Intézmények:Gottsegen György Országos Kardiológiai Intézet, Budai Irgalmasrendi Kórház
Évfolyam: XVII. évfolyam
Lapszám:2018. / 5
Hónap:június
Oldal:16-20
Terjedelem:5
Rovat:MENEDZSMENT
Alrovat:KÓRHÁZMENEDZSMENT
Absztrakt:
2018. május 25-től az EU minden tagállamában kötelezően alkalmazandó az Európai Parlament és Tanács 2016/679 számú Általános Adatvédelmi Rendelete, amit rövidítve GDPR néven ismerünk. A Rendelet valamennyi olyan természetes vagy jogi személyre, így az egészségügyi ellátórendszer minden szereplőjére is vonatkozik, amely azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozóan bármely információt kezel. A Rendelet számos olyan újdonságot és feladatot határoz meg, amelyeket az egyes szereplőknek minél előbb meg kell valósítania. A hazai egészségügyi ellátók felkészülése azonban jelentős elmaradást mutat, aminek indoklásaképpen a legtöbbször az információhiány és az erőforrások hiánya jelenik meg. Ugyanakkor a hazai jogalkotás is lemaradásba került, a vonatkozó jogszabályok – beleértve sarkalatos törvényeket is – nem kerültek módosításra, így a kapcsolódó ágazati szabályok sem készülhettek el. A cikkben a szerzők áttekintik az adatvédelmi szabályozás egészségügyi intézményeket is érintő rendelkezéseit, és összefoglalják a Rendelet legfontosabb üzeneteit.
Angol absztrakt:
General Data Protection Regulation no. 2016/679 of the European Parliament and Council has to be obligatory used in each member state of the European Union since 25th May, 2018. Short name of this Regulation is GDPR. This Regulation refers to all natural persons or legal entities (to each participant of the health provider system), which handle any information regarding to natural persons („data subject”). This Regulation determines a number of newness and tasks, which have to be realized as soon as possible. Know-how of the Hungarian healthcare providers represents however a re - markable default. Its reason is mostly lack of information and lack of resources. Since the relevant inland laws haven’t been modified yet (including cardinal laws as well), relating sectorial regulations haven’t been completed. In the article the authors review the data protection regulations regarding to the medical institutions and they summarize the most important messages of the Regulation.
A regisztrálást követően fogja tudni megtekinteni a cikk tartalmát!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
Sikeresen szavazott a cikkre!
Tisztelt Felhasználónk!
Köszönjük a szavazatát!
A szavazás nem sikerült!
Tisztelt Felhasználónk!
Ön már szavazott az adott cikkre!
Cikk megtekintése
Tisztelt Felhasználónk!
A cikk több nyelven is elérhető! Kérjük, adja meg, hogy melyik nyelven kívánja megtekinteni az adott cikket!
Cikk megtekintésének megerősítése!
Tisztelt Felhasználónk!
Az Ön által megtekintetni kívánt cikk tartalma fizetős szolgáltatás.
A megtekinteni kívánt cikket automatikusan hozzáadjuk a könyvespolcához!
A cikket bármikor elérheti a könyvespolcok menüpontról is!
MENEDZSMENT KÓRHÁZMENEDZSMENT A GDPR kiemelt követelményei az egészségügyi ellátásban Nagy István, Gottsegen György Országos Kardiológiai Intézet, Dr. Horváth Lajos, Budai Irgalmasrendi Kórház 2018. május 25-től az EU minden tagállamában kötelezően alkalmazandó az Európai Parlament és Tanács 2016/679 számú Általános Adatvédelmi Rendelete, amit rövidítve GDPR néven ismerünk. A Rendelet valamennyi olyan természetes vagy jogi személyre, így az egészségügyi ellátórendszer minden szereplőjére is vonatkozik, amely azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozóan bármely információt kezel. A Rendelet számos olyan újdonságot és feladatot határoz meg, amelyeket az egyes szereplőknek minél előbb meg kell valósítania. A hazai egészségügyi ellátók felkészülése azonban jelentős elmaradást mutat, aminek indoklásaképpen a legtöbbször az információhiány és az erőforrások hiánya jelenik meg. Ugyanakkor a hazai jogalkotás is lemaradásba került, a vonatkozó jogszabályok – beleértve sarkalatos törvényeket is – nem kerültek módosításra, így a kapcsolódó ágazati szabályok sem készülhettek el. A cikkben a szerzők áttekintik az adatvédelmi szabályozás egészségügyi intézményeket is érintő rendelkezéseit, és összefoglalják a Rendelet legfontosabb üzeneteit. General Data Protection Regulation no. 2016/679 of the European Parliament and Council has to be obligatory used in each member state of the European Union since 25th May, 2018. Short name of this Regulation is GDPR. This Regulation refers to all natural persons or legal entities (to each participant of the health provider system), which handle any information regarding to natural persons („data subject”). This Regulation determines a number of newness and tasks, which have to be realized as soon as possible. Know-how of the Hungarian healthcare providers represents however a remarkable default. Its reason is mostly lack of information and lack of resources. Since the relevant inland laws haven’t been modified yet (including cardinal laws as well), relating sectorial regulations haven’t been completed. In the article the authors review the data protection regulations regarding to the medical institutions and they summarize the most important messages of the Regulation. BEVEZETÉS A GDPR (General Data Protection Regulation) az Európai Unió új adatvédelmi rendelete, mely a két évvel korábbi kihirdetését követően, 2018. május 25-én lépett életbe, és az 1995. október 24 óta hatályban lévő Adatvédelmi irányelvet 16 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY váltotta fel (95/46/EK irányelve) [1]. A GDPR rendelet tovább viszi az irányelv számos elemét, de annál jóval határozottabb célokat és feladatokat is megfogalmaz. Az egyik legfontosabb változás, hogy a GDPR szélesebb körű ellenőrzést ad a természetes személyeknek személyes adataik fölött, valamint számos új kötelezettséget ró az Európai Unió területén belül és kívül személyes adatokat gyűjtő, feldolgozó, továbbító, kezelő és elemző szervezetekre. A GDPR ezenfelül új hatáskörökkel ruházza fel az országos hatóságokat is, és több mint negyven kérdésben enged nemzeti szabályozást. ALAPELVEK A GDPR számos kötelezettséget fogalmaz meg a személyes adatokat gyűjtő vagy feldolgozó szervezetekre vonatkozóan. A legfontosabb kötelezettségek a személyes adatok kezelésére vonatkozó alapelvek betartására vonatkoznak (II. fejezet 5. cikk). • A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”). (1.a); • A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és az adatokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”). (1.b); • A kezelt személyes adatoknak az adatkezelés céljai szempontjából relevánsak kell lenniük és a legszükségesebbre kell korlátozódniuk („adattakarékosság”.) (1.c); • A kezelt személyes adatoknak pontosnak és naprakésznek kell lenniük, minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek („pontosság”). (1.d); • A kezelt személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Személyes adat ennél hosszabb ideig történő tárolásával (tudományos, történelmi, kutatási vagy statisztikai célból) kapcsolatban a 89. cikk rendelkezik („korlátozott tárolhatóság”.) (1.e); • A személyes adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szemben („integritás és bizalmas jelleg”). (1.f) XVII. ÉVFOLYAM 5. SZÁM 2018. JÚNIUS MENEDZSMENT • KÓRHÁZMENEDZSMENT Az adatkezelő felelős az 1.a-1.f bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”) (2) Az alapelvek érvényre juttatása az adatkezelő szervezet felelőssége. Annak érdekében, hogy egy egészségügyi ellátó ennek a felelősségnek megfeleljen, egy komplex tevékenységsort célszerű megterveznie és megvalósítania, amelynek döntő részét az adatkezelési folyamatainak feltérképezése és az annak rendezésére irányuló szakmai intézkedések végrehajtása képezi. ADATBIZTONSÁGI ELŐÍRÁSOK A GDPR előírja a személyes adatok biztonságát garantáló szervezeti és technikai megoldások alkalmazását az adatkezelést végző szervezete számára. A szervezeti megoldások között fontos megemlíteni a szervezeten belül a személyes adatokhoz hozzáférő személyek számának korlátozását, melyet az adatvédelmi és adatkezelési szabályzatban kell szoftvermodulonként egyedileg szabályozni és nyilvántartást kell róla vezetni. A technikai megoldások közül megemlíthetjük a hardver vagy szoftver kulcsok alkalmazását, illetve a kezelt adatok adatok titkosítását. A GDPR nem ad meg és nem ír elő konkrét biztonsági lépéseket a szervezetek számára, ezek körét az adatkezelőnek kell meghatároznia a gyűjtött személyes adatok jellege, érzékenysége, valamint feldolgozásának kockázata és más egyéb tényezők alapján. A biztonsági előírások elkészítésekor számos különböző típusú biztonsági kockázatot kell számításba venni. A leggyakoribb veszélyforrások: • fizikai behatolás, • a rosszindulatú alkalmazottak, • véletlen adatszivárgás, • vírusfertőzés, • nem szakszerűen telepített operációs rendszer, • nem kellő körültekintéssel elkészített vagy beállított alkalmazó szoftver, • internetes betörés. A megfelelést segítheti, ha a felkészülő szervezet részéről felállításra kerül egy kockázatkezelési terv, mely meghatározza a kockázatmérséklési tennivalókat. AZ ADATKEZELŐ FELADATAI Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi. Az adatkezelési tevékenység vonatkozásában az intéz- IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY kedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz. BEÉPÍTETT ÉS ALAPÉRTELMEZETT ADATVÉDELEM A GDPR kifejezetten elvárja, hogy amennyiben egy adatkezelő személyes adatokat kezel, akkor a tevékenységet fenyegető kockázatok figyelembevételével olyan műszaki és adminisztratív védelmet kell alkalmazni, hogy a kezelt adatok kellő biztonságban legyenek. A GDPR előírásai szerint az adatkezelő köteles a tervezés első lépéseitől kezdve adatvédelmi funkciókat beépíteni termékeibe és szolgáltatásaiba. A funkciók kidolgozása során számos tényezőt figyelembe kell venni: az adatkezelés természetét, a kapcsolódó adatvédelmi kockázatokat, a védelem iránti igényt, valamint a megvalósítás költségeit. Az adatkezelő köteles olyan megoldásokat is bevezetni, amelyek garantálják, hogy alapértelmezés szerint ne kezeljen a szükségesnél több adatot. AZ ADATFELDOLGOZÓ FELADATAI Az adatvédelmi jogban már korábban is szereplő adatfeldolgozó szerepkört a GDPR egyértelműen azokra a kapcsolatokra nevesíti, ahol az adatok kezelésében közreműködő külső szervezet kizárólag az adatkezelő írásbeli utasításai alapján végzi az adatokkal kapcsolatos tevékenységét. A hazai egészségügyben is általánosan előfordul, hogy a betegadatok egyes adatkezelési lépéseit az adatkezelő nevében más szervezet végzi, például a finanszírozási jelentések kódolásának optimalizálása érdekében. A felkészülés részeként azonosítani kell az ellátóval adatfeldolgozói kapcsolatban levő szervezeteket, és a szerződéses viszonyt hozzá kell igazítani a GDPR elvárásaihoz. A GDPR szerint az ellátó, mint adatkezelő, kizárólag olyan adatfeldolgozókat vehet igénybe, aki(k) megfelelő garanciákat nyújtanak az adatkezelés GDPR szerinti követelményeinek való megfelelés és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Az adatfeldolgozó további adatfeldolgozót korábban nem vehetett igénybe, a GDPR szerint viszont erre van lehetőség, de csak a megbízó adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazásával. Az adatfeldolgozó által végzett adatkezeléssel kapcsolatos tevékenységre vonatkozó szabályokat szerződésben kell rögzíteni, amelynek minimálisan az alábbiakra kell kiterjednie: • az adatkezelés tárgya, • időtartama, • jellege és célja, • a kezelt személyes adatok típusa, • az érintettek kategóriái, • az adatkezelő és adatfeldolgozó kötelezettségei és jogai. XVII. ÉVFOLYAM 5. SZÁM 2018. JÚNIUS 17 MENEDZSMENT KÓRHÁZMENEDZSMENT MIT ÍR ELŐ A GDPR AZ ADATOKAT ÉRINTŐ BIZTONSÁGI INCIDENSEK ESETÉRE A GDPR a „személyes adatokra vonatkozó biztonsági incidens” fogalmát a következő módon definiálja: „olyan biztonsági incidens, amely az átvitel alatt álló, tárolt vagy feldolgozott személyes adatok véletlen vagy törvénytelen megsemmisüléséhez, elvesztéséhez, módosulásához, engedély nélküli nyilvánosságra kerüléséhez vagy az adatokhoz való jogosulatlan hozzáféréshez vezet.” Ilyen incidens esetén a szervezet köteles az észleléstől számított 72 órán belül értesíteni a hatóságokat. Ha az incidens jelentős kockázatot vagy kárt jelenthet az az érintett személyeknek, akkor a hatóság mellett a szervezetnek őket is köteles tájékoztatni az esetről. A rendezetté váló adatvédelmi helyzetű működés során is óhatatlanul fel fognak merülni olyan incidensek, amelyek kezelése az egészségügyi ellátó menedzsmentjének a feladata. Az incidenskezelés egyik eleme a megfelelő jogi intézkedések meghozatala, például az adatvédelmi kérdésekkel kapcsolatos megkeresések, panaszok és eljárások megfelelő kezelése. Másrészről az adatvédelmi eszközrendszert (IT infrastruktúrát, szabályzatokat stb.) fel kell készíteni az incidensek kapcsán szükséges tennivalók végrehajtására, illetve a rendszerszintű helyesbítő intézkedések kidolgozására és megvalósítására. eszközök felülvizsgálatára, illetve az ezekhez kapcsolódó szerződéses viszonyokra. Az adatvédelmi hatásvizsgálat az elszámoltathatóság szempontjából is jelentőséggel bír, ugyanis nemcsak az általános adatvédelmi rendelet előírásainak teljesítését könnyíti meg az adatkezelő (az egészségügyi ellátó szervezet és menedzsmentje) számára, de a rendelet betartása érdekében hozott megfelelő intézkedések végrehajtásának bizonyítását is elősegíti (lásd a 24. cikket). Erre a szerepére utal a rendelet preambuluma, amelynek 84.) pontja szerint „A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel-e rendeletnek”. A kellő gondosság fontos szerepet játszik az intézményi menedzsment felelősségének megállapításában. A bírság összegének megállapítását befolyásolja, hogy a menedzsment foganatosított-e kellő technikai és szervezési intézkedéseket (83. cikk (2) d) pont), amelyek közül a rendelet kiemeli a beépített és alapértelmezett adatvédelem meglétét (24. cikk), a kockázat mértékének megfelelő szintű adatbiztonságot garantáló technikai és szervezési intézkedések végrehajtását (32. cikk), valamint az adatvédelmi tanúsítás megszerzését (42. cikk). Az adatvédelmi hatásvizsgálat tehát a rendelet betartásának elérésére és bizonyítására szolgáló eljárás. ADATVÉDELMI HATÁSVIZSGÁLAT A HATÁSVIZSGÁLAT FELADATA EGÉSZSÉGÜGYI ELLÁTÓNÁL Az (EU) 2016/680 irányelv mellett az általános adatvédelmi rendelet 35. cikke is bevezeti az adatvédelmi hatásvizsgálat fogalmát („A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/680 irányelv 27. cikke is rögzíti, hogy a magánélet védelmére vonatkozó hatásvizsgálatra akkor van szükség, ha az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával). A GDPR alkalmazására történő felkészülés kulcseleme az adatvédelmi hatásvizsgálat kérdéskörének kellő gondossággal való kezelése, de ezen túlmenően egy komplex folyamattervezési és szervezési tevékenység elvégzése is indokolt a szervezeti egységek tekintetében. A folyamatszervezési tevékenységnek ki kell terjednie a folyamatleírások és szabályozások felmérésére és módosítására, valamint az adatkezeléssel kapcsolatos külső és belső kapcsolatok és A GDPR kötelezi az adatkezelőket, hogy mind a rendelkezések betartásának biztosítása, mind pedig annak bizonyítása céljából adatvédelmi hatásvizsgálatot hajtsanak végre, ha fennállnak bizonyos feltételek. Egészségügyi ellátó esetén a hatásvizsgálat elvégzésének szükségességét az általános előírások konkrét értékelésével lehet meghatározni. A szükségesség meghatározásához egy egészségügyi ellátó esetén alapvető kérdés annak elbírálása, hogy az adatkezelés valószínűsíthetően magas kockázattal jár-e. A GDPR alkalmazását támogató uniós munkacsoport által kibocsátott WP248 ajánlás szerint magas kockázatot képeznek azok az adatkezelések, amelyek az ajánlásban szereplő szempontoknak minél nagyobb számban megfelelnek. Egészségügyi adatkezelő esetén a WP248-as ajánlásban szereplő több szempont is felmerül (1. ábra), amelyek alapján valószínűsíthető a magas kockázat fennállása: • Különleges adatok vagy fokozottan személyes jellegű adatok (mind a hazai, mind az uniós jogrendszer ide sorolja az egészségügyi ellátás során kezelt, a beteg egészségügyi állapotára vonatkozó adatokat, pl. vizsgálati leleteket). • Joghatás vagy hasonló jelentős hatás (az egészségügyi ellátórendszer folyamatainak számos ponton erős kapcsolódása van olyan külső folyamatokra, amelyek esetén tetten érhető a jelentős joghatás kiváltása, pl. rokkantosítás). • Nagy számban kezelt adatok (a hosszú távú adatmegőrzési kötelezettség miatt az egészségügyi ellátók esetén 18 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY XVII. ÉVFOLYAM 5. SZÁM 2018. JÚNIUS MENEDZSMENT KÓRHÁZMENEDZSMENT 1. ábra A hatásvizsgálat elvégzése követelményeinek elbírálási folyamata • különösen jellemző a nagy tömegű szenzitív adat kezelése). Kiszolgáltatott helyzetben lévő érintettek (az ellátórendszer „ügyfeleinek” döntő része kiszolgáltatott egészségügyi helyzetben van, illetve ezen túlmenően egyes csoportok esetén különösen erős ennek a szempontnak a jelentősége, pl. gyermekek, mentális betegségben szenvedők). Magas kockázat esetén lehetséges, hogy az adott szervezet a kivételi körbe tartozik. Ide tartozhatnak • a NAIH által kiemelt adatkezelési műveletek (erre jelenleg nincs hazai példa), • törvényi jogalapú adatkezelés, ha arra egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot. A kivételekre jelenleg nincs hazai gyakorlat, illetve e pillanatban az egészségügyben nem is látszik ilyen szándék. A fenti szempontok halmozott fennállása és a kivételek hiánya miatt a kórházak esetén elkerülhetetlennek látszik az átfogó adatvédelmi hatásvizsgálat elvégzése. A hatásvizsgálat során azonosítani kell azokat a rendszereket, amelyek esetén a szempontok részletes vizsgálatot indokolnak (pl. betegellátási adatokat vagy munkavállalói adatokat kezelő rendszerek), illetve azokat az adatkezelési rendszereket, ahol ilyen szempontok nem állnak fenn (pl. anonim parkolási rendszer). EGÉSZSÉGÜGYI SZOFTVEREK HATÁSVIZSGÁLATI LEHETŐSÉGEI Az adatvédelmi hatásvizsgálat valamely technológiai termék, például hardver vagy szoftver adatvédelmi hatásainak felmérésekor is hasznosnak bizonyulhat, ha az adott terméket különböző adatkezelők használják, különféle adatkezelési műveletek elvégzésére. Ebbe a körbe tartoznak a hazai egészségügyi ellátók által használt betegdokumentációs IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY (Hospital Information System, HIS) rendszerek. A HIS rendszert üzembe helyező és működtető egészségügyi ellátó természetesen változatlanul köteles saját adatvédelmi hatásvizsgálatot végezni a konkrét megvalósításról (telepítésről), de ehhez adott esetben felhasználhatja a termék szolgáltatója (a HIS rendszer fejlesztője) által elvégzett adatvédelmi hatásvizsgálatot is. Az egészségügyi ellátónak törekednie kell arra, hogy a HIS rendszerek fejlesztői elvégezzék azokat a hatásvizsgálatokat, amelyek a konkrét telepítéstől függetlenül elvégezhetők, a rendszerek technológiáját, architektúráját és rendszerkapcsolati képességeiket érintik, mivel ezekről a szempontokról az igénybe vevő kórházak számára jellemzően csekély információ áll rendelkezésre. Hasonló megítélés alá esik az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) hatásvizsgálatának kérdése, amelyhez a hatályos törvényi előírások miatt minden közfinanszírozott egészségügyi ellátónak 2017 év novembere óta hozzá kell kapcsolnia ellátási folyamatait és adatkezelését. Az EESZT esetén várható, hogy az azt fenntartó Állami Egészségügyi Ellátó Központ elvégzi a központi hatásvizsgálatot, amely lehetővé teszi az EESZT-hez kapcsolódó folyamatok ágazati szinten egységes hatásvizsgálatának kezelését. Természetesen a fentiek mellett a kórház a felelős a HIS rendszerben megvalósuló adatkezelés hatásvizsgálatának teljes körűségéért, vagyis a fentiek hiányában minden mozzanatában kielégítő mértékben el kell végeznie a hatásvizsgálatot. A HATÁSVIZSGÁLAT ELŐÍRT TARTAMA Maga az általános adatvédelmi rendelet (GDPR) hivatalosan nem határozza meg külön az adatvédelmi hatásvizsgálat fogalmát, de: • minimális tartalmát a 35. cikk (7) bekezdése rögzíti, az alábbiak szerint: • „a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve XVII. ÉVFOLYAM 5. SZÁM 2018. JÚNIUS 19 MENEDZSMENT • • • • KÓRHÁZMENEDZSMENT adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket; b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára; c) az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat”; jelentését és szerepét a (84.) preambulum bekezdés tisztázza a következők szerint: „Az e rendeletnek való megfelelés olyan esetek érdekében történő előmozdítása érdekében, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel.” SZANKCIÓK Az általános adatvédelmi rendelet értelmében az adatvédelmi hatásvizsgálatra vonatkozó előírások be nem tartása esetén az illetékes felügyeleti hatóság (idehaza várhatóan a Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) bírságot szabhat ki. Amennyiben az adatkezelést kötelező adatvédelmi hatásvizsgálatnak alávetni, annak • elmulasztása (a 35. cikk (1) és (3)–(4) bekezdése), • helytelen elvégzése (a 35. cikk (2) és (7)–(9) bekezdése), vagy • szükség esetén az illetékes felügyeleti hatósággal való egyeztetés elmulasztása (a 36. cikk (3) bekezdésének e) pontja) közigazgatási bírsággal sújtható, amelynek összege legfeljebb tízmillió euró (közelítően 3 milliárd forint), illetve a vállalkozások esetében az előző pénzügyi év teljes éves bevételének legfeljebb 2%-a; a kettő közül a magasabb összeget kell kiszabni. ÖSSZEFOGLALÁS A GDPR megjelenése számos ágazathoz képest jelentősebb terhet helyezett az egészségügyi ellátórendszer szereplőire. Ugyan az egészségügyi adatok kezelésére vonatkozóan a jogszabályi háttér már korábban is kidolgozott volt, és az intézményrendszerben mindig is érzékelhető és tudatos erőfeszítéseket tett a betegek adatainak megóvására. Azonban hiányzik a hatósággal való, más ágazatokban már régen megszokott interakciók gyakorlata, és legfőképpen hiányoznak az adatvédelmi intézkedések megvalósításához szükséges erőforrások. A feladataink megoldását tovább nehezíti, hogy a május 25-i bevezetésre nem készültek el a szükséges jogszabálymódosítások, így jelenleg egyidejűleg kell megfelelni a régi hazai és a GDPR új szabályainak, az ütközések esetén – a nemzetközi kötelezettségünkből fakadóan – a GDPR elsődlegességével. A következő hónapokban folytatódni fog a legtöbb intézményben késve megindult felkészülés, miközben változni fog a célfüggvény is, a hazai jogszabályok hamarosan várható jogharmonizációjával. A felkészülés során számos olyan kérdést kell az egészségügyi ellátóknál rendezni, amelyek valójában nem intézmény-specifikusak, hanem az ágazat általános problémaköréhez tartoznak. Remélhetőleg ezekre hamarosan megszületnek azok a központi ágazati iránymutatások, amelyek elkerülhetővé teszik az általános problémák intézményi szintű kezelését és egy intézményenként heterogén, nem kellően egyenszilárd egészségügyi adatkezelési gyakorlat kialakulását. IRODALOMJEGYZÉK [1] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:hu:HTML A SZERZŐK BEMUTATÁSA Nagy István a Kandó Kálmán Villamosipari Műszaki Főiskolán végzett, mint villamos üzemmérnök, majd számítástechnikai szakmérnöki képesítést szerzett. IT biztonsági auditori végzettséggel rendelkezik. A gyöngyösi Bugát Pál Kórházban dolgozott az informatikai és dokumentációs osztály vezetőjeként. 1999 óta a Gottsegen György Országos Kardiológiai Intézet informatikai osztályvezetője. Részt vett az egészség- ügyi elektronikus adatcsere szabványainak az elkészítésében (MSZ22800), az „Ágazati adatkommunikációs ajánlásgyűjtemény” és az „Egészségügyi információs rendszerkövetelmények” tárgyú dokumentumok kialakításában. A jelenleg folyó ágazati egészségügyi informatikai fejlesztések kapcsán évek óta szakértőként tevékenykedik, az EESZT megalkotásában és megvalósításában meghatározó egészségügyi szakértői szerepet tölt be. A NJSZT Orvos-biológiai szakosztályának alelnöke. Az IME – Interdiszciplináris magyar egészségügy szerkesztőbizottságában dolgozik 15 éve, mint alapító tag. Dr. Horváth Lajos bemutatása lapunk XVI. évfolyamának 8. számában olvasható. 20 IME – INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY XVII. ÉVFOLYAM 5. SZÁM 2018. JÚNIUS
