Protecția datelor cu caracter personal în domeniul medical, nelipsită de breșe de securitate

Deși ne aflăm la aproape un an de la intrarea în vigoare a Regulamentului General privind Protecția Datelor (GDPR) nu fiecare instituție aplică prevederile acestui Regulament, motiv pentru care există breșe de securitate, în special în sistemul sanitar unde siguranța prelucrării și stocării datelor sensibile din domeniul medical este o mare responsabilitate.

Conștientizarea importanței acestui Regulament și a prevederilor sale rămâne o constantă în rândul entităților ce prelucrează datele cu caracter personal, dar și a celor cu caracter special. Universitatea de Medicină, Farmacie, Științe și Tehnologie (UMFST) din Târgu-Mureș a lansat un curs postuniversitar în domeniul protecției datelor în cadrul Facultății de Economie și Drept, ce a fost lansat în cadrul celei de a doua ediții a Conferinței Naționale de Protecția Datelor în Domeniul Sanitar (CNPDDS), organizat în data de 28 ianuarie, la Târgu-Mureș.

”Subiectul este unul extrem de important și a explodat în ultima vreme, atât în zona lui practică de aplicabilitate, dar și în zona de teorie, de instruire. Dincolo de legislația care este foarte bine definită, în acest moment noi constatăm că nu se face în fiecare instituție și în fiecare loc ceea ce trebuie și există breșe de securitate, sigur mai puțin evidente în mediul public, dar pe care noi administratorii le putem remarca. O zonă cu totul sensibilă este zona medicală și noi fiind UMFST ne interesează în mod deosebit. Este o zonă în care se lucrează cu date personale ale bolnavilor, cu informații care au gradul lor de confidențialitate și multă vreme partea cu protecția datelor a fost tratată cu prea multă ușurință, acum a venit vremea să le punem în poziția care trebuie”, a apreciat prof. dr. Leonard Azamfirei, rectorul UMFST Târgu-Mureș.

Contextul apariției GDPR se datorează multiplelor incidente de securitate personală, având în vedere faptul că trăim într-o eră digitală unde zilnic sunt prelucrate și stocate date personale, în diferite domenii de activitate. Regulamentul urmărește o nouă conduită și filosofie în ceea ce privește viața privată a persoanelor despre a căror date este vorba, sunt impuse multe principii, unele existând și înainte, însă acum sunt suplimentate prin mecanisme de garantare, multe ghiduri elaborate de specialiști.

”Regulamentul vine să răspundă unor provocări care țin în special de dezvoltarea tehnologică, iar dezvoltare tehnologică nu este o chestiune care privește doar România. Este o chestiune care privește toate statele membre ale Uniunii Europene și întreaga lume încearcă să răspundă provocărilor acestei tehnologii în continuă evoluție (…) Domeniul sanitar este un domeniu mai sensibil decât celelalte și necesită o confidențialitate și o protecție ridicată față de alte domenii”, a precizat conf. dr. univ. Nicolae Ploeșteanu, președintele CNPDDS 2019 și directorul Centrului pentru Protecția Datelor din cadrul UMFST Târgu-Mureș.

Pentru sistemul sanitar, atât public cât și privat, implementarea acestui GDPR, siguranța prelucrării și stocării datelor sensibile din domeniul medical este o mare responsabilitate. Totuși, sistemul sanitar este destul de bine acoperit de proceduri, respectiv standardele de acreditare conform Ordinului nr 446/2017. Standardele conțin și reglementări GDPR privind protecția datelor și persoana responsabilă cu protecția datelor cu caracter personal care are sarcina de a identifica breșele de securitate și de a găsi soluții de stopare a lor.

”La momentul acesta, spitalele, atât publice cât și private, respectă aceste norme. Suntem într-adevăr la început, să nu credeți că acum în spitale au implementate 100% aceste proceduri”, a precizat Vasilică Rusu, președintele Asociației Evaluatorilor de Servicii Medicale.

Curs postuniversitar de protecția datelor

Regulamentul prevede existența unui DPO care trebuie să aibă cunoștințe de specialitate pe zona protecției de date, iar UMFST Târgu-Mureș a lansat în acest sens un curs postuniversitar de formare a acestor specialiști. ”Cursul are 188 de ore repartizate în mod flexibil în așa fel încât să se ajungă la o școlarizare și o dobândire de competențe suficiente și adecvate de către cursanți. Cursantul învaţă că nu el răspunde pentru neconformare, ci operatorul de date, spitalul. El (n. red.- cursantul) trebuie să furnizeze consiliere şi informare, rămâne ca operatorul să decidă ce implementează. Cursantul învață că această informare și consiliere are la bază măsuri tehnice clare și organizatorice pentru securitatea informației, pentru confidențialitatea sa”, a declarat conf. dr. univ. Nicolae Ploeșteanu.

Absolventul poate să fie angajat ca responsabil pe protecţia datelor – Data Protection Officer (DPO), ocupație ce este inclusă în COR 242231.

Arina TOTH