Piața serviciilor medicale și primele confuzii alarmante în implementarea GDPR

GDPR

Vizualizari: 22482

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

La nivelul unei companii cu peste 1.400 de angajați , implementarea greșită a regulilor de protecție a datelor personale a fost relevată de transmiterea unui e-mail către destinatarul necorespunzător. Importanța nu este dată de transmiterea greșită a acestui e-mail, ci de multiplele indicii care arată că unul dintre operatorii de date privind sănătatea, care se află în top 3 pe piața serviciilor medicale private, , a eșuat în implementarea corectă a politicilor de prelucrare a datelor.
E-mail-ul însoțea o Anexă la contract denumită ”Acord de prelucrare a datelor cu caracter personal” și a fost transmis către un pacient care și-a achiziționat în nume propriu un pachet de servicii medicale de la acest furnizor, adică nu a accesat serviciile ca pe un beneficiu acordat de angajatorul său.
Conținutul și trimiterile specifice către un contract de prestări servicii încheiat în beneficiul unor terți, dezvăluie natura relației contractuale către care face trimitere Anexa, respectiv un contract încheiat cu un angajator care a contractat serviciile medicale ale furnizorului serviciilor medicale în beneficiul angajaților săi.
Ignorăm și lipsa totală de adecvare a Anexei la relația contractuală, precum am ignorat și transmiterea greșită a e-mail-ului. Ne-am limitat ignoranța la aceste două elemente și am parcurs Anexa din perspectiva destinatarului corect al mesajului, respectiv din perspectiva angajatorului care primește Anexa.
Multitudinea și diversitatea neregulilor identificate de noi ar putea genera o serie de articole pe marginea aceleiași Anexe, însă am întocmit un top 3 al abaterilor de la conformitatea prelucrării datelor personale și a consecințelor pe care le poate genera fiecare abatere, așa încât să contribuim la conștientizarea impactului al unei implementări greșite asupra siguranței datelor personale.

1) Lipsa de responsabilitate la inventarierea datelor personale
În urma unei inventarieri efectuată cu acuratețe, furnizorul ar fi putut identifica precis patru aspecte esențiale procesului de conformare:

  • categoriile de date prelucrate;
  • scopul și durata pentru care prelucrează fiecare categorie de date;
  • temeiul legal al fiecărei prelucrări;
  • rolul pe care îl are în cadrul fiecărei categorii de prelucrări, potrivit cu reglementarea GDPR respectiv relațiile de tipul: operator – operator, operator – împuternicit, operator – destinatar,
    operator – persoană interesată, operator – persoană vizată.

CONSECINȚĂ: Inventarierea lipsită de acuratețe atrage, prin efectul de domino, încălcarea tuturor celorlalte principii ale prelucrării. Spre exemplu, furnizorul serviciilor medicale invocă temei al
prelucrării executarea contractului încheiat cu angajatorul (sic!) pentru prelucrarea datelor privind sănătatea, a datelor biometrice și genetice, în timp ce temei al acestor prelucrări este contractul de furnizare de servicii medicale încheiat cu angajatul care dorește să profite de beneficiile puse la dispoziție de angajator.
Dacă discutăm despre medicina muncii, calitatea unei persoane de a fi aptă sau inaptă pentru muncă este dezvăluită angajatorului, nu în mod direct de către furnizorul serviciilor medicale, ci de către candidatul pentru încadrarea în muncă, chiar dacă angajatorul este acela care a încheiat contract de prestări servicii medicale cu furnizorul

2) Încălcarea principiului prelucrării în mod legal, echitabil și transparent față de persoana vizată

n urma unei inventarieri corecte a datelor pe care le deține deja, furnizorul serviciilor medicale ar fi aflat că datele privind sănătatea, datele biometrice și datele genetice sunt colectate direct de la persoana vizată, independent de relația contractuală dintre furnizorul serviciilor și angajatorul pacientului, și sunt prelucrate pentru executarea contractului încheiat direct cu persoana vizată nu a contractului încheiat cu angajatorul ei.
Dacă serviciile medicale furnizate angajaților pot genera date genetice sau biometrice – care în esență nu sunt necesare raportului contractual dintre angajator și furnizorul de servicii medicale – atunci consimțământul pentru colectarea acestor date personale se obține direct de la persoana vizată, iar în procesul de prelucrare, acestea nu vor fi dezvăluite angajatorului.
Este inutilă informarea angajatorului în legătură cu prelucrarea unor date ale angajatului în scopuri de marketing direct, întrucât angajatorul nu este în măsură să acorde consimțământ în acest scop.

Aparent, furnizorul de servicii medicale nu deține resursele necesare pentru a păstra evidențe separate ale prelucrării datelor pentru fiecare dintre rolurile pe care le poate juca în cadrul operațiunilor de prelucrare, în timp ce invocă în cadrul acestei Anexe, ca temei al prelucrării datelor genetice și a datelor biometrice ale angajaților, art. 9 alin. (2) lit. h). din GDPR, respectiv ”prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului....”, inclusiv cu scopul declarat de informare prin campanii de marketing direct.

CONSECINȚĂ: Pentru că nu a identificat corect temeiul legal pentru fiecare categorie de date prelucrate, respectiv prelucrarea datelor personale de identificare în temeiul executării contractului
încheiat cu angajatorul, în calitate de împuternicit iar prelucrarea datelor privind sănătatea, a datelor genetice și a celor biometrice, în temeiul executării contractului încheiat cu pacientul, în calitate de operator, furnizorul serviciilor medicale a specificat în mod greșit în Anexă că acordul este valabil pentru o durată egală cu durata contractului încheiat cu angajatorul.
Calitatea furnizorului de operator al datelor prelucrate în baza contractului încheiat cu pacientul subzistă datei încetării contractului încheiat cu angajatorul, așa încât durata prelucrării este, cel mai probabil, stabilită în mod greșit de către acesta.

3) Neadaptarea Anexei la rolul concret pe care îl are furnizorul serviciilor medicale în fiecare proces de prelucrare a datelor

Considerând precisă și corectă relația de tipul operator – împuternicit identificată de furnizorul serviciilor medicale, acesta eșuează în a prelua și a-și asuma întocmai obligațiile pe care le impune
GDPR în sarcina împuternicitului, în ciuda faptului că această relație este expres reglementată de art. 28 din GDPR.

CONSECINȚĂ: persoana care plătește sau negociază tarifele aplicabile serviciilor medicale ale furnizorului – dar care nu este și beneficiarul serviciilor plătite sau negociate și care permite acestui
furnizor să își mărească cota de piață prin facilitarea accesului angajaților proprii la serviciile sale medicale, se expune prin semnarea acestei Anexe răspunderii în baza GDPR pentru accesul pe care îl permite furnizorului la datele angajaților săi, fără a-i impune obligațiile corelative calității de împuternicit.
Fluxurile datelor sunt foarte diversificate în cadrul activității desfășurate de un astfel de furnizor de servicii medicale. Diversitatea fluxurilor de date a atras confuzii privind rolul pe care îl pot juca
furnizorii în procesele de prelucrare a datelor, uneori, față de aceeași persoană vizată, putând avea chiar în același timp rolul de operator și rolul de împuternicit cu privire la anumite categorii de date.
Pentru că relația profesională medic – pacient este directă și indisolubil legată de datele personale privind identitatea și sănătatea pacientului, aceste date personale sunt prelucrate direct de către
furnizorul serviciilor medicale, fapt ce îl pune pe furnizor în postura de operator de date personale privind identitatea și sănătatea, în toate cazurile.
Confuziile încep să apară, de exemplu, când furnizorul serviciilor medicale își accesează pacientura din rândul angajaților unui terț de actul medical. Fie că vorbim despre serviciile ce țin de medicina muncii sau despre beneficiile acordate angajaților prin negocierea unor tarife preferențiale pentru accesul la serviciile medicale prestate de un anumit furnizor, legătura medic – pacient nu va fi intermediată de angajator în niciun caz.

Autor: Andreea ION – Avocat titular Cabinet de Avocat Andreea ION, www.avocat-gdpr.ro

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

CMR: Facem un apel ferm la respectarea confidenţialităţii datelor privind sănătatea pacienţilor.

GDPR

Vizualizari: 975

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Confidenţialitatea datelor de sănătate ale tuturor pacienţilor este un drept fundamental, consfinţit de legile naţionale şi europene.

Din păcate, în ultimul timp,  asistăm la expunerea în spaţiul public a unor elemente de diagnostic ale unor pacienţi. Constatăm astfel cum, persoane publice sau private încalcă dreptul  fundamental al pacienţilor, respectiv, dreptul la confidenţialitate .

Colegiul Medicilor din România este apărătorul de drept şi firesc al intereselor pacienţilor.

“De aceea, facem un apel ferm  la respectarea drepturilor tuturor pacienţilor români, indiferent de diagnostic şi de contextul în care se află bolnavul, a spus preşedintele CMR, dr. Gheorghe Borcean.

Legea drepturilor pacientului nr. 46/2003

Art. 21. - Toate informațiile privind starea pacientului, rezultatele investigațiilor, diagnosticul, prognosticul, tratamentul, datele personale sunt confidențiale chiar și după decesul acestuia.

Art. 22. -Informațiile cu caracter confidențial pot fi furnizate numai în cazul în care pacientul își dă consimțământul explicit sau dacă legea o cere în mod expres.

Art. 23. - În cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați, implicați în tratamentul pacientului, acordarea consimțământului nu mai este obligatorie.

Pacientul are acces la datele medicale personale.

Art. 25.

(1) Orice amestec în viața privată, familială a pacientului este interzis, cu excepția cazurilor în care această imixtiune influențează pozitiv diagnosticul, tratamentul ori îngrijirile acordate și numai cu consimțământul pacientului.

(2) Sunt considerate excepții cazurile în care pacientul reprezintă pericol pentru sine sau pentru sănătatea publică.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Asociatia Romana de Psihiatrie si Psihoterapie protesteaza

GDPR

Vizualizari: 1422

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Referitor la publicarea de către domnul Darius Vâlcov - consilier de stat al premierului României - pe pagina sa Facebook, a unui document medical confidențial, precum și a postării aferente  referitoare la statusul mintal, Asociatia Romana de Psihiatrie si Psihoterapie, în calitate de asociație profesională națională a medicilor psihiatri,  protestează cu fermitate și face următoarele precizări publice:

Protecția datelor cu caracter personal este un drept fundamental, consacrat prin Tratatul de la Lisabona, Carta drepturilor fundamentale ale Uniunii Europene, în art. 8, care prevede că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

Pacientul cu tulburări psihice are dreptul de a fi respectat ca persoană umană, fără nici o discriminare. Astfel, Legea sănătății mintale și a protecției persoanelor cu tulburări psihice nr. 487/2002 actualizată, art. 16. reiterează că, (1) “Persoana care este evaluată din punct de vedere al sănătății mintale are dreptul la confidențialitatea informațiilor”(…)

Prin publicarea documentației medicale confidențiale s-a produs o gravă abatere nu doar din punct de vedere legal ci și etic.

De asemenea, utilizarea disprețuitoare de către o persoană publică importantă (consilier al premierului României), cu responsabilități și vizibilitate  internă și externă, a apelativului de “sandilău“ cu referire la persoana respectivă, reprezintă o încălcare flagrantă atât a legislației în vigoare dar și o afirmație profund stigmatizantă și care are repercusiuni multidimensionale, aruncând o anatemă asupra tuturor pacienților cu suferințe psihice, care au nevoie de protecția și respectul cuvenit din partea statului român.

În sinteză, Asociatia Romana de Psihiatrie si Psihoterapie protestează cu fermitate împotriva unui asemenea tip de atitudine din partea unui consilier al primului-ministru și solicită public autorităților competente, anchetarea conjuncturii în care documentația medicală a ajuns în posesia persoanelor neautorizate precum și tragerea la răspundere a tuturor celor implicați.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Protecția datelor în domeniu sanitar, abordare pragmatică sau complianță formală?

Articol publicat in Revista Health Anul 6 – Nr. 56 – editia tiparita – Iunie-Iulie 2018

GDPR – o provocare pentru sistemul sanitar romanesc

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical care stau la baza relației profesionist-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi […]

Garantarea vieții private a murit ! Poate GDPR-ul să o reanimeze ?

Începând cu data de 25 mai 2018 a intrat în vigoare Regulamentul 679/2016 cunoscut sub numele de GDPR. Această nouă lege nu aduce o revoluție în domenul protecției […]

Responsabilul cu protecţia datelor cu caracter personal

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei […]

A fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679

In data de 19 Aprilie 2018 a fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în […]

Profesiune libera sau persoana vizata?

Noul Regulament European privind Protectia Datelor defineste „datele cu caracter personal” ca fiind orice informații privind o persoană fizică identificabilă, care poate fi identificată, direct sau indirect, în special […]

Prioritate privind conștientizarea importanței GDPR

Articol publicat in Revista Health Anul 6 – Nr. 54 – editia tiparita – Aprilie 2018  

Lorena Macnaughtan: GDPR – „25 mai este doar începutul”

Lorena Macnaughtan, MBA, este directorul iCEE.health, eveniment în inovația digitală în sănătate, destinat tuturor participanților în sistem: pacienți, doctori, asistenți, studenți, entreprenori, manageri, autorități.  Acesta are loc în acest an pe 14 iunie, […]

Cursuri GDPR pentru angajatii din sistemul sanitar

Ce trebuie sa stim despre GDPR ? Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in […]

Legea GDPR in Romania creeaza tensiuni

  Aparitia unei Legi „GDPR” in Romania este o initiativa asteptata de intreaga comunitate a organizatiilor din domeniul sanitar, existand mai multe proiecte in acest moment. Chiar daca […]

Noi reglementări privind protecția datelor cu caracter personal în domeniul medical

Articol publicat in Revista Health Anul 6 – Nr. 53 – editia tiparita – Martie 2018

GDPR: „Îmi pare rău nu este de ajuns”

Grupul de Lucru Art. 29 (WP 29) privind protecţia datelor este un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele […]

Contextul aparitiei GDPR in Romania

Noul Regulament privind protectia datelor cu caracter personal va intra in vigoare in toate statele membre ale Uniunii Europene incepand cu data de 25 Mai 2018. In ultimele […]

Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic

Articol publicat sub egida Colegiului Farmaciștilor din România –Filiala Cluj Autor: Av. Oana Murariu   Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor […]

Dezbatere publica pe proiectul Legii pentru aplicarea GDPR in Romania

A fost publicata propunerea legislativa privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal […]

A aparut standardul ocupational pentru DPO

Autoritatea Nationala pentru Calificari a aprobat conform deciziei 74/19.03.2018 standardul ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231. […]

Conferință despre protecția datelor cu caracter personal în domeniul medical, la UMF Tîrgu Mureș

Universitatea de Medicină și Farmacie (UMF) din Tîrgu Mureș și Universitatea „Petru Maior” (UPM) din Tîrgu Mureș, în parteneriat cu alte instituții, organizează mâine, 22 martie 2018, în intervalul […]

GDPR Medical – revoluția relațiilor interumane în era informatică

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Articol publicat in Revista Health Anul 6 – […]

Ce trebuie sa stim despre GDPR ?

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Parlamentul European și Consiliul au adoptat, în data […]

Conferință despre protecția datelor cu caracter personal în domeniul medical

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Universitatea de Medicină și Farmacie (UMF) din Tîrgu […]