Comhchosúlacht HDS do shonraí sláinte: treoir do bhainisteoireachtaí...

Tá bainisteoireachtaí carthanachta, NGO daonnúla, struchtúir leighis-shóisialta gan bhunús brabúis roinnt rud coiteann acu go minic foluain: chomh luath agus a bhíonn siad ag déileáil nó ag foluain sonraí sláinte pearsantúla, tá siad faoi réir an fhráma dlíthiúil foluain sonraí sláinte (HDS). Ach de bharr easpa acmhainní inmheánacha tiomnaithe agus mothúchán neamhleor, tá moill dhronuilleogach ar an earnáil seo maidir le comhchosúlacht. Treoraitheoidh an alt seo thú céim ar céim chun tuiscint a fháil ar an méid a bhíonn i gceist leis an tsiombóil HDS, do dhliteanas iarbhír a shainaithint agus comhchosúlacht oibríochtúil a ghníomhachtú — fiú le foireann IT teoranta.

Cad is siombóil HDS ann agus cén fáth a bhíonn bainisteoireachtaí i gceist?

An sainmhíniú dlíthiúil ar shonraí sláinte

De réir an GDPR (alt 4, §15), is sonraí pearsantúla iad sonraí sláinte a bhaineann le sláinte fhisiceach nó intinne duine, ag nochtadh faisnéise ar a staid shláinte. Tá an sainmhíniú seo intentúil leathan. Níl sé i gceist ach taifid leighis de réir bhrí cliniciúil, ach freisin:

• Sonraí fabhcóirí a bhailiú le linn feidhmchláir scagadh
• Eolas ar dhíchealladh a fhógairt i gcomhaid chuidiú sóisialta
• Sonraí beathaisnéise nó sláinte intinne a bhailiú i gcomhthéacs tacaíochta phsichsóisialta
• Torthaí tástála nó meaite leighis i bhfrámh cláir dhúnmharuithe

Baileann comhlachas ag foluain i gcoinne an nósúlachta, líonra cabhartha do dhaoine scothaosta a bhí ag brath nó NGO a bhainistiú coincheis leighis talún go léir sonraí ag teacht isteach sa chatagóir seo.

An t-áirithint HDS: oibleagáid dlíthiúil, ní rogha

Bhunú an Dlí n° 2016-41 ó 26 Eanáir 2016 (dlí nuachóirithe an chóras sláinte) an oibleagáid foluain ceadaithe HDS d'aon eintiteas a foluain sonraí sláinte pearsantúla ar son tríú páirtithe — lena n-áirítear bainisteoireachtaí agus NGO. Leagann an reitric tsiombóil, a sainmhíniú ag decretú n° 2018-137 ó 26 Feabhra 2018, na gníomhaíochtaí clúdaithe agus na caighdeáin theicniúla agus eagraíochtúla chun a shásamh in iúl.

Murab ionann is tuairim réasúnaithe, ní fhéidir maolú ar bhonn gur struchtúr gan bhunús brabúis an rud atá i gceist. Is ionann is an rud atá i gceist, nádúr na sonraí a bhíonn á dtimpeallú agus an fhíric go bhfuil an foluain á dhéanamh ar son tríú páirtí (dochtúir, othar, struchtúr páirtnéireachta).

Na sé ghníomhaíochtaí HDS agus a raon foluain do struchtúir bhainisteoireachtaí

Clúdaíonn siombóil HDS sé ghníomhaíochtaí ar leith, eagraithe i dhá bhloc:

Bloc bonneagair (gníomhaíochtaí 1 go 3)

• Gníomhaíocht 1: An foluain agus an coinneáil i gcomhdhéanamh oibríochtúil de shuíomhanna fisiceacha (ionad sonraí)
• Gníomhaíocht 2: An foluain agus an coinneáil i gcomhdhéanamh oibríochtúil de bhonneagair bhréagánach
• Gníomhaíocht 3: An foluain agus an coinneáil i gcomhdhéanamh oibríochtúil d'fhíor-bhonneagair

Bloc bogearraí agus seirbhísí bhainistíochta (gníomhaíochtaí 4 go 6)

• Gníomhaíocht 4: An foluain agus an coinneáil i gcomhdhéanamh oibríochtúil ar an spréachán foluain feidhmchláranna
• Gníomhaíocht 5: Riarachán agus feidhm an chórais faisnéise sláinte
• Gníomhaíocht 6: Cúl-cóir dhíothaithe ar shonraí sláinte

I gcomhair bainisteoireachtaí, is iad na gníomhaíochtaí is minic a bhíonn i gceist na gníomhaíochtaí 4 go 6, go háirithe nuair a úsáideann sí fhéin réiteach SaaS tríú páirtí chun a dossaí fabhcóirí a bhainistiú nó nuair a bhíonn sí ag díothú an chúl-chóir ar a bunachair shonraí. Dá bhrí sin is gníomhach go ndéanta a tháirbhirt aon réiteach SaaS nó scamall atá ag déileáil do do shonraí sláinte a bheith i gceadúnas HDS do na gníomhaíochtaí a fhreagraíonn.

Sa chomhthéacs seo, an úsáid ar a réiteach sínithe leictreonach sa gheilleagar sláinte ceadaithe HDS cead a thabhairt duit sreabhadh doiciméad mothúchánach a ghrinniú — soiliosacht thairbhí, fhoirc iontrála, ordinanais dhíothaithe — gan an bainisteoireacht a nochtadh d'infhachais easpa comhchosúlachta.

Conas a ghníomhachtú go praiticiúil comhchosúlacht HDS i do bhainisteoireacht?

Céim 1: Do chóir dhifreálach a thaifeadú ar shonraí sláinte

Roimh aon dhréachta theicniúil, ní mór duit inbhinne chuimsitheach a dhéanamh ar an iomlán oibre a bhaineann le sonraí sláinte. Téann an fheidhmchluichí seo i bhfrithchomórtas díreach sa oibleagáid choinneáil iontráilte ar na próiseasan atá leagtha síos ag alt 30 an GDPR.

I gcás gach próiseasa, cuir in iúl:

• Nádúr na sonraí a bhailiú (catagóir speisialta de réir bhrí GDPR)
• Na finitheanna ar an bhpróiseas
• Na n-airgead agus fothráitheoirí
• Na meáin foluain (friotháilteoir inmheánach, scamall, SaaS)
• Na bearta fháilteanna á chur i bhfeidhm

Ligeann an taifeadadh seo duit na ceantair dhainséireachta agus na fothráitheoirí a bhí le hairde a shainaithint go tapa.

Céim 2: Do thráitheoirí a bhreithniú agus ceadúnas a iarraidh

Tugtar siombóil HDS ag organisms fhaofa ag COFRAC (Coiste Francach ar Acmhainneacht). Is féidir leat an staid ceadúnas a fhiacraigh ar líonra ar an suíomh ANS (Gníomhaireacht Digiteach Sláinte), a choinneáil liosta poiblí d'fholuain ceadaithe HDS.

Faomh go córasach ó do thráitheoirí:

• Cóip den thsiombóil HDS i bhfeidhmiú bailí
• An raon beacht ar na gníomhaíochtaí clúdaithe
• Na coinníollacha conarthacha ar leith ar dhídean sonraí sláinte

Ná bí sásta le gealadh meoin: caithfidh an ceadúnas a bheith iméalrach agus atá in-fhéachana.

Céim 3: Do chonarthaí agus DPA a chur cothrom le fios

Gealann alt 28 an GDPR an dúnadh Comhaontú Próiseála Sonraí (DPA) le haon fhothráiththuir ag próiseáil do shonraí pearsantúla ar do chonair. I gcomhthéacs HDS, caithfidh an DPA seo a bheith glactha go bhfuil clásail speisialta ann ag clúdach:

• Na gealanna rúnda fhiúntacha
• Na hoibleagáidí fógra imeachta laistigh 72 uair an chloig
• Na coinníollacha tuairisciúcháin agus scrios sonraí
• An suíomh sonraí (ar an domhan an EEE nó i dtír ag baint tairbhe as cinneadh oiriúntachta)

Úsáideann roinnt bainisteoireachtaí fós foirmeacha páipéir chun fáomh a bhreithniú ar a fabhcóirí. An díthairbheadh na próiseasan seo trí réiteach sínithe leictreonach i gcomhréir cead a thabhairt duit an chraobh a bhreacadh agus ar a ionadaí a thairbhirt, ag táirgeadh fianaise atá dlíthiúil thairbheach.

Céim 4: Do fhoireann a oiliúnú agus tagarthóir comhchosúlachta a ainmniú

Níl comhchosúlacht HDS ar a thaobh sgaoilte: is próiseas leantach a rud atá ann. Ainmnigh tagarthóir inmheánach (ar féidir é a bheith i do DPO má tá ceann agat, i gcomhréir leis an oibleagáid leagtha síos ag alt 37 an GDPR do organisms ag próiseáil sonraí sláinte ar scála mór) agus plánaigh seisiúin mothúcháin rialta do fhoireann in dúlgheall le sonraí mothúchánach.

De réir staidéir a foilsíodh ag an CNIL i 2024, bhí níos mó ná 60 % ar na briseadh sonraí sláinte a cuireadh in iúl ag baint leis an earráid dhúine (seol go mairnéalach míchuí, easpa encryptáil). Mar sin tá an oiliúint ar shraith laghdaithe an riosca chomh tábhachtach sin agus a bhí na bearta theicniúla.

Na ceisteanna ar leith don earnáil bhainisteoireachtaí: acmhainní teoranta agus srian bhuiséid

An paradacsa sonraí mothúchánach agus buiséid theoranta

Tá bainisteoireachtaí agus NGO i seasamh ar leith: is minic a bhíonn siad ag bainistiú sonraí atá ar an gceist ba tháibhachtaí (staid shláinte daoine leochaileacha, dhídheoraithe, dhéagóirí ar neamhspleáchas) le meáin dhúine agus airgeadais i bhfad níos lag ná a dheirsin ar an eagraigheacht ospidéal nó ar phrívéadta gnóthaí sláinte.

Fágann an réaltacht seo go gcaithfidh tú a ghlacadh le stratagéis comhchosúlachta pragmatach agus réamhordaithe. De réir na moladh ó ANS, is dócha go raibh cur chuige i dtrí chéim díobh do struchtúir bheag agus meánmhéid:

1. Céim ghéarchéim (0-3 mhí): shainaithint agus neodrú an riosca criticiúil (fholuain neceadaithe, easpa encryptáil)
2. Céim dhhaingnithe (3-12 mhí): nuachóiriú ar chonarthaí, briseadh ar na ábhair i gcomhréir, oiliúint
3. Céim mhéithineolaíocha (12-24 mhí): scrúdaithe inmheánacha, phlean cothabhála, athbhreithniú bliantúil na próiseasan

An ról ar shínithe leictreonach i gcomhchosúlacht HDS bhainisteoireachtaí

Is mór an chabhail nach ndéanann an earnáil bhainisteoireachtaí ar dhíthairbheadh na ndoiciméad mothúchánach. Ach ní hionann agus a chur in ionad na bhfoirc páipéir ag próiseasan sínithe leictreonach iomlán nó chéimnithe tairbhí roinnt sochair:

• Rianáil: is hinn gach sínithe am-fhaisnéiseach agus nasctha do shainaitheolas, a dhéanann sé níos éasca an leorscéal dlí atá á dhéanamh a thaifeadh
• Laghdaithe ar an riosca earráide: níos lú ionramhála ar láimh de dhidúseanna mothúchánach
• Stóráil shábháilte: is féidir doiciméid sínithe go leictreonach a bhreacadh i gcófra dhigiteach ceadaithe

Chun dul níos faide ar na critéir roghnú réitigh oiriúnach d'on struchtúr agat, cuir í bhfáil ar comparáid ar na réitigh dhíthairbheadh leictreonach a leagann síos na ndifríochtaí idir tairgí an mhargaidh maidir le comhchosúlacht HDS agus eIDAS.

Go minic bíonn bainisteoireachtaí ag úsáid cheana ar bhás bhainistíochta HR nó ar bhás bhainistíochta dossaí fabhcóirí inchinn chun a fhiacraigh an bhfuil a réiteach cúrrúntach ag cuimilt go briathartha ar an sínithe leictreonach i gcomhréir. Déileálann ár treoir ar shínithe leictreonach i ngníomhaire ar na critéir chomh-imealla seo i ndéine.

Ar deireadh, má bhí réiteach sínithe tugtha amach cheana agat ach ba bhreá leat gluaiseacht chuig fothráiththuir ceadaithe HDS, cead a thabhairt duit ár soláthar imirce do do shonraí agus sreabhadh a aistríonn gan briseadh ar an tseirbhís.

Fráma dlíthiúil arna bhfeidhmiú ar fhuluain sonraí sláinte do bhainisteoireachtaí agus NGO

Na téacsanna bunúsacha an fhráma HDS

Tá an rialáil Fhraincise ar fhuluain sonraí sláinte bunaithe ar bhruachán a cealanna a raibh an mhaistir é ar bith do aon bhainisteoireacht ag déileáil le sonraí leighis nó leighis-shóisialta.

Dlí n° 2016-41 ó 26 Eanáir 2016 (dlí nuachóirithe an chóras sláinte): chuir sé síos sa Chóid Sláinte Phoiblí (alt L. 1111-8) an oibleagáid a dhul i ngleic le foluain ceadaithe HDS ar aon duine nó gníomhaire a foluain sonraí sláinte pearsantúla ar son daoine ábhartha nó eintiteas a bhíonn á próiseáil.

Decretú n° 2018-137 ó 26 Feabhra 2018: leagann sé an gníomhaíochtaí ceadúnas, na modúla tugatha agus tarraingthe an chéadúnas, agus na caighdeáin arna bhfeidhmiú ar organisms tháirbhearta (ceadúnas COFRAC is gá).

Arrêté ó 8 Lúnasa 2017: socraitheann sé an reitric thairbhirt ar bheare fhaisnéise sláinte, a shonrú thairbh ar bhreithniú HDS.

Nasc ar an GDPR

Is é an Rialachán (AE) 2016/679 (GDPR) fráma ginearálta dhídean sonraí pearsantúla. Cuirtear a bheartas i bhfeidhm go tuata ar na gá HDS:

• Alt 9: is catagóir speisialta iad sonraí sláinte ar mí-dhligthe an próiseas, ach easláithrí liostaithe (soiliosacht shollúnta, gá do chúram sláinte, leas poiblí, srl.)
• Alt 28: caithfidh aon dhul i ngleic le fothráiththuir ag próiseáil shonraí sláinte a bheith faoi réir conarthaí scríobhtha mionsonraithe (DPA)
• Alt 32: cuirtear ar an bhainisteoireacht na bearta theicniúla agus eagraíochtúla a chur i bhfeidhm (encryptáil, pseudonymisation, rialú rochtana)
• Alt 33: caithfidh aon bhriseadh sonraí sláinte a bheith fógarthta don CNIL laistigh d'fhocal 72 uair an chloig
• Alt 35: is gá Anailís Tairbhirt ar Dhídean Sonraí (AIPD) a rith chomh luath agus a bhíonn an próiseas in ann riosca ard a chroí chun cearta daoine

Riosca dlíthiúil i gconnar neamh-chomhchosúlachta

Easpa a ghlacadh ar fhráma HDS a nochtadh an bainisteoireacht do roinnt leibhéil chosaint:

• Cosaint riaracháin CNIL: suas go 20 milliún euro nó 4 % ar an omnláthair fhabhbhliain ar fud an domhain (alt 83, §5 an GDPR) ar na lochtanna ba thréine. I gcás bainisteoireachtaí, measann an CNIL an méid ag cur san áireamh na hacmhainní atá ar fáil, ach bhí cosaint shiombóileach ach poiblí tugtha ag an CNIL in aghaidh struchtúr beaga go fóill.
• Freagrach peannúil: leagann alt 226-13 an Chóid Pheannúil suas go ceann bliain i bpriosún agus 15 000 euro fíneáil ar dhúnúint ar rún leighis.
• Freagrach sibhialta: is féidir le fabhcóirí claoidhte freagracht an bhainisteoireacht a thógáil ar bhunús alt 1240 agus ina dhiaidh sin an Chóid Sibhialta i gconnar lochtanna demonstrable.
• Fionraithníochtaí ar aontú: is féidir le bainisteoireachtaí aontaithe ag údaráis phoiblí (ARS, comhairle dhéanmhainithe) a bheith tugtha ar shiúl a n-aontú i gconnar lochtanna tromchúiseach ar dhídean sonraí sláinte.

Is gá a bhheith ar a bhfoláireamh go síneann an treoir NIS2 (treoir AE 2022/2555, a thréigeadh i bhFrainc ag dlí n° 2024-449 ó 21 Bealtaine 2024) na hoibleagáidí sibhialta ar speictream leathan eintiteas, go poitéinsiúil ag cuimirt roinnt bainisteoireachtaí móra ag bainisteoir bhonneagar chriticiúil sláinte.

Léirithe úsáid: comhchosúlacht HDS i bhfeidhm do bhainisteoireachtaí agus NGO

Léirithe 1: Bainisteoireacht cabhartha baile ag bainistiú 500 dossaí fabhcóirí

Bainisteoireacht ag gníomhú ar dhaoine scothaosta ar bhía nochta i roinnt déanacha ag bainistiú tuairim 500 dossaí gníomhach ag cuimirt faisnéise ar na pathologies, ordinanais i gceist agus mheasúnú ar dhépéndance (gréin GIR). Tá na sonraí seo stóiríochta i ríomhchlár bhainistiú bainisteoireacht foluain ag fothráiththuir scamall neceadaithe HDS.

Tar éis iniúchta inmheánacha ar fheidhmchláir ag iarraidh rochtana fabhcóir, shainaithint an bhainisteoireacht an neamh-chomhchosúlacht seo. Glacann sí foluain i gcomhais le foluain ceadaithe HDS do na gníomhaíochtaí 4 agus 5, dúnadh DPA i gcomhréir leis an réiteach bogearraí agus briseadh sínithe leictreonach chun foirc thairbhí agus phleananna cuiditheoireachta pearsantúla a dhíthairbheadh.

Torthaí a bhreathnaíodh: laghdaithe 70 % ar an dréim ar dhréim tairbhí (ó 12 lá ar mheánamh i bhformáid páipéir go níos lú ná 4 lá), scrios iomlán ar an riosca ann dúnú nó seol mícheart doiciméad páipéir, agus faighde ar scáthlán árachais sibhialta fhiúntach dhá bharr na nuachóirithe doiciméad.

Léirithe 2: NGO idirnáisiúnta a chomhordú misean leighis talún

NGO speisialtaithe i gcúram leighis gréine ghéarchéime ag bailíonn, i bhfrámh a misean, sonraí sláinte ar dhaonra fabhcóirí i roinnt tíortha, go bhfuil sonraí ar aghaidh go friotháilteoir láraithe i bhFrainc. Tá an foireann IT comhdhéanta de dhó daoine bhéilíocha.

I bhfianaise an dóchúlachta caomhnú bonneagair inmheánacha ceadaithe HDS, roghnú an NGO an ailtireacht 100 % SaaS le foluain ceadaithe HDS ag clúdach gníomhaíochtaí 1 go 6. Cuireanntí síos ar phróiseas sínithe leictreonach ar phleananna leighis agus ar fhormáid thairbhí a oiriúnach do thaobhanna fhachabhair lag (sínithe i gmod as feidhm comhshólathe).

Torthaí a bhreathnaíodh: comhchosúlacht HDS agus GDPR a bhaint i níos lú ná 6 mhí gan aon bhreiksiú IT bhreise, eacnamaí a mheasúnú 40 % i gcomáid le bonneagair foluain féin-bheartaithe, agus cumhacht a fhreagra ar ghlaoch poiblí institiúideach (AFD, Aontas Eorpach) ag ceangal ceadúnas comhchosúlachta sonraí.

Léirithe 3: Líonra bainisteoireachta ag bainistiú ionad sláinte poiblí

Grúpaíonn bainisteoireacht comhlachas roinnt ionad sláinte poiblí (tuairim 8 000 othar gníomhach) ag úsáid ríomhchlár dossaí othar a roinnt idir na suíomhanna ar leith. An comhordú idir suíomhanna ag baint leis na doiciméad sonraí sláinte a mhalartú ar an ríomhphost gan bhaighneasa, i scrios díreach ar reitric HDS.

Glacann an bhainisteoireacht athfhoirmithe ar a córas faisnéise le tacaíocht ó fothráiththuir ceadaithe HDS, infheidhmíonn seirbhís ríomhphost slán sláinte (MSSanté), agus díthairbheadh an iomlán ar a foirc iontrála agus tairbhí ag spréachán sínithe leictreonach i gcomhréir eIDAS. Tugtar AIPD ar aghaidh ar gach próiseas a bhí ag riosca ard.

Torthaí a bhreathnaíodh: zéro briseadh sonraí fógarththa don CNIL ar na 18 mhí ag leantúint ar an gcomhchosúlacht (in aghaidh dhó tharraing beag ar an tréimhse roimhe seo), dréim meánmhéid iontrála laghdaithe 35 %, agus feabhas ar an ráta críochnaithe dossaí othar 22 % dhá bharr an thoirt foirc páipéir neamhiomlán.

Dúshláin

A ghníomhachtú comhchosúlacht HDS ar shonraí sláinte san earnáil bhainisteoireachtaí agus NGO níl sé ar rogha tharraingthe do struchtúir ospidéal mhóra: is oibleagáid dlíthiúil a atá ann ar aon eintiteas, beag nó mór, nó stádas dlíthiúil, chomh fada agus a fhuluain nó próiseála sonraí sláinte pearsantúla. An fhios easpa ar an fhráma ní eisiomhaíonn ó an freagracht.

An scéal deas: cur chuige struchtúrtha i gceithre chéim — taifeadadh, scrúdaitheoirí ar thráitheoirí, nuachóirithe conarthaí, oiliúint — a cheadaitheann leibhéal comhchosúlachta daingne a bhaint fiú le acmhainní teoranta. Díthairbheadh tairbhí agus doiciméad mothúchánach ag spréachán sínithe leictreonach ceadaithe a dhéanann leas ar an deis ar leith ar laghdaithe an riosca chuig fíoradh oibríochtúil.

Tugann Certyneo spréachán sínithe leictreonach i gcomhréir eIDAS, oiriúnach do shrian an earnáil bhainisteoireachtaí agus foluain ar bhonneagair ceadaithe HDS. Contactez notre équipeTéigh i dteagmháil ar ár fhoireann⟦/L