我们已经在另一篇文章中讨论了隐私作为医疗保健业务中信任的刺激和差异化因素的重要性,以及最近讨论的数据控制者在医疗保健领域的作用,该领域肩负着许多责任和挑战。
因此,本文的目的是稍微研究一下这些挑战,从 DPO 的概念、其属性、卫生领域的一些技术要求到机构的制裁和责任,为读者带来更实用的方法。
医疗保健领域的 DPO 所面临的挑战必然包括了解所有提到的主题,以及如何找到专业人士或公司来锻炼重要技能。
DPO 是谁?他/她的职责是什么?
《通用数据保护法》为数据控制者(在市场上也被称为 DPO)提供了特殊的角色,参考欧洲有关该主题的法规。
DPO 对医疗保健行业来说具有两项主要且非常相关的职能:首先,他是公司在 ANPD、个人数据持有者、与之交换数据的合作伙伴和供应商面前的发言人;其次,他负责支持内部团队并提供有关该主题的培训。这两项功能在医疗保健领域都极为重要。
与业主的联系至关重要,因为只有通过联系才有可能建立信任关系。无论公司扮演什么角色,医疗保健行业都会处理敏感数据,而且通常需要处理大量信息。通过与数据主体保持良好的关系,可以让他们对其信息的使用方式感到更加安心,避免正式投诉、不信任和声誉损害。此外,我们有法律义务向您提供有关数据处理的信息。
国家数据保护局(ANPD)是一个值得关注的机构,尤其是在我们谈论处理大量敏感数据时。尽管不断提醒其作为法律规定的处罚的监督者和执行者的角色,但它还有另一项非常有用和必要的功能:接收问题并发布指导,以便更好地理解 LGPD。
根据《福布斯》最近发布的调查,健康数据在 LGPD 下属于敏感数据,所有专业人员必须优先保护这些数据。健康数据具有高度的针对性和重要价值。对于您的医疗机构将要聘用的专业人员来说,知道如何应对这种压力和责任至关重要。
医疗健康领域的 LGPD
医疗保健公司的运营涉及大量数据,这意味着所有员工都必须掌握如何处理这些信息的基本知识。否则,无论可用文档(例如条款、政策和数据保护通知)的质量如何,错误都会比必要的更频繁地发生,从而使公司面临制裁。
与个人健康相关的数据在法律上具 手机号码数据 有特殊地位,被视为敏感数据,因为如果不加区分地暴露这些数据,可能会对与之相关的人产生影响。因此,个人数据的保护是多方面的:它涉及技术、经济和个人权利问题。
在这个领域,处理客户健康的公司必须了解有关隐私和数据保护的法律要求和客户的需求。无论是医院、诊所、健康计划还是实验室,它们都属于 LGPD 的管辖范围,并且需要采用隐私治理计划。
隐私计划意味着要更加关注以下问题:
获得患者同意的方式;
谁有权访问哪些患者的哪些数据;
为保障信息安全所采取的技术解决方案;
在法律原则的范围内,在公司内部收集、存储、流通和负责任地处理数据;
与服务提供商共享数据,有助于实现收集和处理数据的目的;
针对患者的权利,提供适当的护理和响应;
涉及患者信息的事件响应(泄露、未经授权的访问、非法暴露);
与共享数据的合作伙伴适当划分责任(与合作医生、运输公司、安保公司等签订合同);
管理层对风险的远见和处理隐私计划的多学科技能。
对于在医疗领域工作的专业人士来说,最后一点是非常重要的区别因素,因为向做出数据处理决策的公司管理人员汇报需要考虑的所有重要问题、风险矩阵以及减轻发现的每种风险所需的措施是很常见的。
医疗保健领域 DPO 的特点
在医疗保健 什么是短信营销 领域担任 DPO 的人员(个人或法人)必须具备一些我们认为必不可少的技能,并将帮助组织管理者做出更有意识、更明智的决策,这些技能包括:
了解法规,因为医疗保健行业需要熟悉ANS规则和具体标准;
深入了解您所在公司的业务模式;
深入了解LGPD带来的概念,最好具有欧洲标准和指南的背景,对GDPR的解读;
每天研究并了解不断变化的卫生领域的具体标准;
了解健康数据被视为敏感的原因以及如何找到使用它的最佳法律基础;
了解如何管理风险、识别发生的概率和缓解措施;
了解最低限度的信息安全知识,帮助和建议该领域的管理人员(CTO,CISO)制定措施来保护公司内部和外部传输的个人数据;
具有“灵活性”,能够以公正、不偏不倚的方式与供应商、员工、经理、主管、首席执行官打交道,同时提供安全、合规处理个人数据的选项和方法。
我们认为,这些技能对于成为一名 台湾数据库 优秀的 DPO 来说非常重要,这些多学科培训并非一朝一夕就能获得的,需要大量的学习、奉献和该领域的经验。
医疗保健领域 DPO 的职责和制裁
关于组织中 DPO 的责任已经讨论了一段时间,我们特别同意专家的意见,这些意见被细分为:它不适用于 DPO 人员,而是适用于负责处理个人数据的公司,除非前者是恶意或故意行事,否则将根据《巴西民法典》进行处理。
ANPD 本身已经就此事发表了意见,在其2022 年 4 月发布的 2.0 版“个人数据处理代理和数据控制者定义指南”中,其中指出,运营商和控制者对个人数据处理的决定负责。
关于公司(诊所,实验室,健康计划)或医生的责任,有一个立场很好地解释了这些情况,我们对此有相同的理解,让我们看看:
“在临床活动中,消费者保护法是主要适用的法律,因为医患法律关系在提供服务方面被视为消费者关系。在该法律文本的体系内,医疗机构的民事责任将与自由专业人士的民事责任有所不同。因此,根据该法第 14 条第 4 款的规定,医疗机构(无论是医院还是临床分析实验室)应对患者造成的任何损害承担客观责任。
例如,如果发生医院医疗记录或实验室检测结果泄露,这些机构的责任显然是客观的。然而,同样的,如果泄露医生办公室存储的医疗记录数据,将会导致有罪调查,因为他是一名自由职业者。” 1
因此,在任命专业人士担任 DPO 时,无论是自然人还是法人,公司都必须非常谨慎地选择,因为他们的职能、意见和日常职责会直接影响公司的形象,并可能受到法律规定的处罚,包括警告、暂停活动、禁止使用数据库,甚至高达 5000 万雷亚尔的罚款!
卡马戈·维埃拉 (Camargo e Vieira) 能做出什么贡献?
对于良好地管理数据保护计划而言,拥有 DPO 极其重要,而拥有合适的专业人员将对公司的日常运营产生重大影响。正如所证明的,对于医疗保健行业的公司来说,这一点甚至更为重要,因为它们涉及的数据代表着更大的风险。
因此,一定要找一位符合您公司需求的专业人士!我们可以通过DPO 服务为您提供帮助,我们拥有经 IAPP 认证的专业人员。