Cursuri GDPR pentru angajatii din sistemul sanitar

GDPR

Vizualizari: 62540

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

 

Ce trebuie sa stim despre GDPR ?

Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in principiu ca informatiile pe care le detineti despre pacienti (nume, adresa, CNP, diagnostice, antecendente, tratamente medicamentoase, internari, analize etc) sunt informatii CONFIDENTIALE si nu pot circula liber! Aceste date trebuie protejate, iar responsabilitatea protejarii lor revine in intregime operatorilor ( medici si farmacisti)
Regulamentul este foarte strict in acest sens si prevede sanctiuni aspre pentru abateri. Specialistii spun ca el introduce o adevarata revolutie in domeniu, prin prisma impactului pe care il va avea asupra bunului mers al tuturor afacerilor, mici sau mari, din Europa si nu numai.
Regulamentul se aplica practic oricarei firme, indiferent de domeniul de activitate, conceptul de “date personale” devenind atat de larg incat orice firma care lucreaza cu astfel de date – fie ca e vorba despre datele angajatilor sau ale clientilor/pacientilor – devine instantaneu subiect al Regulamentului.
E adevarat, in Romania exista deja Legea nr. 677/2001 cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, doar ca Regulamentul nr. 679/2016 este superior acestei legi. La 25 mai 2018 el va intra in vigoare direct, fara nicio formalitate, in toate statele Uniunii Europene. Si important este ca noile sanctiuni nici nu se compara cu cele vechi.  Legea nr. 677/2001 prevede o amenda maxima de 50.000 de lei, Regulamentul UE prevede o amenda de 20 de milioane de euro sau de 4% din cifra de afaceri anuala, luandu-se in consideratie cea mai mare valoare.
 

GDPR - cateva elemente importante:

1. Acest Regulament nu are nevoie de o lege nationala care sa transpuna prevederile sale in legislatia Romaniei. Pe 25 mai 2018 el va intra in vigoare direct, fara nicio formalitate, in toate statele Uniunii Europene.
2. Regulamentul a fost emis in 2016, dar a fost acordat un termen de 2 ani pana la aplicarea lui efectiva, tocmai pentru ca firmele sa aiba timp sa i se conformeze. Dupa 25 mai 2018, amenzile pentru lipsa de conformitate sunt de ordinul a 20 de milioane de euro sau 4% din cifra de afaceri!
3. Prevederile GDPR nu se aplica doar companiilor cu sediul in Uniunea Europeana, ci si celor din spatiul non-UE (retaileri) care livreaza bunuri catre persoane din UE.
4. Regulamentul extinde definitia datelor cu caracter personal si include noi definitii. 
5. Regulamentul prevede ca:
• acordarea de catre client a consimtamantului pentru prelucrarea datelor sale personale trebuie sa fie explicit. O inactiune sau tacerea nu mai pot constitui consimtamant;
• declaratia de acordare a consimtamantului trebuie sa fie distincta de declaratii cu privire la alte aspecte (de exemplu, de acceptare a termenilor si conditiilor generale);
• consimtamantul poate fi retras de catre persoana vizata.
 6. Persoanele vizate au “dreptul de a fi uitate”, adica de a li se sterge la solicitarea lor datele personale din baza de date.
7. Anumite firme au obligatia de a numi un responsabil cu protectia datelor cu caracter personal. Acesta va putea fi un angajat sau un prestator extern de servicii si va raspunde in mod direct in fata conducerii firmei. 

 

Participa la Cursul "GDPR Ready ? - Suntem pregatiti pentru GDPR ? - Protectia DCP in domeniul sanitar"

Pentru a veni in intampinarea nevoii de informare a tuturor organizatiilor din domeniul sanitar, HEALTH.RO  organizeaza cursuri  cu tema "GDPR Ready ? - Suntem pregatiti pentru GDPR ? - Protectia DCP in domeniul sanitar."
Prin inscrierea la curs se formeaza grupe de maxim 30 de persoane, cursurile fiind organizate dupa urmatorul calendar:
Tirgu Mures, Sala de Conferinte a Muzeului de Istorie situat in Cetatea Tirgu Mures
  • 4 Aprilie 2018 – ( 16.00 – 20.00) 
  • 5 Aprilie 2018 – ( 16.00 – 20.00) 
  • 11 Aprilie 2018 – ( 16.00 – 20.00)
  • 12 Aprilie 2018 – ( 16.00 – 20.00)
  • 18 Aprilie 2018 – ( 16.00 – 20.00)
  • 19 Aprilie 2018 – ( 16.00 – 20.00)
  • 9 Mai 2018 – ( 16.00 – 20.00) 
  • 10 Mai 2018 – ( 16.00 – 20.00)
  • 16 Mai 2018 – ( 16.00 – 20.00)
  • 17 Mai 2018 – ( 16.00 – 20.00)
  • 24 Mai 2018 – ( 16.00 – 20.00)
  • 30 Mai 2018 – ( 16.00 – 20.00)
  • 31 Mai 2018 – ( 16.00 – 20.00) 
  • 6 Iunie 2018 – ( 16.00 – 20.00)
  • 7 Iunie 2018 – ( 16.00 – 20.00)

Pitesti, Jud. Arges, Colegiul Farmacistilor Arges, Cart. Craiovei, Str. Constructorilor nr. 4B, bloc Izvor

  • 23 Aprilie 2018 – ( 09.00 – 13.00) - nu mai sunt locuri disponibile
  • 23 Aprilie 2018 – (15.00 - 19.00)

Odorheiu Secuiesc, jud. Harghita, Hotelul Târnava

  • 14  Mai 2018 – ( 09.00 – 13.00)
  • 14 Mai 2018 – (15.00 - 19.00)

Sfantu Gheorghe, jud. Covasna, Spitalul Județean „Fogolyán Kristóf”

  • 22  Mai 2018 – ( 09.00 – 13.00)
  • 22 Mai 2018 – (15.00 - 19.00)

Miercurea Ciuc, jud. Harghita, Spitalul Județean de Urgență Miercurea Ciuc

  • 23  Mai 2018 – ( 09.00 – 13.00)
  • 23 Mai 2018 – (15.00 - 19.00)

Sighisoara, jud. Mures, locatia se va anunta ulterior

  • 11  Iunie 2018 – ( 15.00 – 19.00)
Fiecare participant primeste un certificat care atesta participarea iar taxa de participare este 300 ron ( include mapa de curs, certificatul  si pauza de cafea).
Lector: Marius Dumitrescu - consultant Management&IT cu o experienta de 15 ani in domeniul medical si farmaceutic, Director editorial al Revistei Health.
 
"Acest curs de informare are o durata de 4 ore si este dedicat tuturor persoanelor interesate de modul in care GDPR-ul le va schimba viata si mai ales afacerea. Fiecare participant va avea acces la resurse si infomatii corecte care ajuta fiecare organizatie, indiferent de marime, sa inteleaga, sa respecte si sa inspire si pe ceilalti parteneri sa adere la principiile GDPR.", declara Marius Dumitrescu, Director General CRX Mures.
 
Cursul GDPR-ul nu este despre "cum sa nu fiu prins", ci despre " cum sa fiu "marfa" in ochii angajatilor, clientilor si partenerilor. Mai mult, cred ca a obtine "conformitatea GDPR" nu este doar o obligatie. Este o manifestare naturala a responsabilitatii si respectului individual pentru imaginea, viata si informatiile personale ale celor din jur.

Nu puteti participa la acest curs ? Doriti o evaluare rapida absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Inscrierile la curs se vor putea face incepand cu 10.04.2018 completand urmatorul formular. 

Campurile marcate cu * sunt obligatorii













Tematica cursului

1. Contextul aparitiei GDPR
GDPR-ul nu este o REVOLUTIE, este mai mult o EVOLUTIE
- Incidente de securitate a datelor personale
- TOP 10 – incidente de securitate
- 2017 Romania – incidente de securitate
- Tipuri de abordari „romanesti”

2. Studiu privind constientizarea
Romania ocupa ultimele locuri privind gradul de constientizare asupra importantei protectiei DCP.

3. Ce este GDPR?
- GDPR vs. ISO 27001 / 9001
- Cadru legal
- Ce aduce nou GDPR-ul ?
- Sanctiunile
- Pachet legislativ in domeniul protectiei datelor cu caracter personal
- Ghiduri pentru interpretarea si aplicarea GDPR

4. GDPR - termeni si definitii
Este extrem de important sa avem o terminologie si o sfera de interpretare unica
- Date cu caracter personal
- Prelucrarea
- Operator - Imputernicit - Reprezentant

5. Principiile GDPR si obligatiile operatorului
Unul dintre obiectivele GDPR este acela de a mari nivelul de protectie al persoanelor vizate, aspect care se reflecta in obligatiile operatorului.

Principiile GDPR
- Legalitatea prelucrarii DCP GENERALE
- Legalitatea prelucrarii DCP SPECIALE
- Transparenta prelucrarii DCP
- Limitari legate de scop
- Reducerea la minimum a datelor
- Limitari legate de stocarea DCP

Obligatiile operatorului
- Notificarea incalcarii securitatii DCP. Exceptii
- Numirea Responsabilului cu protectia DCP
- Responsabilitatile DPO-ului
- Cine poate fi DPO?
- Statul DPO-ului
- Evaluarea impactului si consultarea prealabila
- Cartografierea
- Cartografierea diferentiata
- Evaluarea de impact
- Implementarea de masuri adecvate
- Imputerniciti verificati
- Pastrarea evidentelor
- Transparenta informatiei

6. Etapele implementarii
Abordarea sistematica si aprofundarea analizelor de impact si de risc reprezinta succesul implementarii GDPR
- Etapele implementarii GDPR

7. Consimtamantul
Modalitatile de exteriorizare a consimtamantului sunt: in scris, verbal si prin gesturi sau fapte concludente.
- Consimtamantul. Descriere comparativa D95/46 vs GDPR

8. Drepturile persoanelor vizate
O data ce ai consimtit ca datele sa fie prelucrate de o organizație, devii o persoană vizata. Acest fapt nu diminuează drepturile.
- Drepturile persoanelor vizate
- Exercitarea drepturilor
- Dreptul la informare – sursa directa
- Dreptul la informare – sursa indirecta
- Dreptul la informare – exceptii
- Dreptul la acces
- Dreptul la rectificare
- Dreptul la stergere (Dreptul de a fi uitat)
- Dreptul la stergere (Dreptul de a fi uitat) - exceptii
- Dreptul la restrictionare
- Dreptul la portabilitate
- Dreptul la opozitie
- Decizii automate, profilare

9. Proceduri de securitate
Problemele de securitate informatica sunt inregistrate zilnic, in absolut toate domeniile de activitate
- Cauze principale
- Securitatea sistemelor informatice

10. Protectia DCP in domeniul sanitar
Domeniul sanitar este puternic afectat de normele GDPR datorita procesarii datelor personale cu caracter sensibil.
- Cine sunt operatorii din sistemul sanitar ?
- Reguli de prelucrare a datelor sensibile
- Obligatiile operatorilor din domeniul sanitar
- Numirea Responsabilului cu protectia DCP
- Alte obligatii ale institutiile de sanatate
- Studiu de caz: DES
- Studiu de caz: Cardul de sanatate
- Drepturile pacientilor ( GDPR)
- Brese de securitate in domeniul sanitar
- Proceduri de securitate – domeniu sanitar
- Ce proceduri trebuie actualizate ?
- Sunem pregatiti pentru GDPR ?

11. Jurisprudenta
Chiar daca GDPR-ul intra in vigoare in 25.05.2018, exista foarte multe cazuri solutionate din prisma Directivei 95/46 si a legilor nationale.
- CEDO: Cauza Barbulescu vs. Romania
- CEDO: Mockute vs. Lituania
- CJUE: Smaranda Bara vs. CNAS
- RO: ANSPDCP vs CNAS(Cas BV, CT, BN)
- RO: ANSPDCP vs ANAF
- RO: PRIMARIA GIURGIU
- CEDO: V&EPDS vs PARLAMENTUL EUROPEAN

 

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Lorena Macnaughtan: GDPR – „25 mai este doar începutul”

GDPR

Vizualizari: 6841

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Lorena Macnaughtan, MBA, este directorul iCEE.health, eveniment în inovația digitală în sănătate, destinat tuturor participanților în sistem: pacienți, doctori, asistenți, studenți, entreprenori, manageri, autorități. 

Acesta are loc în acest an pe 14 iunie, în București, sub umbrela iCEE.fest, unul dintre cele mai mari festivaluri de technologie digitală din Europa Centrală și de Est.

Lorena își scrie teza doctorală în inovația digitală în sănătate, în cadrul programului multidisciplinar Horizon Digital Economy Institute, Universitatea din Nottingham.

Lorena este activă în comunitatea internațională, fiind una dintre semnatarii actului Patients Included (https://patientsincluded.org/ ), a participat la multe conferințe internaționale: TEDx Praga, Doctors 2.0 and You (Paris, Franța), Stanford Medicine X (Stanford, SUA), Giant Health Event (Londra, UK) printre altele, iar opiinile sale au fost publicate pe diverse platforme, precum Digital Catapult CentreInnovate MedtecMayo Clinic Centre for Innovation sau Medtech Engine.

Lorena a fost inclusă in acest în comunitatea europeană HIMSS Future50 în sănătate digitală, iar în România, pe langa iCEE.health, este afiliată Institutului de Dezvoltare în Sănătate și Educație, susține startupuri ca mentor și ca juriu național în Central European Startup Awards. 
  1. Despre GDPR

Regulamentul a fost conceput ca urmare a avansului tehnologic și al necesității protejării datelor personale, dar și pentru a realiza o pieță digitală unică în Europa, pentru a stimula economia prin inovație și cercetare.

Acest regulament marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale. Și acest fapt trebuie înțeles foarte bine de societate, în ansamblul său.

Regulamentul oferă astfel o legislație unică și exhaustivă la nivel European, care protejează în mod egal toți cetățenii statelor membre și crează un cadru adecvat pentru formarea unei piețe digitale unice - portabilitatea datelor la nivel personal și fluidizează colaborarea în domeniul economic și cel al cercetării.

Regulamentul, și ghidurile emise pe marginea acestuia, oferă prin textul său toate pârghiile necesare statelor membre pentru protecția persoanei vizate și a datelor sale.

Prelucrarea datelor personale, se bazează astfel pe principii – "legalitate, echitate şi transparenţă”, limitare la scopul procesării, minimizarea colectării, exactitate, limitarea stocării, integrității și confidențialității și responsabilitatea pentru aceste date (colectare și stocare) - și drepturi ale persoanelor – informare și transparență, acces, rectificare, restricționare, de „a fi uitat”, portabilitate, refuz la prelucrarea datelor, refuz de a fi evaluat exclusiv în bază automată.

Un extras privind drepturile persoanelor vizate este disponibil pe website-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum si alte documente relevante – Regulament, ghiduri...

 

  1. Aplicarea Regulamentului și sănătatea

Există zone cu precizări speciale sau suplimentare – sănătate, cercetare, dreptul muncii, presă… pe care le regăsiți în principal în Capitolul 9 al Regulamentului.

Pentru sănătate, merită precizate următoarele aspecte:

  • Pentru că în sănătate vorbim de date personale sensibile, cerințele de protecție sunt sporite, astfel și răspunderea și riscul de sancționare.
  • Răspunderea este solidară, a operatorului și a terților implicați. Consimțământul este alt aspect relevant, pentru că el va trebui să îndeplinească anumite condiții conform Regulamentului.
  • Sunt prevederi speciale, precum cele din recitalurile 53 și 54, și mult discutatul Articol 9, privind categoriile speciale de date cu caracter personal, în vederea protecției sporite, a limitării drastice la scopul procesării, dar și a realizării unui echilibru între interesul vital și drepturile persoanei vizate sau a echilibrului dintre interesul personal și cel al societății.
  • Există limitări ale drepturilor personale vizate pentru că sunt balansate de interesul public (politici și intervenții ce țin de sănătatea publică, cercetare). În anumite situații, există limitări care nu pot fi ridicate prin consimțământ, în funcție de reglementări naționale.
  • Articolul 9, 37, precum și recitalurile 35 și 91, recunosc categorii profesionale care au un statut aparte (guvernate de “secretul profesional”), precum doctorii sau avocații. Doctorii nu necesită desemnarea unui responsabil cu protecția datelor pentru cabinete individuale. Această opinie este susținută de Cristiana Deca, Decalex.
  • Operatorii de date personale în sănătate (publici sau privați) vor trebui să acorde atenție foarte mare drepturilor pacienților și portabilității datelor (ca element de noutate).
  • Conform principiului „responsabilității”, vor trebui să acorde atenție sporită consimțământului (există spațiu amplu în Regulament despre cum trebuie formulat, obținut, menținut), securității datelor, trasabilității, relațiilor cu terți.
  • Sunt prevederi speciale pentru prelucrarea de date genetice și biometrice, de profilare și luare de decizii automată (a se vedea Ghidul privind deciziile automate individuale și profilare).
  • De reținut este faptul ca regulamentul oferă destul spațiu Statelor Membre pentru a impune prevederi specifice (Articolul 9, alineatul 4) în domeniul sănătății.

La crearea textului Regulamentului, Comisia Europeană a avut în vedere evoluția tehnologică din sănătate, importanța acesteia. Uniunea Europeană și-a propus să fie un pol de inovație în sănătate, nu a restricționat ca atare prelucrarea datelor medicale și genetice, ci a creat un cadrul sănătos pentru astfel de prelucrări. Acest cadrul are ca temelie asigurarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. Dacă această condiție e respectată, regulamentul permite prelucrarea datelor medicale și genetice. (Cristiana Deca, Decalex)

 

  1. Care sunt drepturile si obligatiile participantilor la sistemul de sanatate conform noului Regulament European privind Datele cu Caracter Personal?

Participanții la sănătate sunt foarte diverși (farma, instituții de învățământ și cercetare, doctori, pacienți, furnizori de servicii medicale, companii din zona IT și de sănătate digitală, laboratoare… ), ar necesita discuții ample pentru fiecare dintre ei. Pe parcursul acestui articol, am atins mai mult drepturile și obligații privitoare la cetățeni și profesioniști în sănătate.

Dar, la recentul eveniment pe care l-am organizat prin Institutul de Dezvoltare în Sănătate și Educație, cu sprijinul Administrației Prezidențiale a României, în parteneriat eHealth Romania, iCEE.health și APAA, pe 20 Aprilie, în aprilie, la Palatul Cotroceni, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate, am obținut perspective din partea mai multor participanți la sănătate, precum și din partea guvernelor Estoniei și Olandei. Înregistrarea evenimentului poate fi urmărită online.

Partea 1 - Impactul GDPR în politicile de sănătate

Partea 2 - Masterclass : Aplicarea GDPR în Sănătate

Partea 3 - Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate – bun public și bun personal

 

Iată cateva dintre recomandările specialiștilor prezenți la acest eveniment.

Cristina Deca, Decalex, despre condițiile de prelucrare a datelor de sănătate:

  • Consimțământ explicit si fără echivoc pentru utilizarea datele sale
  • Persoana face publice datele sale
  • Când este vorba despre interesul vital
  • În bază contractuală, cu scopul de a benefica de servicii medicale
  • În vederea unui interes public general
  • Din alte motive mai specifice obiectului de activitate - Fundațiile, asociațiile pot prelucra datele membrilor, foștilor membri sau persoanelor cu care se află adesea în contact în timpul activităților lor, cu condiția sa aplice garanții adecvate pentru protecția acestor date.
  • Datele privind sănătatea și datele genetice ale pacienților pot fi, de asemenea, procesate în cazul unei reclamații legale

Ecaterina Burlacu, PeliFilip, consideră că organizațiile care gestionează date medicale, trebuie să:

Aibă temei juridic (fundamentat prin lege sau consimțământ), să efectueze un studiu de impact, să aibă un ofițer de protecția datelor, să aibă măsuri stricte de securitate pentru stocarea și transferul datelor și să țină cont de reglementările naționale din acest domeniu. Prezentarea Ecaterinei, PeliFilip, o gasiti integral aici.

Repet, conform Cristianei Deca, Decalex, doctorii (și avocații) nu necesită desemnarea unui responsabil cu protecția datelor pentru cabinete individuale.

Rezerva fiind că există o lege în dezbatere în Parlament și vom vedea ce forma finală va avea.

 

4.Ce sanctiuni se vor aplica pentru incalcarea Regulamentului?

Conform etosului Regulamentului, menirea nu este de a acorda sancțiuni (Capitolul 6 și 7), ci de a educa în spiritual transparenței, demnității, libertății și interesului persoanelor, în balans cu interesul social atunci când se impune (sănătatea fiind unul dintre aceste domenii).

Dar, autoritățile naționale au la dispoziție și posibilitatea de a suspenda procesarea datelor, ceea ce pentru multe companii poate avea consecințe foarte serioase, sau de acorda amenzi administrative substanțiale în sectorul privat de până la 20 000 000 EUR sau de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior. În sectorul public, Statele Membre au libertatea de a decide în ce măsură și situații vor fi aplicate amenzi. În România, există în prezent un proiect de lege în Parlament care va stabili când și în ce cuantum vor fi acordate amenzi în sectorul public.

Monitorizarea Regulamentului la nivel național va fi făcută de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, prevederi care urmează a fi definite prin legea în lucru.

Cum? Tot conform Regulamentului, dar... urmează de văzut ce reglementări suplimentare va aduce proiectul de lege menționat mai sus, inclusiv dacă vor fi desemnate și alte organisme de control și monitorizare la nivel național.

 

Impactul GDPR

Toate domeniile vor fi afectate, în domeniul public și privat. Impactul cel mai mare va fi asupra celor care gestionează date personale sensibile (sănătate,, cercetare) sau care folosesc algoritmi și automatizare (marketing, domeniul financiar și de asigurare, sănătate...).

Evoluția va fi treptată și sperăm că va fi pozitivă, în ciuda efortului de adaptare din prezent. Cu siguranță, vor mai exista clarificări și modificări ulterioare, chiar unele sunt în lucru. Trebuie să privim acest Regulament ca pe un organism care va evolua în următorii ani, pentru că și tehnologia evolueaza dramatic. Numai dacă ne uităm la inteligența artificială, robotică sau genomică realizăm cât de „aproape” este viitorul.

Scopul Regulamentului nu este punitiv, ci de armonizare, de acordare a dreptului asupra datelor personale fără echivoc persoanelor vizate și de a deschide cooperarea în toate domeniile în Europa, mai ales cercetare, inovație și sănătate.

Sperăm că acest etos este asimilat și de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, care va avea în principal misiunea de a ghida și a educa societatea, și doar apoi de a aplica măsuri punitive. Sperăm la o schimbare… culturală, la mai multă colaborare, mai ales într-un domeniu atat de dinamic, unde și Autoritatea are nevoie de input.

Revenind la sănătate, pacienții vor beneficia de mai multă transparență, va trebui asigurată portabilitatea datelor.

Pentru inovație și cercetare, se oferă un cadru sănătos pentru procesarea datelor din sănătate.

 

Beneficiarii GDPR

Suntem noi, în primul rând, cetățenii. Repet, marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale.

În al doilea rând, economia, prin stimularea cooperării, cercetării și inovației, prin creșterea competitivității datorită creării pieței digitale unice.

Impactul se simte deja, avem de la începutul anului multe evenimente, seminare, cursuri...

Unde se resimte mai mult acum? În mediul privat... multe companii sunt „prinse” în pregătiri.

Eventual, peste tot. Sperăm că vom vedea efecte cât mai curând și la nivelul organizațiilor publice.

Din păcate, consider că autoritățile au o latență mare în România și nu au făcut suficient până în prezent pentru a informa și pregăti sectoarele public și privat, deși dau dovadă de deshidere prin participarea la evenimente, în ultima perioadă. Ar fi utile comunicate specifice pentru anumite zone, sau ghiduri. Mai ales pe sănătate unde avem și un sistem informatizat național. Am să dau exemplul Biroului de Comisiei Informatice din Marea Britanică, pentru că au generat materiale online extrem de bune și ușor de parcurs de publicul neantrenat juridic.

Multe state europene au luat acest regulament foarte în serios și sunt destul de bine pregătite pentru el. În România, există un proiect de lege nefinalizat și niciun ghid special generat de autorități.

Data intrării în vigoare este 25 mai. Trebuie însă înțeles foarte bine faptul că acest Regulament necesită armonizare cu legislația locală. Astfel, deși acesta va intra în vigoare la data de 25 mai, este de așteptat să intre în conflict cu anumite legi și să atragă modificări legislative ulterioare.

Statelor Membre li s-au solicitat explicit ca anumite modificări să fie realizate până la data de 25 mai, de exemplu în legislația muncii. Chiar proiectul de lege existent în Parlament nu satisface această cerință în totalitatea și complexitatea sa, în opinia mea, și cred că vom mai avea modificări în această direcție și nu numai.

Societatea, în ansamblu, trebuie să devină mai activă în modificările din această zonă, orice poate semnala un conflict cu legislația există. Este un exercițiu bun.

Astfel, pe 25 mai este doar începutul.

 

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Legea GDPR in Romania creeaza tensiuni

GDPR

Vizualizari: 9204

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

 

Aparitia unei Legi "GDPR" in Romania este o initiativa asteptata de intreaga comunitate a organizatiilor din domeniul sanitar, existand mai multe proiecte in acest moment. Chiar daca Regulamentul European nu presupune obligativitatea statelor membre de a-l ratifica printr-o lege nationala, caracterul general al articolelor din Regulament induc necesitatea unor clarificari si armonizari cu realitatea romaneasca.

Va propunem sa parcurgeti mai jos scrisoarea deschisa transamisa redactiei Health.ro de catre Lorena Macnaughtan, MBA, iCEE.health & IDSE, Cristiana Deca, Decalex si Asist. Univ. Dr. Florina Raicu, Universitatea de Medicina si Farmacie Carol Davila, Catedra de Genetica Medicala.

 

Stimați Senatori și Deputați,

Ne adresăm Domniilor Voastre pe această cale, în spiritul dialogului și din dorința ca acest Regulament să se aplice armonios și în România. Atât inițiativa, cât și conținutul acestui document au fost dezbătute în comunitatea antreprenorială eHealth. Este important de precizat că această comunitate este formată doar pe baza interesului în inovația în sănătate și nu are nicio altă afiliere și nu reprezintă alte interese; are o componență mixtă, cu profesioniști din domenii variate: IT, sănătate, juridic, academic sau cercetare, cu experiență în țară sau străinătate.

Prin această scrisoare, dorim să atragem atenția asupra câtorva aspecte legate de Proiectul de lege privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul general privind protecția datelor).

Înainte de a detalia, dorim să subliniem faptul că nu criticăm necesitatea unei legi care să vină în susținerea aplicării Regulamentului, dar și în spiritul acestuia.

De asemenea, dorim să punctăm faptul că acest Regulament a fost conceput atât ca urmare a avansului tehnologic și al necesității protejării datelor personale, cât și pentru a realiza o piață digitală unică în Europa, a stimulării economice prin inovație tehnologică.

Anul trecut, cu ocazia Președinției UE a Estoniei a fost lansată Declarația pentru o Societate de Sănătate Digitală (octombrie 2017, sursă) - o piață unică digitală în sănătate, dacă doriți. Efectele au venit aproape imediat. Treisprezece țări au semnat un acord de schimb de date în sănătate.

Tot în spiritul colaborării și creșterii competitivității UE, cunoașteți cu siguranță faptul că pe 10 aprilie s-a semnat și un acord de cooperare privind Inteligența Artificială în UE. Din păcate, România, Grecia și Cipru nu au semnat. Încă. Inteligența artificială explodează în sănătate, iar România chiar a livrat una dintre printre primele soluții de succes internațional.

Mai mult, România s-a angajat politic și strategic să susțină dezvoltarea domeniului eHealth.

„România împărtășește angajamentul politic al Uniunii Europene și obiectivele stabilite cu privire la digitalizarea sectorului sănătății.” (Melania Gabriela Ciot, Secretar de Stat, Ministerul Afacerilor Externe, Aprilie 20, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate – video partea 3, de la min. 50).

Mai adăugăm faptul că Regulamentul marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale. Și acest fapt trebuie înțeles foarte bine de societate, în ansamblul său.

Nu trebuie pierdut din vedere că Regulamentul oferă prin textul său toate pârghiile necesare statelor membre pentru protecția persoanei vizate și a datelor sale. Tocmai din acest motiv, pornind de la cel mai important principiu din dreptul european, principiul proporționalității măsurilor luate, considerăm ca se impun următoarele remarci cu privire la proiectul legislativ, în forma sa actuală.

Articolul 3

În integralitatea sa, acest Articol introduce interdicții nejustificate atât împotriva spiritului, cât și conținutului Regulamentului. Trebuie sa ținem cont de faptul că dacă acesta ar fi fost creat pentru a cenzura anumite prelucrări de date medicale ar fi făcut-o explicit, însă acesta doar stabilește cadrul adecvat pentru prelucrările cu risc ridicat.

La fel de relevant, sugrumă inovația din zone variate; pune România într-o poziție și mai vulnerabilă competitiv (în cădere 6 locuri - acum 68 din 137 de țări; doar pe locul 107 la indicatorul Inovație și sofisticare în afaceri, Indexul Global de Competitivitate, World Economic Forum 2017 - 2018).

Considerăm că România, dimpotrivă, are nevoie imediată de pârghii de stimulare și absorbție a inovației în toate domeniile. Minim, să nu fie pusă în dezavantaj suplimentar.

Adoptarea acestui Articol în forma actuală va avea consecințe dramatice pentru economie, cu  efecte negative pe termenul lung asupra startup-urilor în general, al celor în sănătate, și va stimula exodul talentelor din România.

S-a pus cruce startup-urilor pe health in Romania (Liviu Chirilă, eCuore, 8 mai)

Cumva asta limitează toată inovația în ce crede Casa Națională că e inovație și unde trebuie să se ducă și, pe partea cealaltă, creează un mediu în care toate companiile care vor să facă ceva se vor duce în alte țări, vor ridica investiții în alte țări unde pot să facă chestia asta. [n. b. “chestia asta” - acces la date pentru cercetare în mediul privat; “Casa Națională” poate fi înlocuită cu orice altă instituție publică] (Mircea Popa, fondator SkinVision, 20 aprilie, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate – video partea 3, de la min. 41:30)

Suplimentar, companii precum Apple, Fitbit, Samsung, și multe altele care au platforme dedicate aplicațiilor și dispozitivelor în sănătate, vor putea oferi servicii limitate sau unele servicii nu vor mai fi disponibile deloc. Iar cele care desfășoară activități de cercetare și dezvoltare (i.e Fitbit) în această zonă vor reacționa adecvat în fața unor limitări nejustificate. Doar câteva exemple de posibile consecințe.

Susținem acest argument chiar prin Ghidul privind deciziile automate individuale și profilare (disponibil în prezent doar în limba engleză).

Din acesta, traducem doar următoarele două secțiuni:

„Profilarea și luarea de decizii în mod automat pot fi realizate în beneficiul persoanei și organizațiilor, având beneficii precum:

  • creșterea eficienței; și
  • economii de resurse.

Acestea au mai multe aplicații comerciale, de exemplu, pot fi utilizate pentru o mai bună segmentare a piețelor și pentru a oferi servicii și produse adaptate nevoilor individuale. Medicina, educația, sănătatea și transportul pot beneficia de astfel de procese. [n.b. îngroșarea caracterelor ne aparține]

Dar, profilarea și luarea de decizii în mod automat pot prezenta riscuri pentru drepturile și libertățile persoanei care necesită măsuri corespunzătoare.” (pg. 5)

ȘI

“D. Categorii speciale de date personale – Articolul 22(4)

Luarea de decizii automată (descrisă în Articolul 22(1)) care face referire la categorii speciale de date personale este permisă doar în condițiile următoare, cumulative (Articolul 22(4)):

  • există o scutire aplicabilă Articolului 22 (2); și
  • este aplicabil punctul (a) sau (g) al Articolului 9(2)

9(2) (a) – consimțământul explicit al subiectului; sau

9(2) (g) – procesarea este necesară din motive de interes public, pe baza legilor UE sau Statului Membru, care va fi proporționată cu scopul, respectă esența dreptului la protecția datelor personale și furnizează măsuri adecvate și specific de asigurare a drepturilor și intereselor fundamentale ale subiectului datelor.

În ambele situații de mai sus, controlorul trebuie sa ia măsurile corespunzătoare pentru a asigura drepturile și libertățile și interesele legitime ale subiectului datelor.” [n.b. îngroșarea caracterelor ne aparține]” (pg. 24)

La crearea textului Regulamentului, Comisia Europeană a avut în vedere evoluția tehnologică din sănătate, importanța acesteia. Uniunea Europeană și-a propus să fie un pol de inovație în sănătate, nu a restricționat ca atare prelucrarea datelor medicale și genetice, ci a creat un cadrul sănătos pentru astfel de prelucrări. Acest cadrul are ca temelie asigurarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. Dacă această condiție e respectată, regulamentul permite prelucrarea datelor medicale și genetice. (Cristiana Deca, Decalex)

Mai important, prin Articolul 3 al Proiectului se restrâng drepturile, libertățile și interesele legitime ale persoanei, contrar spiritului GDPR, pe lângă sugrumarea inovației (atât ca generare, cât și ca asimilare a acesteia).

...dvs. dețineți niște date care, de fapt, sunt ale mele. Și eu ar trebui să decid dacă sunt de acord ca datele mele să fie folosite în cercetare sau nu. Dvs. doar ar trebui să faceți managementul acestor date. Atât.” (Rozalina Lapadatu, IDSE și APAA, 20 aprilie, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate – video partea 3, de la min. 45:30)

În domeniul sănătății se face cercetare și există o legislație de protecție a datelor foarte bună, prin faptul că orice cercetare se face cu avizul unei comisii de etică ce garantează mai mult decât Regulamentul.” (Dr. Mihai Negrea)

Termenii prevăzuți în Articolul 3 nu sunt definiți în niciun fel în proiectul propus, astfel încât pot da naștere unor interpretări aberante.

Astfel, o analiză complexă de genetică moleculară pentru identificarea prezenței unor mutații asociate cu anumite tipuri de cancere, de exemplu, nu se mai poate realiza deoarece implică analiză automată a întregului profil genetic al pacientului. Astfel de analize genetice complexe sunt posibile la momentul actual în entitățile medicale private, deoarece în unitățile medicale publice, în universități sau institute de cercetare, aceste analize costisitoare se fac în general în scop de cercetare. Pentru că în România nu există spitale sau alte unități publice în care să se facă uzual astfel de analize, pacienții români se pot afla în imposibilitatea efectuării acestor analize de care uneori depind șansele lor de supraviețuire. În funcție de tipul de modificare genetică identificată se confirmă diagnosticul, se stabilește stadializează tipul de cancer, se direcționează tratamentul și se face monitorizarea evoluției bolii. Florina Raicu, PhD, genetician și cercetător.

Ghidul privind deciziile automate individuale și profilare este foarte bine structurat și conține precizări mult mai nuanțate decât cele două alineate din Articolul 3 al acestui Proiect legislativ, care, practic, aduc o interdicție exhaustivă și fără fundament în Regulament.

Avem încredere că ghidul va fi parcurs cu diligență de Domniile Voastre și acest Articol 3 din Proiect va fi înlăturat, cel puțin nu va fi păstrat în forma actuală, pentru că aduce o supra-reglementare care afectează drepturile, libertățile și interesele legitime ale persoanei, dar și mediul economic prin limitarea inovației și cercetării.

În schimb, acest ghid, valabil în întreaga UE oferă autorităților și actorilor privați și publici indicații fără echivoc privind aplicarea Regulamentului.

Articolul 8, alineatul 2

Introduce ambiguități.

  • Nu doar organizațiile publice pot face asta, conform Regulamentului – „Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.” (Art. 37, alineatul 2). Acest fapt este deosebit de important pentru companii mici.
  • De asemenea, introduce ambiguități legate de practicile individuale a unor corpuri profesionale - doctori și avocați. Recitalul 91 din Regulament: “Prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecției datelor nu ar trebui să fie obligatorie”.

Ne dorim să dăm încă odată un mesaj foarte… intens decidenților de a face spațiu pentru inovație în România. Țari precum Olanda, Estonia, Marea Britanie, Statele Unite, Canada fac eforturi deosebite pentru a asimila și a stimula inovația în sănătate, iar elementul digital este esențial.

GDPR încearcă să concilieze cele două valori concurente: caracterul privat al datelor personale pe de o parte și inovarea științifică și tehnologică de cealaltă parte. În epoca ”big data”, în care activitățile de analiză a datelor ale multor organizații se pot califică drept cercetare. Un lucru este însă clar: GDPR își propune să încurajeze inovarea, atâta timp cât organizațiile implementează garanțiile corespunzătoare. Astfel, prin Articolul 179 alineatul (1) din ”Tratatul privind funcționarea Uniunii Europene”, se promovează "obiectivul consolidării bazelor sale științifice și tehnologice prin realizarea unui spațiu european de cercetare în care cercetătorii, cunoștințele științifice și tehnologia circulă liber. Florina Raicu, PhD

Sistemele digitale generează foarte multe date, iar datele din sănătate sunt extraordinar de importante de la aspecte administrative, la cele de management al pacientului. Dar mai important, ele trebuie să reprezinte o sursă pentru politici în sănătate, pentru cercetare și inovație.

Pentru dezbateri mai ample ale actorilor participanți la sănătate, inclusiv cu perspective din alte state europene (Estonia, Olanda, Germania), vă invităm să urmăriți înregistrările foarte relevante de la conferința din 20 Aprilie - Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate.

Partea 1 - Impactul GDPR în politicile de sănătate

Partea 2 - Masterclass : Aplicarea GDPR în Sănătate

Partea 3 - Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate – bun public și bun personal

 

Referințe

Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei - http://www.cdep.ro/proiecte/2018/100/60/7/pl219.pdf

The Digital Health Society Declaration (Declarația pentru o Societate de Sănătate Digitală), 14 iulie 2017 - https://ec.europa.eu/digital-single-market/en/news/digital-health-society-declaration

EU Member States sign up to cooperate on artificial intelligence (State Membre din UE semnează să coopereze în domeniul inteligenței artificale), 10 aprilie 2018 - https://ec.europa.eu/digital-single-market/en/news/eu-member-states-sign-cooperate-artificial-intelligence

Global Competitiveness Index 2017-2018 (Indexul Global de Competitivitate), România  - http://reports.weforum.org/global-competitiveness-index-2017-2018/countryeconomy-profiles/#economy=ROU

Ghidul privind deciziile automate individuale și profilare - http://www.dataprotection.ro/servlet/ViewDocument?id=1463

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) - http://www.dataprotection.ro/servlet/ViewDocument?id=1262

Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate, 20 aprilie - http://www.idse.ro/evenimente/aplicarea-regulamentului-european-privind-datele-cu-caracter-personal-in-sanatate/

Video, partea 1 - Impactul GDPR în politicile de sănătate - https://www.facebook.com/ICEEFest/videos/2472178672807889/

Video, partea 2 - Masterclass: Aplicarea GDPR în Sănătate - https://www.facebook.com/ICEEFest/videos/2472302889462134/

Video, partea 3 - Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate – bun public și bun personal https://www.facebook.com/ICEEFest/videos/2472389232786833/

 

 

 

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Piața serviciilor medicale și primele confuzii alarmante în implementarea GDPR

La nivelul unei companii cu peste 1.400 de angajați , implementarea greșită a regulilor de protecție a datelor personale a fost relevată de transmiterea unui e-mail către destinatarul necorespunzător. Importanța nu […]

Noi reglementări privind protecția datelor cu caracter personal în domeniul medical

Articol publicat in Revista Health Anul 6 – Nr. 53 – editia tiparita – Martie 2018

GDPR: „Îmi pare rău nu este de ajuns”

Grupul de Lucru Art. 29 (WP 29) privind protecţia datelor este un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele […]

Contextul aparitiei GDPR in Romania

Noul Regulament privind protectia datelor cu caracter personal va intra in vigoare in toate statele membre ale Uniunii Europene incepand cu data de 25 Mai 2018. In ultimele […]

Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic

Articol publicat sub egida Colegiului Farmaciștilor din România –Filiala Cluj Autor: Av. Oana Murariu   Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor […]

Dezbatere publica pe proiectul Legii pentru aplicarea GDPR in Romania

A fost publicata propunerea legislativa privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal […]

A aparut standardul ocupational pentru DPO

Autoritatea Nationala pentru Calificari a aprobat conform deciziei 74/19.03.2018 standardul ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231. […]

Conferință despre protecția datelor cu caracter personal în domeniul medical, la UMF Tîrgu Mureș

Universitatea de Medicină și Farmacie (UMF) din Tîrgu Mureș și Universitatea „Petru Maior” (UPM) din Tîrgu Mureș, în parteneriat cu alte instituții, organizează mâine, 22 martie 2018, în intervalul […]

GDPR Medical – revoluția relațiilor interumane în era informatică

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.   Articol publicat in Revista Health Anul 6 […]

Ce trebuie sa stim despre GDPR ?

  Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Parlamentul European și Consiliul au adoptat, în […]

Conferință despre protecția datelor cu caracter personal în domeniul medical

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.   Universitatea de Medicină și Farmacie (UMF) din […]

Colegiul Pacientilor invoca normele GDPR

Colegiul Pacientilor cere primariei orasului Giurgiu stergerea imediata a  afectiunilor medicale ale asistatilor sociali. Primaria din Giurgiu incalca legea prin acest demers. Situatia de fapt:  Primarul orasului Giurgiu […]