GDPR, gradul de conformitate în sistemul sanitar românesc, studiu

Pentru a marca Ziua Europeană a protecției datelor, Asociația SURYAM și Universitatea de Medicină, Farmacie, Științe și Tehnologie Târgu Mureș - Centrul de Cercetare pentru Politici de Sănătate și Management si Centrul Pentru Protectia Datelor au organizat, la sfârșitul lunii ianuarie, la Palatul Culturii din Tîrgu Mureș cea de-a doua ediție a Conferinței Naționale Protecția Datelor în Domeniul Sanitar. Partenerii CNPDDS 2019 au fost Camera Deputaților – Comisia pentru Sănătate și Familie și Asociatia Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD).

Temele abordate au fost unele de ordin practic, de mare interes pentru profesioniștii în domeniul protecției datelor din sistemul sanitar, la această a doua ediție confirmând participarea reprezentanți ai instituțiilor implicate în elaborarea și implementarea politicilor de sănătate și privind protecția datelor cu caracter personal, precum Casa Națională de Asigurări de Sănătate, Autoritatea Națională de Management al Calității în Sănătate, Asociația Evaluatorilor de Servicii Medicale din România, Colegiul Farmaciștilor din România, Ordinul Asistenților Medicali Generaliști, Moașelor și Asistenților Medicali din România, Asociația pentru Protecția Vieții Private din Republica Moldova, Asociația pentru Educație Pediatrică în Medicina de Familie, High Tech System & Software, DIGISIGN, GDPR Protect, Data Klas, Amplusnet, Genesis Athens și GDPR Complet.

Nu se face ce trebuie în fiecare instituție

„Subiectul este extrem de important și a explodat în ultima vreme, atât în zona lui practică de aplicabilitate, dar și în zona de teorie și de instruire. Dincolo de legislația care este foarte bine definită în acest moment, noi constatăm că nu se face în fiecare instituție, în fiecare loc, ceea ce trebuie, iar din acest motiv există breșe de securitate - sigur, mai puțin poate evidente în mediul public, dar pe care noi, administratorii, le putem remarca. O zonă cu totul sensibilă este cea medicală, iar noi, fiind UMFST, ne interesează în mod deosebit, este o zonă în care se lucrează cu datele personale ale bolnavilor, cu informații care au gradul lor de confidențialitate și, din acest punct de vedere, multă vreme partea de protecția datelor a fost tratată cu prea multă ușurință. Acum a venit vremea să le punem în poziția care trebuie. De Ziua Internațională a Protecției Datelor trebuie să fie un mesaj pentru noi faptul că viața privată a fiecărui om este la fel de importantă ca și viața publică", a afirmat Prof. Dr.Univ. Leonard Azamfirei, rectorul UMFST Târgu-Mureș.

Președintele Asociației Evaluatorilor de Servicii Medicale din România, Silviu Rusu, a precizat că spitalele din România, respectă normele de securitate a datelor personale. „În acest moment, spitalele, atât publice, cât și private, respectă aceste norme și cu toate că suntem la început, să nu credeți că acum în spitale au implementate 100% aceste proceduri. Cea mai mare vulnerabilitate în sistemul informatic este factorul uman. Tot resursa umană rămâne cea care este responsabilă. Trebuie reglementat la nivel de instituție ca în fișa postului salariatului să aibă trecute aceste responsabilități", a precizat Silviu Rusu.

Rezultate inițiale statistice ale studiului „GDPR in HEALTH" România

În cadrul conferinței, Marius Dumitrescu, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a prezentat concluziile studiului „GDPR in HEALTH" România, inițiat de ASCPD, Centrul pentru Protecția Datelor - UMFST Târgu Mureș și Safetech Innovation.

Acest studiu se bazează pe date colectate în perioada 15.10.2018 – 01.12.2018 de la 195 de organizații din 36 de județe din România, toate cu activitate în domeniul sanitar. Utilizând tehnica chestionarului, prin intermediul a 44 de întrebări au fost evaluați 3 indicatori ai fiecărei organizații: structura organizatorică, conștientizarea nevoii de conformare și protecție a datelor cu caracter personal și securitatea informațiilor.

Din cele 195 de organizații participante 38% au fost spitale, 14% farmacii, 12% clinici medicale, 9% cabinete medicale, 8% autorități în domeniul sanitar, 7% organizații profesionale, restul fiind reprezentat de laboratorare, ONG-uri, furnizori de dispozitive medicale și servicii de formare. În cadrul eșantionului selectat activează 45.400 de angajați dintre care 2.140 dețin funcții de conducere, aceste organizații asigurând servicii și medicamente pentru aproximativ 2.582.338 de pacienți într-un an calendaristic.

Concluziile studiului

Concluziile studiului provenite prin prelucrarea statistic - cantitativă sunt că:

- Gradul de conștientizare a măsurilor care trebuiesc adoptate în relația cu Regulamentul(UE) 2016/679 este mare, 81.03% dintre organizații implementând măsuri minime pentru a obține conformitatea și cu toate acestea 42.05% încă nu și-au desemnat un DPO, cu mențiunea că nu toți operatorii intervievați au această obligație.

- Se cofirmă faptul că multe categorii de informații nu sunt conștientizate ca fiind date cu caracter personal (imagini video, GPS, fotografiile etc), principalele date conștientizate fiind cele prezente în actul de identitate;

- 79.49% dintre organizații au contractate servicii externalizate, având astfel obligația de a verifica activitatea furnizorilor din punct de vedere al respectării Regulamentului (UE) 2016/679, ținând cont și de faptul că raspunderea este solidară între operator și împuternicit;

- 73,85% dintre organizațiile din sistemul sanitar au sisteme de supraveghere video instalate, 55,90% monitorizând și personalul în timpul orelor de lucru;

- 74,36% dețin și actualizează informații pe website și 37,44% au pagină pe Facebook;

- Doar 16,41% nu au implementat un sistem de arhivare, în schimb 52,31% nu au o procedură strictă privind accesul la arhiva cu date cu caracter personal;

- 73,33% dintre organizații au implementat proceduri de securitate tehnică și 76,41% au realizat o instruire cu privire la securitatea datelor cu caracter personal;

- 37,44% s-au confruntat cu incidente de securitate și cu toate acestea 73,85% nu au implementat un plan de reacție la incidentele de securitate;

- 70,26% folosesc adrese de email @yahoo.com și @gmail.com în interes profesional;

- 11,28% nu au implementat sisteme tehnice de protecție antivirus.

Curs Postuniversitar lansat la UMFST Târgu Mureș

Cu ocazia acestui eveniment, UMFST Târgu Mureș a lansat Cursului Postuniversitar „Formare și pregătire a responsabilului cu protecția datelor" ce se adresează absolvenților de învățământ superior cu diplomă de licență sau echivalent, dornici să dobândească cunoștințe în ceea ce privește conformitatea cu Regulamentul European nr. 2016/679 și exercitarea unei profesii de viitor și anume cea de Responsabil cu protecția datelor cu caracter personal (cod COR 242231). Cursul se desfășoară pe o perioadă de aproximativ 6 luni, cursanții având parte atât de pregătirea teoretică, cât și de cea practică necesară. La absolvire, cursanții obțin atât un certificat, cât și un supliment descriptiv care va atesta certificarea ca Responsabil cu Protecția Datelor cu Caracter Personal conform Standardului Ocupațional aferent DPO (cod COR 242231).

„Cursul are 188 de ore repartizate în mod flexibil în așa fel încât să se ajungă la o școlarizare și o dobândire de competențe suficiente și adecvate de către cursanți. Cursantul învață că nu el răspunde pentru neconformare, ci operatorul de date. Cursantul învață că această informare și consiliere pe care el o oferă are la bază măsuri tehnice clare și organizatorice pentru securitatea informației", a declarat Conf. Dr. Univ. Nicolae Ploeșteanu.