Datele privind sănătatea

/ 8 iunie 2017

În timp ce la noi nu prea se întîmplă lucruri demne de luat în seamă în legătură cu Regulamentul european pentru protecția datelor – GDPR, alte țări s-au pus pe treabă:

  • Germania are aproape aprobată o nouă lege pentru protecția datelor personale.
  • Ministerul justiției din Danemarca a publicat un raport cu privire la implicațiile GDPR
  • În Austria, Suedia, Irlanda, Italia s-au publicat norme cu privire la implementare/aplicare
  • În Olanda, autoritatea desemnată a publicat „FAQ„

La noi? Faptul că nu avem noutăți…nu este nici o noutate :). Pînă în mai 2018 mai este timp…..

Să revin la titlu:

date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre

Spitale, farmacii, laboratoare de analiză, dosarul electronic, medici de familie, medicina muncii, asigurători….Endpoint-uri și baze de date. Acces, prelucrare și rapoarte. După cum am mai spus: aspectele juridice sînt „fața văzută a Lunii„. Personal, aspectele tehnice, prin complexitatea sistemelor pe care trebuie să le protejeze, mă cam sperie.

În cazul datelor despre sănătate am cîteva întrebări retorice:

  • se poate fără DLP (inclusiv device control)?
  • se poate fără protecție la nivel de bază(e) de date?
  • se poate fără „audit trail„?
  • se poate fără responsabil/DPO?

Șî întrebarea fundamentală: astăzi, în iunie 2017, știți cu exactitate pe unde sînt datele personale ale celor pentru care oferiți servicii?

Știți cine, ce, unde, cînd a copiat?

Puteți spune oricărui client „povestea„ datelor sale?

Sînteți siguri că, deși veți pune în practică „măsuri tehnice și organizatorice„ nu se vor găsi „prieteni„ care să publice astfel de date pentru că deja le au?

Responsabilitatea legală a managementului este explicită. Faptul că autoritatea națională poate da dovadă de indulgență nu trebuie luată ca o soluție. Nu mai merge doar cu hîrtii ca la ISO 27001:

un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Sper să nu ajung vreun „expert GDPR„ ca cei care au umplut online-ul, dar nu există nici o soluție general valabilă! Indiferent de ce se scrie prin teorie sau materiale mai mult sau mai puțin publicitare există o singură amenințare și o singură vulnerabilitate: omul!

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.