Home » Medisinske data i skyen. Nye europeiske reguleringer i horisonten

Medisinske data i skyen. Nye europeiske reguleringer i horisonten

by Peter Østbye

I den følgende artikkelen leter vi ikke bare etter svar på spørsmålet ovenfor, men også etter de juridiske implikasjonene av bruk av skyen ved behandling av personopplysninger i helsesektoren.

Cloud computing er preget av behovsbasert tilgjengelighet av dataressurser fra datasystemer (f.eks. nettverk, servere, masselagring, applikasjoner, tjenester), spesielt innen datalagring (Skylagring). Ressurser leveres av en ekstern leverandør, så skyen krever ikke direkte aktiv administrasjon av brukeren. En vanlig løsning er å spre store skyfunksjoner over flere lokasjoner, som hver er et datasenter.

helsedata

I lys av GDPR1 Helsedata er personopplysninger om en persons fysiske eller psykiske helse – inkludert bruk av helsetjenester – som gir informasjon om deres helse2.

Personlige helseopplysninger er alle opplysninger om den registrertes helsetilstand som gir informasjon om tidligere, nåværende eller fremtidig fysisk eller psykisk helse til den registrerte, f.eks. samlet inn under hans registrering for helsetjenester eller under levering av helsetjenester til ham; et nummer, symbol eller betegnelse tildelt en spesifikk fysisk person for å unikt identifisere den fysiske personen for helseformål; informasjon innhentet fra laboratorietester eller medisinske tester av kroppsdeler eller kroppsvæsker, inkludert genetiske data og biologiske prøver; og all informasjon, for eksempel om sykdommen, funksjonshemmingen, risikoen for sykdom, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand til den registrerte, uavhengig av kilden, som for eksempel kan være en lege eller annet helsevesen profesjonell, sykehus, utstyrsmedisin eller in vitro diagnostisk test3.

Det er også verdt å merke seg at helseopplysninger er personopplysninger av spesielle kategorier i betydningen i artikkel 9 GDPR (såkalte sensitive data), som i utgangspunktet ikke skal behandles med mindre et av rettsgrunnlaget for behandling av personopplysninger gjelder.4.

Elektroniske journaler

Et viktig tema i forbindelse med behandling av medisinske data i skyen er den elektroniske medisinske dokumentasjonen, som i dag bør oppbevares av tjenesteleverandører i helsesektoren. I lys av helseinformasjonsloven omfatter elektronisk journal blant annet: e-resepter, e-henvisninger, opplysninger om diagnose av sykdom, helseproblem eller skade, resultater av utførte tester, årsak til avslag. innleggelse på sykehus, helsetjenester som ytes og eventuelle anbefalinger – ved avslag på innleggelse av pasient på sykehus, informasjon til lege som henviser til poliklinikkspesialist eller sykehusbehandling om diagnose, behandlingsmetode, prognose, foreskrevet medisin, mat til spesialernæring og medisinsk utstyr, inkludert søknadsperiode Søknad og type dosering samt planlagte oppfølgingsundersøkelser, informasjonskort for sykehusbehandling5.

Det er ingen tvil om at personlige helseopplysninger i henhold til GDPR behandles som en del av den elektroniske pasientmappen. På bakgrunn av ovenstående er det etter vår mening den grunnleggende databæreren om pasientens helse som er elektronisk medisinsk dokumentasjon, og for å håndtere ovennevnte dokumentasjon er det nødvendig å drifte et eget IKT-system, som i henhold til loven Informasjonssystemloven, kreves i helsevesenet er et medisinsk informasjonssystem.
Men når det gjelder enheter som ikke yter tjenester i helsevesenet, men ønsker å behandle helsedata i skyen, vil de ikke være begrenset av bestemmelsene i helseinformasjonsloven, men i denne forbindelse bør de særlig , overholde de grunnleggende forpliktelsene til å overholde administratoren av personopplysninger.

behandlingssikkerhet

GDPR krever hensiktsmessige tekniske og organisatoriske tiltak, tatt i betraktning toppmoderne, implementeringskostnadene og typen, omfanget, konteksten og formålene med behandlingen, samt risikoen for brudd på rettigheter eller friheter til fysiske personer, med varierende grad av sannsynlighet og alvorlighetsgrad tatt for å sikre et sikkerhetsnivå som passer til risikoen.

Det skal bemerkes at foretak som yter helsetjenester også må etterleve mange krav i sektorreguleringer når det gjelder vilkårene for journalføring i elektronisk form.

Vi viser også til at et relatert og viktig juridisk aspekt ved bruk av nettsky ved behandling av personopplysninger knyttet til helse er cybersikkerhet i lys av bestemmelsene i NIS-direktivet og bestemmelsene i lov av 5. juli 2018 om implementere et nasjonalt cybersikkerhetssystem, noe denne oppføringen ikke er.

Oppdragsgiver behandling av personopplysninger

På grunn av forpliktelsen til å sikre et høyt sikkerhetsnivå for personopplysninger, er en vanlig løsning å bruke tjenestene til en ekstern enhet for å tilby nettsky. For instanser som yter helsetjenester gir lov av 6. november 2008 om pasientrettigheter mulighet for å sette ut behandlingen av personlige helseopplysninger til eksterne instanser.
I dette tilfellet bør administratoren av personopplysninger (her: organet som yter helsetjenester) ta hensyn til mange forpliktelser innen personopplysningsbeskyttelse. Først av alt er det nødvendig å sjekke om skytjenesteleverandøren sørger for implementering av hensiktsmessige tekniske og organisatoriske tiltak slik at behandlingen er i samsvar med kravene i GDPR og beskytter rettighetene til de registrerte, og om samarbeidet ikke påvirker levering av helsetjenester.
Riktig outsourcing av behandlingen av personopplysninger kan ikke finne sted uten en tilsvarende kontrakt om å bestille behandling av personopplysninger i henhold til Art. 28 GDPR, ifølge hvilken det skal pålegges en rekke tilleggsforpliktelser på området for beskyttelse av personopplysninger. leverandøren.

I tillegg til GDPR bør man også tenke på forpliktelsene som følger av sektorbestemt regelverk, for eksempel plikten til å behandle konfidensiell pasientinformasjon innhentet i forbindelse med utførelsen av kontrakten.

Dataoverføringer utenfor det europeiske økonomiske samarbeidsområdet (EØS)

I prinsippet er utveksling av informasjon uunnværlig for grenseoverskridende forsyning. Ved overføring av personopplysninger fra EU til de ansvarlige, databehandlere eller andre mottakere i tredjeland eller internasjonale organisasjoner, bør minimum beskyttelsesnivået for fysiske personer garanteres, slik det er fastsatt av EU på grunnlag av GDPR, som også gjelder for videre overføring av personopplysninger: fra et tredjeland eller en internasjonal organisasjon til behandlingsansvarlige eller databehandlere i samme eller i et annet tredjeland eller i samme eller en annen internasjonal organisasjon.

Det foregående er viktig ettersom skytjenesteleverandører ofte har sitt hovedkontor eller server i land utenfor EØS, av sikkerhetsgrunner. Hvis et land, en territoriell region eller en internasjonal organisasjon ikke er omfattet av en tilstrekkelighetsbeslutning fra kommisjonen, bør en av de passende sikkerhetstiltakene tas i bruk, slik som mulig – ett av unntakene i Art. 49 GDPR, som eksplisitt samtykke fra den registrerte.
I lys av ovenstående bør organisasjonen være tydelig på om, hvor, til hvem og hvorfor skytjenesteleverandøren overfører personopplysninger utenfor EØS (inkludert om ikke-EØS-selskaper/-individer har tilgang til personopplysninger, f.eks. overføring av personopplysninger data til et annet selskap eller bruk av en server i et tredjeland).

European Health Data Space

Trenden med å flytte helsedata til skyen vil sannsynligvis bli ytterligere akselerert av vedtakelsen av den europeiske helsedataforordningen. EU-kommisjonen har presentert et utkast til denne rettsakten de siste månedene. Forskriftsutkastet ser for seg en rekke løsninger som vil drive ytterligere digitalisering og interoperabilitet av helsesektoren, noe som vil føre til den økende populariteten til skyløsninger.

Et felles europeisk format skal innføres: pasientkortslutninger, e-resepter, medisinske bilder og deres beskrivelser, laboratorieprøveresultater og sykehusutskrivninger. Interoperabilitet av elektroniske journalsystemer på europeisk nivå er i ferd med å bli et obligatorisk krav. Produsenter av elektroniske journalsystemer eller enkelte medisinske enheter må sertifisere samsvar med interoperabilitetskrav. Pasienter skal sikres umiddelbar og gratis tilgang til sine helsedata i elektronisk form. En rekke instanser vil kunne få tilgang til helsedata som samles inn overalt i en spesiell prosess, for eksempel for utvikling av nye legemidler.

Innenfor rammen av en uttømmende presentasjon av temaet personvern, er det umulig å ikke kort nevne andre forpliktelser innen personvernområdet, som vi anser som svært viktige, som: B. Gjennomføre en risikovurdering av brudd på rettigheter og friheter til personene hvis data behandles og ta hensyn til dem ved behandling av personopplysninger; Gjennomføre en konsekvensanalyse om beskyttelse av personopplysninger; Vurder hvordan du kan rettferdiggjøre, dokumentere og demonstrere handlingene som er utført; Oppfyllelse av plikten til å informere den registrerte i henhold til bestemmelsene i GDPR.

Sammendrag

Utvilsomt muliggjør effektiv håndtering av helsetjenester effektiv organisering av helsevesenet, optimalisering av kostnader, samtidig som pasientene får tilgang til bedre og bedre kvalitetspleie. Bruk av cloud computing-løsninger som bruker personopplysninger krever at organisasjoner overholder vilkårene i GDPR, som – til tross for teknologinøytraliteten til denne forskriften – kan by på visse utfordringer. Det overordnede målet for enhver organisasjon bør være å sikre at registrerte er beskyttet mot de omkringliggende truslene og absolutt er fullt klar over og klar over deres rettigheter og friheter i forhold til databeskyttelse.

You may also like

Leave a Comment