CNFMS 2025. Recomandări pentru protecția eficientă a datelor din domeniul sanitar

Marius Dumitrescu, MSc-Senior Consultant în cadrul NeoPrivacy, a prezentat sâmbătă, 11 octombrie, la Târgu Mureș, cu prilejul ediției din acest an a Conferinței Naționale de Farmacoeconomie și Management Sanitar (CNFMS), tema ”Breșele de securitate a datelor din domeniul sanitar în România și Europa: prevenția și managementul post-breșă.”

În cadrul acesteia, speakerul a furnizat informații valoroase despre modul de gestionare a datelor cu caracter personal, atât în activitatea cotidiană a unităților sanitare cât mai ales după apariția unei breșe de securitate.

”Anul acesta s-au împlinit deja 30 de ani de când avem legislație europeană pe protecția datelor, Directiva 46 din 1995, apoi Regulamentul din 2016 – anul viitor facem zece ani de când acest GDPR există; se aplică de aproape opt ani și până la sfârșitul anului estimez că vom depăși 7 miliarde de euro în amenzi în acești șapte ani de zile. Este situația undeva la începutul lunii octombrie, ca număr de amenzi ne apropiem de numărul de 3.000. În România, am depășit ușor un milion și jumătate de euro în aproape 250 de amenzi. Sistemul sanitar la nivel european a fost sancționat printr-un număr de 356 de amenzi totalizând aproximativ 31 de milioane de euro. Nu este și cazul României. România este la un nivel total în ultimii șapte ani de 42.000 de euro”, a prezentat Marius Dumitrescu o radiografie succintă a domeniului protecției datelor la nivelul instituțiilor sanitare din România și Europa.

În prezentarea sa, speakerul a mai anunțat că a fost cooptat, în calitate de expert, la elaborarea noilor standarde pentru acreditarea spitalelor de către Autoritatea Națională de Management al Calității în Sănătate.

”Lucrăm în momentul de față pe aceste standarde, vom avea câteva criterii concrete pe ceea ce înseamnă modul de comunicare cu pacienții”, a afirmat Marius Dumitrescu, fost președinte pe durata a două mandate al Asociației Specialiștilor în Confidențialitate și Protecția Datelor, organizație la care în prezent deține funcția de vicepreședinte.

Idei transmise de Marius Dumitrescu:

– ”S-a vorbit mult în aceste zile despre reputație, am văzut foarte multe prezentări ale spitalelor și investițiile în ceea ce privește infrastructura spitalelor. Există foarte multe investiții și în reputația acestora și vom vedea că există o foarte mare vulnerabilitate și putem pierde această reputație într-un mod foarte simplist și ușor.”

– ”Nimic nu este gratuit. Datele personale au valoare și au devenit, nu în ultimul an, ci în ultimii 20, chiar 30 de ani, monedă de schimb. Plătim cu ele accesul la newslettere, accesul la platforme informaționale și atunci când primim ceva gratuit să știți că de fapt noi plătim cu aceste date.”

– ”Regulamentul (GDPR – n.a.) nu are nevoie de nicio lege națională pentru a fi aplicabil. Doar în cazul directivelor este nevoie de o legislație. Regulamentul, în momentul în care a apărut, este aplicat unitar la nivel european.”

– ”Trebuie să eliminăm total (în comunicarea cu pacientul – n.a.) ce înseamnă e-mailurile personale în favoarea unor e-mailuri instituționale. Achiziția unui domeniu, spital.ro, sau să solicităm de la STS anumite adrese de e-mail, domenii, nu este deloc un cost semnificativ. Un domeniu costă 35 de lei per un an de zile. Un hosting începe de la 200-250 de lei.”

– ”În comunicarea între spital și pacient, evident că trebuie să evităm tot ce înseamnă soluții gratuite. De ce? Pentru că Regulamentul impune ca un operator să aibă o relație cu toți împuterniciții. Nimeni nu interzice un astfel de serviciu, dar atâta timp cât este gratuit și condițiile sunt în defavoarea pacienților nu există o relație.”

– ”Un aspect la care trebuie să avem grijă este transferul în afara Uniunii Europene, folosind e-mailuri unde serverele sunt în afara Uniunii Europene. Fără să ne dăm seama facem acest lucru trimițând de exemplu un e-mail pe Yahoo, medicii își pot transmite anumite informații pre propriile adrese de e-mail tocmai au luat datele din rețeaua spitalului, le-au dus în afara Uniunii Europene și fac o stocare, pentru că ele stau în ”In box” sau în ”Send items” pentru o perioadă mai lungă. Fac o stocare în afara Uniunii Europene. Acest lucru este un element care trebuie luat în calcul atunci când facem un Regulament de Ordine Interioară în ce privește funcționarea spitalului.”

– ”Adresa de e-mail personală ar trebui să aibă un scop personal, adresa de e-mail profesională ar trebui să fie una diferită și scopurile să nu se suprapună.”

Alex TOTH