HDS atitikimas sveikatos duomenims: asociacijų vadovas

Labdaringos asociacijos, humanitarinės NVO, pelno nesiekiančios medicininės ir socialinės struktūros turi vieną bendras ypatybę, kurią dažnai nepakankamai vertinama: kai tik jos tvarkydamos arba saugo asmeninės sveikatos duomenis, jos patenka į sveikatos duomenų saugojimo (HDS) teisinę sistemą. Tačiau šis sektorius atsilieka nuo atitikimo reikalavimų dėl nepakankamų vidaus išteklių ir nepakankamo informavimo. Šis straipsnis žingsnis po žingsnio padės suprasti, ką reiškia HDS sertifikacija, nustatyti jūsų tikras pareigas ir suaktyvinti operacinį atitikimą — net ir su ribotos IT komandos parama.

Kas yra HDS sertifikacija ir kodėl ją turėtų laikytis asociacijos?

Teisinė sveikatos duomenų apibrėžtis

Pagal GDPR (4 straipsnis, 15 punktas), sveikatos duomenys yra asmeniniai duomenys, susiję su fizinio arba psichinio sveikatos būvio informacija apie asmenį, atskleidžianti jo sveikatos būvį. Šis apibrėžimas yra sąmoningai platus. Jis apima ne tik klinikinius medicininius dokumentus, bet ir:

• Naudos gavėjų duomenis, kurie surinkti per skriningines kampanijas
• Informaciją apie negaliausias, deklaruotas pagalbos bylose
• Maisto ir psichinės sveikatos duomenis, kurie surinkti psichosocialinio palaikymo kontekste
• Testų rezultatus arba medicininių vertinimų duomenis humanitarinių programų metu

Priklausomybės nuo psichosocialinės pagalbos kovos asociacija, pagalba vyresnio amžiaus nedarbiems asmenims arba NVO, atliekanti medicininius patarimus lauke, visos renka duomenis, kurie patenka į šią kategoriją.

HDS įrenginys: teisinė pareiga, o ne pasirinkimas

Dėl 2016 m. sausio 26 d. n° 2016-41 įstatymo (sveikatos sistemos modernizavimo įstatymas), buvo nustatyta pareiga saugoti sertifikuotus HDS duomenis kiekvienam subjektui, kuris saugo trečiųjų šalių sveikatos duomenis — taip pat asociacijas ir NVO. Sertifikavimo standartą, nurodytą 2018 m. vasario 26 d. n° 2018-137 dekretu, apibrėžia veiklos ir techninius bei organizacinius reikalavimus, kuriuos reikia išpildyti.

Priešingai populiariam įsitikinimui, neribojimas netaikomas tik dėl to, kad yra nepelno siekianti struktūra. Tai, kas svarbu, yra duomenų pobūdis ir tai, kad saugojimas atliekamas trečiosios šalies sąskaita (daktaro, paciento, partneriųjūsų struktūros).

Šeši HDS veiklos ir jų taikymas asociatyvioms struktūroms

HDS sertifikacija apima šešias skirtingas veiklas, suskirstytas į du blokus:

Infrastruktūros blokas (veiklos 1-3)

• Veikla 1: Fizinių vietų (duomenų centrų) priežiūra ir operacinių sąlygų palaikymas
• Veikla 2: Aparatinės infrastruktūros aprūpinimas ir operacinių sąlygų palaikymas
• Veikla 3: Virtualizuotos infrastruktūros aprūpinimas ir operacinių sąlygų palaikymas

Programinės įrangos ir valdytų paslaugų blokas (veiklos 4-6)

• Veikla 4: Programų saugojimo platformos aprūpinimas ir operacinių sąlygų palaikymas
• Veikla 5: Sveikatos informacijos sistemos administravimas ir naudojimas
• Veikla 6: Išorinis sveikatos duomenų atsarginis kopijavimas

Asociacijai dažniausiai aktualios veiklos 4-6, ypač jei ji naudoja trečiosios šalies SaaS sprendimą savo naudos gavėjų dokumentams tvarkyti arba jei ji išorėje saugo savo duomenų bazės atsarginius kopijas. Todėl esminis klausimas — patikrinti, kad visi SaaS ar debesies paslaugų tiekėjai, kurie tvarkydami jūsų sveikatos duomenis, būtų tikrai sertifikuoti HDS atitinkamoms veikloms.

Šiame kontekste HDS sertifikuoto sveikatos srities elektroninio parašo sprendimo naudojimas leidžia užtikrinti jautrius dokumentų srautus — informuotus sutikimus, priėmimo formas, dematerializuotas receptus — neiškeldami asociacijos rizikos nepakankamo atitikimo.

Kaip konkrečiai suaktyvinti HDS atitikimą jūsų asociacijoje?

1 žingsnis: Nubraižykite savo sveikatos duomenų tvarkymą

Prieš pradedant bet kokius techninius žingsnius, reikia atlikti tikslų inventorių visų sveikatos duomenis apimančių procesų. Šis darbas tiesiogiai susiję su GDPR 30 straipsnyje nurodyta pareiga vesti tvarkymų registrą.

Kiekvienam tvarkymui dokumentuokite:

• Surinktų duomenų pobūdį (specialią kategoriją pagal GDPR)
• Tvarkymų paskirtis
• Gavėjus ir tiekėjus
• Saugojimo priemones (vidinis serveris, debesis, SaaS)
• Galiojančias saugos priemones

Šis žemėlapis leidžia greitai nustatyti rizikos zonas ir tiekėjus, kurie turi būti audituoti.

2 žingsnis: Audituokite tiekėjus ir reikalaukite sertifikavimo

HDS sertifikatą išduoda COFRAC (Prancūzijos akreditavimo komitetas) akredituoti subjektai. Norėdami patikrinti saugyklos sertifikavimo statusą, galite pasitikrinti ANS (Sveikatos skaitmeninio ūkio agentūra) svetainėje, kuri tvarko viešą HDS sertifikuotų saugyklų sąrašą.

Nuolat reikalaukite iš savo tiekėjų:

• Galiojančio HDS sertifikato kopiją
• Tikslų sertifikavimo aprėpiamos veiklos aprašymą
• Konkrečius sveikatos duomenų apsaugos sutarties sąlygas

Nepasitenkinkite vien ketinimų pareiškimu: sertifikacija turi būti patikrinama ir atnaujinta.

3 žingsnis: Atnaujinkite savo sutartis ir DPA

GDPR 28 straipsnis reikalauja Data Processing Agreement (DPA) sudaryti su kiekvienu tiekėju, tvarkančiu asmeniniai duomenis jūsų vardu. HDS kontekste šis DPA turi būti papildytas konkrečiomis nuostatomis, kurios apima:

• Sustiprintus konfidencialumo įsipareigojimus
• Šešiasdešimties astuonių valandų laikotarpio įsiparigojimą pranešti apie saugos pažeidimus
• Sąlygas duomenų grąžinimui ir išdėstymui
• Duomenų buvimo vietą (privaloma EEE teritorijoje arba šalyje su adekvatumo sprendimu)

Kai kurios asociacijos vis dar naudoja popierinės formos, kad surinktu savo naudos gavėjų sutikimą. Šių procesų dematerializacija per atitinkamą elektroninio parašo sprendimą leidžia laiku žymėti ir autentifikuoti sutikimus, suteikdami teisiškai priešintinus įrodymus.

4 žingsnis: Apmokyti savo komandą ir paskirti atitikimo koordinatorių

HDS atitikimas nėra vienkartinis projektas: tai nuolatinis procesas. Paskirte vidų koordinatorių (kuris gali būti jūsų DPO, jei jis yra, pagal GDPR 37 straipsnyje nurodytą pareigą didelės apimties sveikatos duomenis tvarkančioms organizacijoms) ir planuokite nuolatinius jūsų komandos, kurie darbuojasi su jautrias duomenimis, mokymo seansus.

Pagal CNIL 2024 m. paskelbtas studijas, daugiau nei 60% sveikatos duomenų pažeidimų, pranešimų, apėmė žmogiškąją klaidą (siuntimas į netinkamą adresatą, šifravimo nebuvimas). Todėl mokymas yra tokia pat svarbi rizikos mažinimo priemonė, kaip ir techninės priemonės.

Konkrečios asociacinio sektoriaus problemos: riboti ištekliai ir biudžeto suvaržymai

Jautrius duomenų paradoksas ir suvaržytas biudžetas

Asociacijos ir NVO yra iš esmės skirtingoje padėtyje: jos dažnai tvarkydamos jautriausiomis duomenimis (sveikatos būvį nepaprastai pažeidžiamų asmenų, pabėgėlių, palikti vieni vaikai) su žymiai mažesniais žmogiškaisiais ir finansiniais ištekliais nei ligoninės arba privačios sveikatos sektoriaus įmonės.

Ši realybė reikalauja pragmatišką ir prioritetizuotą atitikimo strategiją. Pagal ANS rekomendacijas, trimis fazėmis atliekama strategija dažniausiai patariama mažoms ir vidutinėms struktūroms:

1. Skubos fazė (0-3 mėnesiai): kritinių rizikos identifikacija ir neutralizavimas (nesertifikuoti saugyklų, šifravimo nebuvimas)
2. Konsolidavimo fazė (3-12 mėnesių): sutarčių atnaujinimas, atitinkamų įrankių diegimas, mokymas
3. Branda fazė (12-24 mėnesiai): vidiniai auditai, tęstinumo planas, metinis tvarkymų peržiūra

Elektroninio parašo vaidmuo HDS asociaciniame atitikime

Jautrių dokumentų dematerializacija yra dažnai nepanaudojamas asociacijoje sektoriuje. Tačiau popierinių formų pakeitimas kvalifikuoto arba išplėstinio elektroninio parašo procesais turi kelis pranašumus:

• Sekiamumas: kiekvienas parašas yra laiku žymėtas ir susietas su tikrinta tapatybe, tai palengvina tvarkymų licencijos demonstravimą
• Klaidų rizikos sumažinimas: mažiau rankinės jautrios dokumentų tvarkymo
• Saugus archivavimas: elektroniškai pasirašytus dokumentus galima saugoti sertifikuotame skaitmeniniame seife

Norėdami sužinoti daugiau apie sprendimo parinkimo kriterijus jūsų struktūrai, skaitykite mūsų elektroninio parašo sprendimų palyginimą, kuris aiškiai paaiškina rinkos nuotolių skirtumus pagal HDS ir eIDAS atitikimą.

Asociacijos, kurios jau naudoja HR įrankius arba naudos gavėjų dokumentų tvarkymo sprendimus, dažnai turi interesu patikrinti, ar jų dabartinis sprendimas vietoje turi integruotą elektroninio parašo atitikimą. Mūsų elektroninio parašo įmonėje vadovas išsamiai nagrinėja šiuos integravimo kriterijus.

Galiausiai, jei jūs jau įgyvendinate elektroninio parašo sprendimą, bet norite pereiti prie HDS sertifikuoto tiekėjo, mūsų migrijos pasiūlymas leidžia perkelti duomenis ir darbo srautus be tarnybos nutraukimo.

Sveikatos duomenų saugojimo asociacijoms ir NVO taikomos teisinės normos

HDS sistemos pagrindiniai tekstai

Prancūzų reguliavimas sveikatos duomenų saugojimui remiasi tekstų sluoksniu, kurį turi suprasti kiekviena asociacija, tvarkanti medicininius arba medicininės ir socialinės duomenis.

2016 m. sausio 26 d. n° 2016-41 įstatymas (sveikatos sistemos modernizavimo įstatymas): jis apibrėžė Sveikatos kodekse (8 straipsnis, L. 1111-8 skirsnis) pareigą pasinaudoti sertifikuotu HDS saugykla kiekviename fiziniame ar juridiniu asmeniu, kuris saugo asmeninės sveikatos duomenis tiems, kurie jais naudojasi, arba entitetams, kurie juos tvarkydami.

2018 m. vasario 26 d. n° 2018-137 dekretas: jis apibrėžia sertifikavimo dalykus, sertifikavimo išdavimo ir atšaukimo modalumą, taip pat sertifikavimo organizacijų (COFRAC akreditavimas yra privalomas) reikalavimus.

2017 m. rugpjūčio 8 d. įsakymas: jis apibrėžia sveikatos sistemos informacijos saugos standartą, kuris yra HDS vertinimo techninė bazė.

Sąsaja su GDPR

Taisyklė (ES) 2016/679 (GDPR) sudaro bendrą asmeninių duomenų apsaugos sistemą. Jos nuostatai taikomos kartu su HDS reikalavimais:

• 9 straipsnis: sveikatos duomenys yra specialios kategorijos duomenys, kurių tvarkymas iš esmės draudžiamas, išskyrus nurodytus išimtis (aiškus sutikimas, būtinybė sveikatos priežiūrai, viešasis interes ir kt.)
• 28 straipsnis: bet koks pasiūlymas tiekėjui, tvarkančiam sveikatos duomenis, turi būti detalizuotoje rašytinėje sutartyje (DPA)
• 32 straipsnis: asociacija turi diegti atitinkamas technines ir organizacines priemones (šifravimas, pseudonimizavimas, prieigos kontrolė)
• 33 straipsnis: bet koks sveikatos duomenų pažeidimas turi būti praneštas CNIL per 72 valandų laikotarpį
• 35 straipsnis: duomenų apsaugos poveikio analizė (DPIA) yra privaloma, jei tvarkymas gali sukelti aukštą riziką asmenų teisėms

Teisinė rizika dėl neatitikimo

Nesilaikydamos HDS sistemos, asociacijos susiduria su keliais bausmės lygiais:

• CNIL administracinės sankcijos: iki 20 milijonų eurų arba 4% metinės pasaulinės apyvertos (GDPR 83 straipsnis, 5 dalis) už pačius sunkiausius pažeidimus. Asociacijoms CNIL vertina sumą, atsižvelgdama į turimus išteklius, tačiau simbolinės, tačiau viešos bausmės jau taikytos mažoms struktūroms.
• Baudžiamoji atsakomybė: Baudžiamojo kodekso 226-13 straipsnis nustato iki vienerių metų kalėjimo ir 15 000 eurų baudą medicamente paslaptį pažeidus.
• Civilinė atsakomybė: pažeisti naudos gavėjai gali pareikšti asociacijos atsakomybę pagal Civilinio kodekso 1240 ir tolesnius straipsnius, jei jis padarytų žalą.
• Akreditacijos sustabdymas: akredituotos asociacijos pagal viešąsias institucijas (ARS, departamentų savivaldybės) gali prarasti akredito atitikimo imunitetą, jei padarytą grubių pažeidimų sveikatos duomenų apsaugą.

Taip pat reikia pastebėti, kad NIS2 direktyva (EU direktyva 2022/2555, transponuota Prancūzijoje dėl 2024 m. gegužės 21 d. n° 2024-449 įstatymo) praplečia kibernetinės saugumo pareigas platesniame subjektų spektre, potencialiai apimantis tam tikras didelės asociacijos, valdančias kritines sveikatos infrastruktūras.

Naudojimo scenarijai: HDS atitikimas iš praktikos asociacijose ir NVO

Scenarijus 1: Namų pagalbos asociacija, tvarkanti 500 naudos gavėjų failų

Asociacija, teikianti paslaugas nepriklausomų vyresnio amžiaus asmenų keliuose departamentuose, tvarko maždaug 500 aktyvių failų, kuriuose yra informacija apie ligų istorijas, einamųjų receptus ir priklausomybės vertinimus (GIR skalė). Šie duomenys saugomi asociacijos logiškai valdytoje debesies saugykloje, kuri nėra HDS sertifikuota.

Po vidaus audito, suaktyvinto naudos gavėjo prieigos pagal GDPR 15 straipsnį, asociacija nustato šią neatitikimą. Ji pradeda migraciją į HDS sertifikuotą saugyklą veikloms 4 ir 5, sudarys DPA su savo programinės įrangos tiekėju ir naudos formas elektroninio parašo sprendimo per dematerializuojama sutikimus bei asmenius pagalbos planus.

Stebėti rezultatai: sutikimų tvarkymo laikas sumažėjo 70% (iš vidutinio 12 dienų popieriniam formatui į mažiau nei 4 dienas), visiškai pašalinta rizika dėl popierinių dokumentų praradimo arba siuntimo klaidingam priimtojui, ir sustiprintos draudimo nuomos suteikimas dėl dokumentuoto atitikimo.

Scenarijus 2: Tarptautinė NVO, koordinuojanti medicininius misinius lauke

NVO, specializuojasi neatidėliotinos medicininės pagalbos, renkamos sveikatos duomenys savo misijų metu kai kuriuose šalyse, įskaitant duomenis, perkeliamus į centrinį serverį Prancūzijoje. IT komanda sudaryta iš dviejų savanorių.

Negalėdama išlaikyti vidaus infrastruktūros sertifikuoto HDS, NVO beria visiškai SaaS architektūrą su HDS sertifikuotu saugykla, apimančia veiklas 1-6. Jis igyvendina elektroninio parašo procesą medicininių protokolų ir sutikimo formų (parašo režimas neprisijungus su sinchronizacija).

Stebėti rezultatai: HDS ir GDPR atitikimas pasiektas per mažiau nei 6 mėnesių be papildomos IT samdomis, numatinė ekonomija 40% palyginti su vidaus saugoma infrastruktūra, ir galimybė atsakyti į institucinius konkursus (AFD, Europos sąjunga), reikalaujančius duomenų atitikimo sertifikavimo.

Scenarijus 3: Asociacijų tinklas, valdantis bendruomenės sveikatos centrus

Asociacijos grupė, apjungianti kelis bendruomenės sveikatos centrus (maždaug 8 000 aktyvių pacientų) naudoja bendrą paciento dokumentų programą, skirtą skirtingoms vietoms. Koordinavimas tarp saugyklų apima sveikatos duomenų keitus per nesaugią elektroninę paštą, pažeidžiant tiesiogiai HDS standartus.

Asociacija pradeda savo informacijos sistemos peržiūrą su HDS sertifikuoto tiekėjo pagalba, integruoja saugia sveikatos mediciną (MSSanté), ir dematerializuoja visus susitikimo ir sutikimo parašus per elektroninio parašo atitinkamą platformą. DPIA atliekamas kiekvienam aukštos rizikos tvarkymui.

Stebėti rezultatai: nulinio sveikatos duomenų pažeidimų pranešimų CNIL per 18 mėnesių po atitikimo (prieš tai buvo du nedideli incidentai), vidutinis priėmimo laikas sumažėjo 35%, ir paciento failų užpildymo greitis padidėjo 22% dėl popierinių nebaigtos formos šalinimo.

Išvada

Suaktyvinti HDS atitikimą sveikatos duomenims asociaciniame ir NVO sektoriuje nėra parinktis, skirta didžioms ligoninės struktūroms: tai yra teisinė pareiga, kuri taikoma bet kuriai entitetui, nepaisant dydžio arba teisinės formos, kai tik saugo arba tvarkydamos asmeninės sveikatos duomenis. Nepastebymas sistemos nenušalinai nuo atsakomybės.

Gera žinia: keturių žingsnių struktūrinis požiūris — žemėlapymas, tiekėjų auditavimas, sutarčių atnaujinimas, mokymas — leidžia pasiekti tvirtas atitikimo lygius net ir su ribotais ištekliais. Sutikimų ir jautrių dokumentų dematerializacija per sertifikuotą elektroninio parašo sprendimą yra ypač veiksminga rizikos mažinimo priemonė, kartu pagerindama operacinį efektyvumą.

Certyneo siūlo eIDAS atitinkamą elektroninio parašo platformą, pritaikytą asociacinio sektoriaus apribojimams ir saugomą HDS sertifikuotoje infrastruktūroje. Susisiekite su mūsų komanda dėl nemokamo jūsų dokumentinės situacijos audito ir sužinokite, kaip jau šiandien saugoti savo sveikatos duomenų srautus.