμικά προγράμματα δεν έχουν ενεργοποιημένο το κατάλληλο επίπεδο ασφάλειας. Όπως γίνεται κατανοητό, η αναδιοργάνωση και κατ’ επέκταση η συμμόρφωση των παρόχων υγείας με τον Κανονισμό κρίνεται ως επιτακτική ανάγκη προκειμένου να διασφαλιστούν τόσο τα απλά όσο και τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα, των ασθενών αλλά και των εργαζόμενων. Οι ενέργειες που απαιτούνται για τη συμμόρφωση με τον GDPR είναι σημαντικές καθώς απαιτείται συστηματική προετοιμασία και επιλογή των κατάλληλων διαδικασιών και εργαλείων.

Ιδιαίτερη μέριμνα πρέπει να δοθεί και σε θέματα ολοκληρωμένης ενημέρωσης και εκπαίδευσης του προσωπικού που συλλέγει και επεξεργάζεται «ευαίσθητα προσωπικά δεδομένα» ασθενών, εργαζόμενων, συνεργατών, προμηθευτών κτλπ.