Manca meno di un mese all’entrata in vigore della normativa GDPR,
quali saranno le conseguenze per i Poliambulatori e i Centri Medici Privati?
Il 25 maggio 2018 è alle porte, data in cui il nuovo Regolamento generale Europeo sulla Protezione dei Dati sarà in piena attuazione.
Questa nuova normativa impone nuovi obblighi in tema di dati personali e sulla loro protezione.
In breve:
- Negli ultimi anni la Protezione dei Dati è diventata elemento di competitività per le aziende.
- La corretta individuazione dei ruoli data protection e dei flussi di dati è fondamentale per gestire gli obblighi di legge.
- L’identificazione dei flussi di dati è un’attività chiave per ripartire le competenze (e le responsabilità) dei trattamenti del nuovo GDPR.
- Tutti gli operatori del sistema sanitario devono comprendere che esercitare la professione sanitaria oggi vuol dire non solo curare le persone, ma prendersi anche cura dei loro dati.
Dunque il nuovo regolamento…
“ IL REG. 679/2916 SI APPLICA A QUALSIASI TRATTAMENTO DI DATI PERSONALI„
Tipologia di dato:
Dato Personale: “qualunque informazione relativa a persona fisica, identificata o identificabile”
Dato Sensibile (anche detto Dato Particolare): “i dati personali idonei a rivelare origine razziale ed etnica, le convinzioni religiose, filosofiche (…) le opinioni politiche, l’adesione a partiti, sindacati, (…), lo stato di salute e la vita sessuale”
Nuovi diritti sui dati personali:
- Diritto di accesso
- Diritto di cancellazione
- Diritto di conservazione e trasferimento (portabilità del dato senza impedimenti)
Obietto GDPR: Maggiore controllo e sensibilizzazione per i cittadini UE sui propri dati personali
Soggetti interessati: Tutte le aziende, organizzazioni, attività che raccolgono e archiviano dati personali dei cittadini residenti in Unione Europea.
Cosa cambierà: Si passa da un elenco di misure minime da attuare a misure adeguate alla valutazione del rischio privacy.
COSA FARE?
- Valutare gli impatti di rischio sulle attività svolte e le comunicazioni con il paziente
- Attuare misure e tecniche di protezione, adottare tenendo in considerazione le specifiche finalità di trattamento (esempio diagnosi e cura)
- Formalizzare una procedura interna per l’acquisizione, il trattamento e la conservazione dei dati personali
- Tutelare i dati personali ricevuti e archiviati
- Creare un Registro di Trattamento del dato (cartaceo o elettronico), tra cui includere le finalità, la durata di conservazioni e il livello di rischio
- Nominare una figura dedicata alla gestione dei dati nel rispetto della norma, il cosiddetto Data Protecion Officer (DPO)
Per formalizzare tutte le procedure l’Avvocato o il consulente privacy sono le figure giuste 😉
Si potrebbe scrivere un libro per ognuno dei sei punti. Ma anche solo soffermandoci al primo.
La valutazione dei rischi privacy, e delle relative misure di sicurezza è a discrezione delle singole aziende.
Questo significa che è:
Da dimostrare ex-post
Ovvero, che devi essere pronto a dimostrare che hai valutato i rischi e che hai preso misure adeguate.
E il software gestionale?
La normativa prevede un concetto semplice ma estremamente importante.
I sistemi (non solo software, ma anche i processi e organizzativi) devono basarsi su due concetti:
- Privacy by Design
- Privacy by Default
Significa che i sistemi e le procedure interne, devono essere progettate fin dall’inizio per essere adeguati alla normativa (Privacy by Design).
Inoltre una volta attivati, questi devono essere automaticamente configurati per essere adeguati alla normativa (Privacy by Default).
Se parliamo di software, questo vuol dire che il software deve automaticamente impostarsi in modo che non possa essere raggirata alcuna normativa.
Questo però può essere superato qualora lo voglia il Titolare del Trattamento, cioè il Centro Medico. E potrebbe volerlo per mille motivi, come ad esempio anche l’Interesse Legittimo del Paziente.
In questi casi i sistemi permettono questo superamento, ma dovrete essere voi a richiederlo esplicitamente, ed assumendovene ogni responsabilità.
Vettore.Medical è stato progettato fin dall’inizio per essere allineato alla normativa sulla Privacy, in particolare molti clienti apprezzano il fatto che essendo totalmente web, li solleva da una parte di responsabilità che erano obbligati a gestire quando avevano i dati su propri Server.
Ciò detto, l’entrata in vigore del GDPR aggiunge alcuni ulteriori obblighi, che sono stati già totalmente recepiti da Vettore.Medical.
Poterci nominare Responsabili Esterni del Trattamento è un vantaggio importante. Sempre di più viene tenuto in grande considerazione.
Avere un sistema tradizionale, con i dati nei propri PC, porta con se numerosi obblighi e gestioni, che possono essere superate in un istante con Vettore.Medical.
Ricordo infine che l’adeguamento al GDPR deve essere affrontato dalla vostra azienda (come da ogni azienda) indipendentemente dal software utilizzato.
DA DOVE INIZIARE?
- Analizzare la gestione la gestione della Privacy (informative, consensi, contrattualistica, eventuali DPS…) e verificarne la conformità ai principi GDPR
- Valutare l’adeguatezza delle misure di protezione, in base alla tipologia dei dati gestiti, dei trattamenti e dei rischi connessi
- Colmare eventuali GAP tecnologici nella gestione delle informazioni
Vettore.Medical semplifica le attività di adeguamento
- Il dato in Vettore.Medical è protetto ed organizzato
- Documenti crittografati
- Gestione LOG di tutte le attività
- Accesso ai dati in base a livelli di Riservatezza impostati, ed a regole
- Possibilità di generare Documenti (informative, consensi, ….) automaticamente per aiutare il personale nel lavoro quotidiano
- Raccolta Digitale dei Trattamenti a supporto della redazione del Registro dei Trattamenti
- Gestione dei Processi, come procedure anche guidate
- Generazione automatica dei Backup e ridondanza del dato
- Controllo automatico livelli di sicurezza delle password e degli accessi
Per saperne di più: info@vettorerinascimento.it
Elena Rizzoli
Vettore.Medical
Fonti: Agenda Digitale – Avvocato Delli Ponti – Studio Legale Stefanelli