Studiu statistic privind gradul de conformitate GDPR în sistemul sanitar românesc, lansat la Târgu-Mureș

Pentru a marca Ziua Europeană a protecției datelor, Asociația SURYAM și Universitatea de Medicină, Farmacie, Ştiinte şi Tehnologie Târgu-Mureș – Centrul de Cercetare pentru Politici de Sănătate și Management şi Centrul Pentru Protecţia Datelor au organizat, în data de 28 ianuarie 2019, la Palatul Culturii din Târgu-Mureș cea de-a doua ediție a Conferinței Naționale Protecția Datelor în Domeniul Sanitar. Partenerii CNPDDS 2019 au fost Camera Deputaților – Comisia pentru Sănătate și Familie și Asociatia Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD).

Temele abordate au fost unele de ordin practic, de mare interes pentru profesioniștii în domeniul protecției datelor din sistemul sanitar, la această a doua ediție confirmand participarea reprezentanți ai instituțiilor implicate în elaborarea și implementarea politicilor de sănătate și privind protecția datelor cu caracter personal precum Casa Națională de Asigurări de Sănătate, Autoritatea Națională de Management al Calității în Sănătate, Asociatia Evaluatorilor de Servicii Medicale din Romania, Colegiul Farmacistilor din Romania, Ordinul Asistenților Medicali Generaliști, Moașelor și Asistenților Medicali din România, Asociatia pentru Protecția Vieții Private din Republica Moldova, Asociația pentru Educație Pediatrică în Medicina de Familie, High Tech System & Software, DIGISIGN, GDPR Protect, Data Klas, Amplusnet, Genesis Athens și GDPR Complet. (Programul preliminar, galeria foto și lucrarile prezentate pot fi consultate pe website-ul evenimentului: www.cnpd.ro )

„Subiectul este extrem de important şi a explodat în ultima vreme, atât în zona lui practică de aplicabilitate, dar şi în zona de teorie şi de instruire. Dincolo de legislaţia care este foarte bine definită în acest moment, noi constatăm că nu se face în fiecare instituţie, în fiecare loc, ceea ce trebuie, iar din acest motiv există breşe de securitate – sigur, mai puţin poate evidente în mediul public, dar pe care noi, administratorii, le putem remarca. O zonă cu totul sensibilă este cea medicală, iar noi, fiind UMFST, ne interesează în mod deosebit, este o zonă în care se lucrează cu datele personale ale bolnavilor, cu informaţii care au gradul lor de confidenţialitate şi, din acest punct de vedere, multă vreme partea de protecţia datelor a fost tratată cu prea muLtă uşurinţă. Acum a venit vremea să le punem în poziţia care trebuie. De Ziua Internaţională a Protecţiei Datelor trebuie să fie un mesaj pentru noi faptul că viaţa privată a fiecărui om este la fel de importantă ca şi viaţa publică”, a afirmat Prof. Dr.Univ. Leonard Azamfirei, rectorul UMFST Târgu-Mureș.

Preşedintele Asociaţiei Evaluatorilor de Servicii Medicale din România, Silviu Rusu, a precizat că spitalele din România, respectă normele de securitate a datelor personale. „În acest moment, spitalele, atât publice, cât şi private, respectă aceste norme și cu toate că suntem  la început, să nu credeţi că acum în spitale au implementate 100% aceste proceduri. Cea mai mare vulnerabilitate în sistemul informatic este factorul uman. Tot resursa umană rămâne cea care este responsabilă. Trebuie reglementat la nivel de instituţie ca în fişa postului salariatului să aibă trecute aceste responsabilităţi”, a precizat Silviu Rusu.

Curs Postuniversitar lansat la UMFST Târgu-Mureș

Cu ocazia acestui eveniment, UMFST Târgu-Mureș a lansat Cursului Postuniversitar „Formare și pregătire a responsabilului cu protecția datelor” ce se adresează absolvenților de învățământ superior cu diplomă de licență sau echivalent, dornici să dobândească cunoștințe în ceea ce privește conformitatea cu Regulamentul European nr. 2016/679 și exercitarea unei profesii de viitor și anume cea de Responsabil cu protecția datelor cu caracter personal (cod COR 242231). Cursul se desfășoară pe o perioadă de aproximativ 6 luni, cursanții având parte atât de pregătirea teoretică, cât și de cea practică necesară. La absolvire, cursanții obțin atât un certificat, cât și un supliment descriptiv care va atesta certificarea ca Responsabil cu Protecția Datelor cu Caracter Personal conform Standardului Ocupațional aferent DPO (cod COR 242231).

”Cursul are 188 de ore repartizate în mod flexibil în așa fel încât să se ajungă la o școlarizare și o dobândire de competențe suficiente și adecvate de către cursanți. Cursantul învaţă că nu el răspunde pentru neconformare, ci operatorul de date. Cursantul învață că această informare și consiliere pe care el o oferă are la bază măsuri tehnice clare și organizatorice pentru securitatea informației”, a declarat Conf. Dr. Univ. Nicolae Ploeșteanu.

Rezultate initiale statistice ale studiului “GDPR in HEALTH” România

În cadrul conferinței, Marius Dumitrescu, Președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a prezentat concluziile studiului “GDPR in HEALTH” România, inițiat de ASCPD, Centrul pentru Protecția Datelor – UMFST Tîrgu Mureș și Safetech Innovation.

Acest studiu se bazează pe date colectate în perioada 15.10.2018 – 01.12.2018 de la 195 de organizații din 36 de județe din România, toate cu activitate în domeniul sanitar. Utilizând tehnica chestionarului, prin intermediul a 44 de întrebări au fost evaluați 3 indicatori ai fiecărei organizații: structura organizatorică, conștientizarea nevoii de conformare și protecție a datelor cu caracter personal și securitatea informațiilor.

Din cele 195 de organizații participante 38% au fost spitale, 14% farmacii, 12% clinici medicale, 9% cabinete medicale, 8% autorități în domeniul sanitar, 7% organizații profesionale, restul fiind reprezentat de laboratorare, ONG-uri, furnizori de dispozitive medicale și servicii de formare. În cadrul eșantionului selectat activează 45.400 de angajați dintre care 2.140 detin funcții de conducere, aceste organizații asigurând servicii și medicamente pentru aproximativ 2.582.338 de pacienți într-un an calendaristic.

Concluziile studiului provenite prin prelucrarea statistic – cantitativa:

Gradul de conștientizare a măsurilor care trebuiesc adoptare în relația cu Regulamentul(UE) 2016/679 este mare, 81.03% dintre organizații implementând măsuri minime pentru a obține conformitatea și cu toate acestea 42.05% înca nu și-au desemnat un DPO, cu mentiunea ca nu toți operatorii intervievați au această obligație.

Se cofirmă faptul că multe categorii de informații nu sunt conștientizate ca fiind date cu caracter personal (imagini video, GPS, fotografiile etc), principalele date conștientizate fiind cele prezente în actul de identitate;

79.49% dintre organizații au contractate servicii externalizate, având astfel obligația de a verifica activitatea furnizorilor din punct de vedere al respectării Regulamentului (UE) 2016/679,  ținând cont și de faptul că raspunderea este solidară între operator și împuternicit;

73,85% dintre organizațiile din sistemul sanitar au sisteme de supraveghere video instalate, 55,90% monitorizând și personalul în timpul orelor de lucru;

74,36% dețin și actualizează informatii pe website și 37,44% au pagina pe Facebook;

Doar 16,41% nu au implementat un sistem de arhivare, în schimb 52,31% nu au o procedură strictă privind accesul la arhiva cu date cu caracter personal;

73,33% dintre organizații au implementat proceduri de securitate tehnică și 76,41% au realizat o instruire cu privire la securitatea datelor cu caracter personal;

37,44% s-au confruntat cu incidente de securitate și cu toate acestea 73,85% nu au implementat un plan de reacție la incidentele de securitate;

70,26% folosesc adrese de email @yahoo.com si @gmail.com în interes profesional;

11,28% nu au implementat sisteme tehnice de protectie antivirus;

(Comunicat de presă, CNPDDS)