Home » Medisinske data i skyen. Nye europeiske reguleringer i horisonten

Medisinske data i skyen. Nye europeiske reguleringer i horisonten

by Peter Østbye

I den følgende artikkelen leter vi ikke bare etter svar på spørsmålet ovenfor, men også etter de juridiske implikasjonene av bruk av skyen ved behandling av personopplysninger i helsesektoren.

Cloud computing er preget av behovsbasert tilgjengelighet av dataressurser fra datasystemer (f.eks. nettverk, servere, masselagring, applikasjoner, tjenester), spesielt innen datalagring (Skylagring). Ressurser leveres av en ekstern leverandør, så skyen krever ikke direkte aktiv administrasjon av brukeren. En vanlig løsning er å spre store skyfunksjoner over flere lokasjoner, som hver er et datasenter.

helsedata

I lys av GDPR1 Helsedata er personopplysninger om en persons fysiske eller psykiske helse – inkludert bruk av helsetjenester – som gir informasjon om deres helse2.

Personlige helseopplysninger er alle opplysninger om den registrertes helsetilstand som gir informasjon om tidligere, nåværende eller fremtidig fysisk eller psykisk helse til den registrerte, f.eks. samlet inn under hans registrering for helsetjenester eller under levering av helsetjenester til ham; et nummer, symbol eller betegnelse tildelt en spesifikk fysisk person for å unikt identifisere den fysiske personen for helseformål; informasjon innhentet fra laboratorietester eller medisinske tester av kroppsdeler eller kroppsvæsker, inkludert genetiske data og biologiske prøver; og all informasjon, for eksempel om sykdommen, funksjonshemmingen, risikoen for sykdom, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand til den registrerte, uavhengig av kilden, som for eksempel kan være en lege eller annet helsevesen profesjonell, sykehus, utstyrsmedisin eller in vitro diagnostisk test3.

Det er også verdt å merke seg at helseopplysninger er personopplysninger av spesielle kategorier i betydningen i artikkel 9 GDPR (såkalte sensitive data), som i utgangspunktet ikke skal behandles med mindre et av rettsgrunnlaget for behandling av personopplysninger gjelder.4.

Elektroniske journaler

Et viktig tema i forbindelse med behandling av medisinske data i skyen er den elektroniske medisinske dokumentasjonen, som i dag bør oppbevares av tjenesteleverandører i helsesektoren. I lys av helseinformasjonsloven omfatter elektronisk journal blant annet: e-resepter, e-henvisninger, opplysninger om diagnose av sykdom, helseproblem eller skade, resultater av utførte tester, årsak til avslag. innleggelse på sykehus, helsetjenester som ytes og eventuelle anbefalinger – ved avslag på innleggelse av pasient på sykehus, informasjon til lege som henviser til poliklinikkspesialist eller sykehusbehandling om diagnose, behandlingsmetode, prognose, foreskrevet medisin, mat til spesialernæring og medisinsk utstyr, inkludert søknadsperiode Søknad og type dosering samt planlagte oppfølgingsundersøkelser, informasjonskort for sykehusbehandling5.

Det er ingen tvil om at personlige helseopplysninger i henhold til GDPR behandles som en del av den elektroniske pasientmappen. På bakgrunn av ovenstående er det etter vår mening den grunnleggende databæreren om pasientens helse som er elektronisk medisinsk dokumentasjon, og for å håndtere ovennevnte dokumentasjon er det nødvendig å drifte et eget IKT-system, som i henhold til loven Informasjonssystemloven, kreves i helsevesenet er et medisinsk informasjonssystem.
Men når det gjelder enheter som ikke yter tjenester i helsevesenet, men ønsker å behandle helsedata i skyen, er de ikke begrenset av helseinformasjonslovens bestemmelser, men i denne forbindelse bør de bl.a. , overholde de grunnleggende forpliktelsene til helsetjenesten spesifisert i GDPR overholde administratoren av personopplysninger.

behandlingssikkerhet

GDPR krever at passende tekniske og organisatoriske tiltak er iverksatt for å sikre et sikkerhetsnivå som passer til risikoen.

Det skal bemerkes at foretak som yter helsetjenester også må etterleve mange krav i sektorreguleringer når det gjelder vilkårene for journalføring i elektronisk form.

Vi påpeker også at et relatert og vesentlig juridisk aspekt ved bruk av nettsky ved behandling av personlige helseopplysninger er å implementere cybersikkerhet i lys av bestemmelsene i NIS-direktivet og bestemmelsene i loven av 5. juli 2018 om National Cybersecurity System er imidlertid ikke denne oppføringen.

Oppdragsgiver behandling av personopplysninger

På grunn av forpliktelsen til å sikre et høyt sikkerhetsnivå for personopplysninger, er en vanlig løsning å bruke tjenestene til en ekstern enhet for å tilby nettsky. For instanser som yter helsetjenester gir lov av 6. november 2008 om pasientrettigheter mulighet for å sette ut behandlingen av personlige helseopplysninger til eksterne instanser.
I dette tilfellet bør administratoren av personopplysninger (her: organet som leverer helsetjenester) ta hensyn til mange forpliktelser innen personopplysningsbeskyttelse. Først og fremst er det nødvendig å sjekke om skytjenesteleverandøren sørger for implementering av hensiktsmessige tekniske og organisatoriske tiltak slik at behandlingen er i samsvar med kravene i GDPR og beskytter rettighetene til de registrerte, og om samarbeidet ikke påvirker levering av helsetjenester.
Riktig outsourcing av behandlingen av personopplysninger kan ikke finne sted uten en tilsvarende kontrakt om å bestille behandling av personopplysninger i henhold til Art. 28 GDPR, ifølge hvilken det skal pålegges en rekke tilleggsforpliktelser på området for beskyttelse av personopplysninger. leverandøren.

I tillegg til GDPR bør man også tenke på forpliktelsene som følger av sektorbestemt regelverk, for eksempel plikten til å behandle konfidensiell pasientinformasjon innhentet i forbindelse med utførelsen av kontrakten.

Dataoverføringer utenfor det europeiske økonomiske samarbeidsområdet (EØS)

I prinsippet er utveksling av informasjon uunnværlig for grenseoverskridende forsyning. Ved overføring av personopplysninger fra EU til de ansvarlige, databehandlere eller andre mottakere i tredjeland eller internasjonale organisasjoner, bør minimum beskyttelsesnivået for fysiske personer garanteres, slik det er fastsatt av EU på grunnlag av GDPR, som også gjelder for videre overføring av personopplysninger: fra et tredjeland eller en internasjonal organisasjon til behandlingsansvarlige eller databehandlere i samme eller i et annet tredjeland eller i samme eller en annen internasjonal organisasjon.

Det foregående er viktig ettersom skytjenesteleverandører ofte har sitt hovedkontor eller server i land utenfor EØS, av sikkerhetsgrunner. Hvis et land, en territoriell region eller en internasjonal organisasjon ikke har en kommisjonsbeslutning om tilstrekkelighet, bør en av de passende sikkerhetstiltakene brukes, for eksempel mulig – ett av unntakene i bestemmelsene i artikkel 49 i GDPR, for eksempel det eksplisitte samtykket av den registrerte.
I lys av ovenstående bør organisasjonen være tydelig på om, hvor, til hvem og hvorfor skytjenesteleverandøren overfører personopplysninger utenfor EØS (inkludert om ikke-EØS-selskaper/-individer har tilgang til personopplysninger, f.eks. overføring av personopplysninger data til et annet selskap eller bruk av en server i et tredjeland).

European Health Data Space

Trenden med å flytte helsedata til skyen vil sannsynligvis bli ytterligere akselerert av vedtakelsen av den europeiske helsedataforordningen. EU-kommisjonen har presentert et utkast til denne rettsakten de siste månedene. Forskriftsutkastet ser for seg en rekke løsninger som vil drive ytterligere digitalisering og interoperabilitet av helsesektoren, noe som vil føre til den økende populariteten til skyløsninger.

Et felles europeisk format skal innføres: pasientkortslutninger, e-resepter, medisinske bilder og deres beskrivelser, laboratorieprøveresultater og sykehusutskrivninger. Interoperabilitet av elektroniske journalsystemer på europeisk nivå er i ferd med å bli et obligatorisk krav. Produsenter av elektroniske journalsystemer eller enkelte medisinske enheter må bekrefte samsvar med interoperabilitetskrav. Pasienter skal sikres umiddelbar og gratis tilgang til sine helsedata i elektronisk form. En rekke instanser vil kunne få tilgang til helsedata som samles inn overalt i en spesiell prosess, for eksempel for utvikling av nye medisiner.

Innenfor rammen av en uttømmende presentasjon av temaet personvern, er det umulig å ikke kort nevne andre forpliktelser innen personvernområdet, som vi anser som svært viktige, som: B. Gjennomføre en risikovurdering av brudd på rettigheter og friheter til personene hvis data behandles og ta hensyn til dem ved behandling av personopplysninger; Gjennomføre en konsekvensanalyse om beskyttelse av personopplysninger; Vurder hvordan du kan rettferdiggjøre, dokumentere og demonstrere handlingene som er utført; Oppfyllelse av plikten til å informere den registrerte i henhold til bestemmelsene i GDPR.

sammendrag

Utvilsomt muliggjør effektiv håndtering av helsetjenester effektiv organisering av helsevesenet, optimalisering av kostnader, samtidig som pasientene får tilgang til bedre og bedre kvalitetspleie. Bruken av cloud computing-løsninger som bruker personopplysninger krever at organisasjoner overholder vilkårene i GDPR, som – til tross for teknologinøytraliteten til denne forskriften – kan utgjøre visse utfordringer. Det overordnede målet for enhver organisasjon bør være å sikre at registrerte er beskyttet mot de omkringliggende truslene og absolutt er fullt klar over og klar over deres rettigheter og friheter i forhold til databeskyttelse.

You may also like

Leave a Comment