Pregătiți-vă pentru noul Regulament General de Protecție a Datelor!

Pe piața neagră a internetului, bazele de date cu caracter personal sunt o marfă cu mare căutare. Și, în pofida aparențelor, cele mai valoroase nu sunt datele financiare, ci informațiile medicale, care se vând de câteva ori mai scump decât datele cardurilor de credit.

Lucru care explică de ce hackerii s-au „reorientat profesional“ în ultimii ani către spitale, clinici și sisteme de asigurări de sănătate. De exemplu, anul trecut, exploatând cele mai mari 10 breșe de securitate ale instituțiilor de sănătate din Statele Unite, hackerii au sustras datele medicale a peste 12,5 milioane de persoane. Iar aceasta nu e decât partea vizibilă a icebergului – în 2016 numărul total de breșe din sistemul american de servicii de sănătate din SUA a fost de 328.

În Europa, astfel de cazuri nu sunt, încă, foarte „popularizate“. Firesc, dacă ținem cont că un astfel de anunț afectează iremediabil credibilitatea oricărei instituții medicale. Lucrurile se vor schimba însă începând cu anul viitor, când în toate statele membre ale UE va intra în vigoare noul Regulament General de Protecție a Datelor. Acesta stipulează clar obligația tuturor organizațiilor care colectează și utilizează date cu caracter personal de a raporta breșele de securitate atunci când ele afectează integritatea, confidențialitatea și/sau disponibilitatea respectivelor informații. Și, pentru că „unde-i lege, nu-i tocmeală“, organizațiile care nu vor respecta această prevedere riscă amenzi substanțiale, ce pot ajunge până la 4% din cifra totală de afaceri a instituției penalizate.

Teoretic, aplicarea General Data Protection Regulation (GDPR) începând cu data de 25 mai 2018 vizează orice prestator de servicii medicale, de la cabinete private, clinici și spitale până la rețele de sănătate și asigurători. GDPR stabilește că sub incidența regulamentului intră orice profesionist din domeniul medical care colectează, înregistrează, stochează, utilizează sau face publice informații despre starea de sănătate a unei persoane sau despre serviciile medicate furnizate acesteia. De asemenea, precizează că oricare dintre aceste operațiuni nu poate fi realizată decât cu consimțământul explicit al pacientului, având reguli detaliate despre modul în care persoanele trebuie informate (despre contextul utilizării datelor lor personale, dacă datele vor fi transferate, cât timp vor fi păstrate etc.).

GDPR include și alte prevederi care vizează direct furnizorii de servicii de sănătate, iar până în luna mai a anului viitor mai sunt doar câteva luni. Așa că instituțiile medicale ar trebui să treacă la acțiune, analizând cu atenție noile cerințe și soluțiile pe care le au la dispoziție, pentru a nu intra în criză de timp.