healthcare sector

Hälsovårdssektor: Hur tillämpas GDPR?

När dataskyddsförordningen steg i kraft fick hälsovårdssektorn nya utmaningar i samband med dataskydd. Hanteringen av data förändrades till en mer holistisk inställning. Organisationer måste genast tillämpa vissa specifika procedurer för att uppfylla kraven. Att börja med försiktighet med förvaring och hantering av personuppgifter. Detta tillämpas både för den privata och offentliga sektorn: sjukhus och klinik, tandvård, apotek, vårdhem, laboratorier, online butiker som säljer mediciner, samt andra företag eller organisationer som hanterar hälsodata.

Definitionen av känslig data och förutsättningar för dess hantering

Dataskyddsförordningen definierar personuppgifter som hanteras vid hälsovårdssektorn som ”känslig data” och därför är skyddsnivån mycket högre. Förordningen anger tre speciella hänvisningar av hälsodata:

  1. Hälsodata – ”personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus”.
  2. Genetisk data – ”alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga”.
  3. Biometrisk data – ”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”.

Hanteringen av nämnda dataformer är tillåtet endast under vissa förutsättningar som är:

  1. Yttrad samtycke av datahantering fås av data subjektet.
  2. ”Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system […].”
  3. ”Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter […].”

Hur som helst, enligt dataskyddsförordningen, medlemsstaterna kan upprätthålla eller introducera ytterligare förutsättningar, så som begränsningar för hanteringen av genetisk data, biometrisk data eller hälsodata. Dataskyddsförordningen ger mer rättigheter till data subjekt. De viktigaste rättigheterna vid hälsovårdssektorn är rätten att få tillgång till personuppgifter som hanteras. Rätten till databortabilitet som tillåter data subjekt att överföra deras hälsodata lättare till andra hälsovårdsenheter. Rätten att bli bortglömd är den svåraste att operera. Den tillåter data subjekt att begära att hälsodata hantering och radering avvecklas.

Dataskyddsförordningen reglerar att hälsovårdssektorn borde ha en dataskyddsombud eftersom stora mängder känslig data hanteras. Genomföring av konsekvensbedömning hjälper evalueringen på ursprung, natur, synnerlighet och svårighetsgrad av en risk över individernas fri- och rättigheter som hanteringen kan resultera.

Hälsovårdssektorn har en plikt att rapportera säkerhetsbrott (inom 72 timmar) inte endast åt datainspektionen men också för individer vars personuppgifter möjligen äventyrats. Klara, praktiska och effektiva förfaranden borde bli tänkt igenom ifall en brott händer. Anmälningsprocedur, inkluderande upptäckt och respons färdighet, måste anordnas och därför måste personalen ständigt undervisas och systemet uppehållas.

Ifall ett databrott händer kan böterna nå upp till 20 miljoner euro eller 4% av den globala omsättningen, beroende på vilket belopp som är högst.  Ett portugisiskt sjukhus upplevde nyligen ett databrott och böter på 400 000 euro utdömdes för att åtkomst till patienternas data hände via falska profiler. Läs mer om GDPR böter.

EU medlemsstater kan bestämma ifall och i så fall till vilken grad administrativa böter läggs för offentliga myndigheter samt organ som är grundade i en medlemsstat.

Åtgärder gentemot hälsvårdssektorns kompabilitet

För att undvika brytningar måste organisationer implementera ovannämnda bestämmelser inkluderande avtalsgranskning – DPA (Data Processing Agreements). Likväl, uppdatering av policies, procedurer, dokumentation, och uppgifter för att bli färdig inför inspektioner. Därför borde också uppgifterna om databehandlingsaktiviteter samt datainsamlings- och dataraderingsperioder vara på plats.

På grund av den gamla IT infrastrukturen och svaga IT säkerhets praxiset, hälsovårdssektorn är en av de bästa målen för cyber-attacker. Därför måste tekniska säkerhetsåtgärder utföras, för att undvika oauktoriserad tillgång, missbruk och förlorande av personuppgifter som förvaras i servern eller en moln.

 

Läs mer:
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679
https://ico.org.uk/for-organisations/health
http://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf

Dela på facebook
Dela på google
Dela på twitter
Dela på linkedin
Dela på pinterest
Dela på print
Dela på email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Hälsovårdssektor: Hur tillämpas GDPR?

Hälsovårdssektor: Hur tillämpas GDPR?

När dataskyddsförordningen steg i kraft fick hälsovårdssektorn nya utmaningar i samband med dataskydd. Hanteringen av data förändrades till en mer...
Besöksnäring branschen: Hur blir man kompatibel med GDPR?

Besöksnäring branschen: Hur blir man kompatibel med GDPR?

Besöksnäringen (hotell, restaurang&bar, turism och fritid) förfogar branschens största andel av insamlade personuppgifter. Nödvändiga åtgärder måste utföras för att undvika finansiella...
IP-Anonymisering i Google Analytics

IP-Anonymisering i Google Analytics

Många företag använder Google Analytics som ett biträdande verktyg för att insamla värdefyll information om kundernas beteende på hemsidor, mobil...
Undersökningar om GDPR Kompabilitet i Finland och Sverige

Undersökningar om GDPR Kompabilitet i Finland och Sverige

Den 25 maj när dataskyddsförordningen verkställdes började den finska tillsynsmyndighetens kontor översvämmas av klagomål om möjliga lagöverträdelser som kan leda...
Krav på Anmälan av Personuppgiftsincidenter enligt GDPR

Krav på Anmälan av Personuppgiftsincidenter enligt GDPR

En personuppgiftsincident är ett databrott som leder till oavsiktlig eller olaglig förstörelse, förlust, förändring, eller obehörigt röjande av eller obehörig åtkomst...
Hur påverkar GDPR direkt marknadsföring och profilering?

Hur påverkar GDPR direkt marknadsföring och profilering?

Direkt marknadsföring och kundbeteende (profilering) är de viktigaste verktygen ett företag använder för att sälja produkter eller tjänster. Därför, dessa...
Regler och undantag för direkt marknadsföring enligt GDPR

Regler och undantag för direkt marknadsföring enligt GDPR

Direkt marknadsföring omfattar meddelanden och e-post som kunderna mottar av en produkt eller tjänsteleverantör. Allmänn praxis för direkt marknadsföring är...

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data