Usklađenost HDS za zdravstvene podatke: vodič za udruge i NVO

Dobrotvorne udruge, humanitarne NVO, neprofitne zdravstvenosaocijalne strukture dele jednu zajedničku karakteristiku koja se često podcenjuje: čim obrađuju ili čuvaju zdravstvene podatke sa ličnom dimenzijom, spadaju u okvir zakona o čuvanju zdravstvenih podataka (HDS). Međutim, ovaj sektor akumulira strukturno kašnjenje u pogledu usklađenosti, zbog nedostatka internih sredstava i nedovoljne svesti. Ovaj članak vas vodi korak po korak kako da razumete šta certifikacija HDS podrazumeva, da identifikujete prave obaveze i da aktivirate operativnu usklađenost — čak i sa ograničenim IT timom.

Šta je HDS sertifikacija i zašto su udruge obuhvaćene?

Pravna definicija zdravstvenih podataka

U smislu GDPR-a (članak 4, §15), zdravstveni podaci su lični podaci koji se odnose na fizičko ili mentalno zdravlje osobe, otkrivajući informacije o njenom zdravstvenom stanju. Ova definicija je namerno široka. Obuhvata ne samo medicinske dosijee u kliničkom smislu, već i:

• Podatke korisnika prikupljene tokom kampanja screening-a
• Informacije o invalidnosti deklarisane u dosijee socijalne pomoći
• Podatke o ishrani ili mentalnom zdravlju prikupljene u kontekstu psiho-socijalne podrške
• Rezultate testova ili medicinskih evaluacija u okviru humanitarnih programa

Udruženje za borbu protiv zavisnosti, mreža pomoći starijim osobama zavisnim od nego ili NVO koja upravlja terenskim medicinskim konsultacijama, sve skupljaju podatke koji spadaju u ovu kategoriju.

HDS mehanizam: pravna obaveza, ne opcija

Zakon br. 2016-41 od 26. januara 2016. (zakon o modernizaciji zdravstvenog sistema) je uspostavio obavezu certificiranog HDS čuvanja za svaki entitet koji čuva zdravstvene podatke sa ličnom dimenzijom za račun trećih lica — uključujući udruge i NVO. Referentni standard certificiranja, definisan dekretem br. 2018-137 od 26. februara 2018., precizira obuhvaćene aktivnosti i tehnijske i organizacijske zahteve.

Za razliku od čestog pogrešnog shvatanja, izuzeće se ne primenjuje samo na činjenici da je struktura neprofitna. Bitna je priroda obrađenih podataka i činjenica da se čuvanje vrši za račun trećeg lica (lekara, pacijenta, partnerske strukture).

Šest HDS aktivnosti i njihov domet za udruženja

Sertifikacija HDS pokriva šest posebnih aktivnosti, organizovanih u dva bloka:

Infrastrukturni blok (aktivnosti 1 do 3)

• Aktivnost 1: Činjenje dostupnom i održavanje u operativnom stanju fizičkih lokacija (data centara)
• Aktivnost 2: Činjenje dostupnom i održavanje u operativnom stanju materijalne infrastrukture
• Aktivnost 3: Činjenje dostupnom i održavanje u operativnom stanju virtuelne infrastrukture

Blok softvera i upravljanih usluga (aktivnosti 4 do 6)

• Aktivnost 4: Činjenje dostupnom i održavanje u operativnom stanju platforme za čuvanje aplikacija
• Aktivnost 5: Administracija i eksploatacija zdravstvenog informacionog sistema
• Aktivnost 6: Spoljna sekundarna čuvanja zdravstvenih podataka

Za udrugu, najčešće obuhvaćene aktivnosti su aktivnosti 4 do 6, posebno kada koristi rešenje SaaS trećeg lica za upravljanje dosijejima korisnika ili kada egzternalizuje sekundarna čuvanja svojih baza podataka. Stoga je bitno da verifikujete da je svaki SaaS ili cloud prestavilac koji manipuliše vašim zdravstvenim podacima, zaista certificiran HDS za odgovarajuće aktivnosti.

U ovom kontekstu, korišćenje rešenja za elektronsku potpisivanje u zdravstvenom sektoru certificiranog HDS-om, omogućava vam da osigurate osetljive dokumentarne tokove — upoznate saglasnosti, formulare za upis, digitalizovane recepte — bez izlaganja udruge riziku od neusklađenosti.

Kako konkretno aktivirati HDS usklađenost u vašoj udruzi?

Korak 1: Mapiranje vaših zdravstvenih podataka

Pre bilo kojeg tehničkog koraka, potrebno je izvršiti preciznu evidenciju svih aktivnosti koje obuhvataju zdravstvene podatke. Ova aktivnost direktno spada u obavezu održavanja evidencije obrade data predviđene članom 30 GDPR-a.

Za svaku obradu, dokumentujte:

• Prirodu prikupljenih podataka (posebna kategorija u smislu GDPR-a)
• Svrhe obrade
• Primaoce i poddodavače
• Sredstva čuvanja (interni server, cloud, SaaS)
• Mere bezbednosti na mestu

Ova mapa omogućava vam da brzo identifikujete zone rizika i prestavljace koje treba revijuirati.

Korak 2: Revizija prestavilaca i zahtevanje sertifikacije

Sertifikacija HDS se dodelјuje od strane akreditovanih tela od strane COFRAC (Francuskog odbora za akreditaciju). Možete verifikovati status sertifikacije hebergera na vebsajtu ANS (Agencija za digitalni zdravstveni sektor), koja vodi javnu listu certificiranih HDS hebergera.

Sistematski zahtevajte od vaših prestavilaca:

• Kopiju važećeg HDS sertifikata
• Tačan domet obuhvaćenih aktivnosti
• Ugovorne uslove posebne zaštite podataka

Ne zadovoljite se samo deklaracijom namera: sertifikacija mora biti verifikovana i ažurna.

Korak 3: Ažuriranje ugovora i DPA

Članak 28 GDPR-a nameće zaključivanje Ugovora o obradi podataka (DPA) sa svakim poddodavačem koji obrađuje lične podatke za vašu račun. U HDS kontekstu, ovaj DPA mora biti dopunjen posebnim klauzulama koje pokrivaju:

• Obaveze pojačane poverljivosti
• Obaveze obaveštavanja o incidentu u roku od 72 sata
• Uslove povratka i brisanja podataka
• Lokaciju podataka (neizbežno na teritoriji EEA ili u zemlji sa odlukom o adekvatnosti)

Neke udruge još uvek koriste papirnate obrasce za prikupljanje saglasnosti korisnika. Digitalizacija ovih procesa kroz kompatibilno rešenje za elektronsku potpisivanje omogućava vam da vremenom označite i autentifikujete saglasnosti, stvarajući pravno suprotnu dokazu.

Korak 4: Obuka timova i imenovanje usklađenog referenta

HDS usklađenost nije jednokratan projekat: to je kontinuiran proces. Imenujte internog referenta (koji može biti vaš DPO ako ga imate, prema obavezi predviđenoj članom 37 GDPR-a za organizacije koje obrađuju zdravstvene podatke na velikoj skali) i planujte redovne sesije svesti za timove u kontaktu sa osetljivim podacima.

Prema studiji koju je objavila CNIL 2024. godine, više od 60% prijavljenih kršenja podataka zdravstvene zaštite je uključivalo ljudsku grešku (slanje pogrešnom primaocu, odsustvo enkripcije). Obuka je, stoga, mehanizam smanjenja rizika jednako bitan kao tehnička rešenja.

Posebni izazovi u asocijativnom sektoru: ograničena sredstva i budžetska ograničenja

Paradoks osetljivih podataka i ograničenog budžeta

Udruge i NVO nalaze se u posebnoj poziciji: često upravljaju nekim od najosjetljivijih podataka (zdravstveno stanje ranjivих osoba, izbeglica, usamljene maloletnike) sa ljudskim i finansijskim sredstvima znatno manjim od bolničkog sektora ili privatnih zdravstvenih preduzeća.

Ova realnost nameće primenu pragmatične i prioritetne strategije usklađenosti. Prema preporukama ANS-a, trofazni pristup se generalno preporučuje za male i srednje strukture:

1. Hitna faza (0-3 meseca): identifikacija i neutralizacija kritičnih rizika (necerificirani hebergeri, odsustvo enkripcije)
2. Faza konsolidacije (3-12 meseci): ažuriranje ugovora, primena kompatibilnih alata, obuka
3. Faza zrelosti (12-24 meseca): interni audit, plan kontinuiteta, godišnja pregleda obrade

Uloga elektronske potpisivanja u HDS usklađenosti udruženja

Digitalizacija osetljivih dokumenata je mehanizam često iskorišćen od strane asocijativnog sektora. Međutim, zamena papirnate obrasce kvalifikovanom ili naprednom elektronskom potpisivanju ima više prednosti:

• Trag: svaka potpisivanja je vremenski označena i povezana sa verifikovanjem identiteta, što olakšava demonstraciju zakonitosti obrade
• Smanjenje greške rizika: manja ručna manipulacija osetljivim dokumentima
• Sigurna arhivacija: elektronski potpisani dokumenti mogu biti čuvani u certificiranom digitalnom trezoru

Za detaljnije informacije o kriterijumima izbora rešenja prikladnog vašoj strukturi, konsultujte naš komparativni pregled rešenja elektronske potpisivanja koja detaljuje razlike između ponuda na tržištu u smislu HDS usklađenosti i eIDAS-a.

Udruge koje već koriste alat za upravljanje ljudskim resursima ili upravljanje dosijejima korisnika, često imaju interes da provere da li njihovo trenutno rešenje nativno integriše kompatibilnu elektronsku potpisivanje. Naš vodič elektronske potpisivanja u preduzeću detaljno obrađuje ove kriterijume integracije.

Konačno, ako ste već primenili rešenje potpisivanja ali želite da migrujete ka prestavljaču certificiranom HDS-om, naša ponuda migracije vam omogućava da prenesete podatke i radne tokove bez prekida usluge.

Pravni okvir primenjiv na čuvanje zdravstvenih podataka za udruge i NVO

Osnovni pravni tekstovi HDS okvira

Francouzko zakonodavstvo o čuvanju zdravstvenih podataka počiva na nizu tekstova čija je dominacija neizbežna za svaku udrugu koja manipuliše medicinskim ili zdravstvenosacijalnim podacima.

Zakon br. 2016-41 od 26. januara 2016. (zakon o modernizaciji zdravstvenog sistema): on je uklonjio u Kodeks javnog zdravlja (članak L. 1111-8) obavezu da se koristi certificiran HDS heberger za svaku fizičku ili pravnu osobu koja čuva zdravstvene podatke sa ličnom dimenzijom za račun osoba na koje se podaci odnose ili entiteta koji ih obrađuje.

Dekret br. 2018-137 od 26. februara 2018.: on precizira aktivnosti koje podležu sertifikaciji, modus za dodelјivanje i povlačenje sertifikacije, kao i zahteve primenjive na sertifikacione organizme (obavezna COFRAC akreditacija).

Naredba od 8. avgusta 2017.: ona postavlja bezbednosni referentni standard primenjiv na zdravstvene informacione sisteme, koji služi kao tehnička osnova HDS evaluacije.

Povezanost sa GDPR-om

Uredba (EU) 2016/679 (GDPR) predstavlja opšti okvir zaštite ličnih podataka. Njene odredbe se primenjuju kumulativno na HDS zahteve:

• Članak 9: zdravstveni podaci su posebne kategorije podataka čija obrada je zabranjenja u principu, osim navedenih izuzetaka (eksplicitan pristanak, neophodnost za zdravstvenu zaštitu, javni interes, itd.)
• Članak 28: svaki recours na poddodavača koji čuva zdravstvene podatke mora biti objekat detaljnog pisanog ugovora (DPA)
• Članak 32: udruženja su obavezana da prime odgovarajuće tehnijske i organizacijske mere (enkripcija, pseudo-anonimizacija, kontrola pristupa)
• Članak 33: svako kršenje podataka zdravstvene zaštite mora biti prijavljeno CNIL-u u roku od 72 sata
• Članak 35: Analiza Uticaja na Zaštitu podataka (AIPD) je obavezna čim je obrada verovatno da će stvoriti visok rizik za prava osoba

Pravni rizici u slučaju neusklađenosti

Neupoštevanje HDS okvira izlažu udrugu na nekoliko nivoa sankcija:

• CNIL upravne sankcije: do 20 miliona evra ili 4% godišnjeg svetskog prometa (članak 83, §5 GDPR-a) za najteža kršenja. Za udruge, CNIL procenjuje iznos uzimajući u obzir dostupna sredstva, ali su već izrečene simbolične ali javne sankcije protiv malih struktura.
• Krivična odgovornost: članak 226-13 Krivičnog zakonika predviđa do godinu dana zatvora i 15,000 evra kazne za kršenje medicinske tajne.
• Civilna odgovornost: pogođeni korisnici mogu aktivirati odgovornost udruge na osnovu članova 1240 i sledećih Građanskog zakonika u slučaju dokazanog štete.
• Suspenzija akreditacije: udruge akreditovane od strane javnih vlasti (ARS, departmanski saveti) mogu biti lišene akreditacije u slučaju ozbiljnog nepoštovanja zdravstvene zaštite podataka.

Takođe je bitno napomenuti da direktiva NIS2 (direktiva UE 2022/2555, implementirana u Francusku zakonom br. 2024-449 od 21. maja 2024.) proširuje obaveze sajber-bezbednosti na šire spektrum entiteta, potencijalno uključujući neke velike udruge koje upravljaju kritičnom zdravstvenom infrastrukturom.

Scenariji upotrebe: HDS usklađenost u praksi za udruge i NVO

Scenario 1: Udruženje za pomoć na domu sa 500 dosijeja korisnika

Udruženje koje interveniše među starijim zavisnim osobama u nekoliko departmana upravlja sa oko 500 aktivnih dosijeja koje obuhvataju informacije o patologijama, trenutnim receptima i evaluacijama zavisnosti (skala GIR). Ovi podaci se čuvaju u softveru za upravljanje udrugom koji je hebergovan od strane neceritifikovanog HDS cloud prestavljača.

Nakon internog audita pokrenuta zahtevom za pristup korisnika, udruženja identifikuje ovu neusklađenost. Angažuje migraciju ka certificiranom HDS hebergeru za aktivnosti 4 i 5, zaključuje kompatibilan DPA sa svojim softverskim prestavljačem i primenjuje rešenje elektronske potpisivanja za digitalizaciju obrazaca saglasnosti i personalizovanih planova pomoći.

Posmatrani rezultati: smanjenje od 70% u vremenu obrade saglasnosti (sa prosečnih 12 dana u papirnskom formatu na manje od 4 dana), potpuna eliminacija rizika povezanih sa gubicima ili pogrešnim slanjem papirnate dokumente, i dobijanje jačeg cyber osiguravajuće pokrivenosti zahvaljujući dokumentovanoj usklađenosti.

Scenario 2: Međunarodna NVO koja koordinira terenskih medicinskih misija

NVO specijalizovana za hitnu medicinsku zaštitu prikuplja, u okviru njenih misija, zdravstvene podatke o populacijama korisnika u nekoliko zemalja, uključujući podatke prosleđene ka centralnom serveru u Francuskoj. IT tim se sastoji od dve osobe volontere.

Suočeni sa nemogućnošću održavanja interne certificirane HDS infrastrukture, NVO bira 100% SaaS arhitekturu sa certificiranim HDS hebergjerom koji pokriva aktivnosti 1 do 6. Primenjuje proces elektronske potpisivanja za medicinske protokole i obrasce saglasnosti prilagođene zonama slabe povezanosti (potpisivanja u offline-modu sinhronizovano).

Posmatrani rezultati: HDS i GDPR usklađenost dosegnuta za manje od 6 meseci bez dodatnog IT zapošljavanja, procenjena ušteda od 40% u odnosu na interno čuvanu infrastrukturu, i kapacitet da odgovori na javne pozive (AFD, Evropska unija) koji zahtevaju sertifikaciju usklađenosti podataka.

Scenario 3: Mrežu udruge koja upravlja komunalnim zdravstvenim centrima

Grupirajuće udruženja koja federiše nekoliko komunalnih zdravstvenih centara (oko 8000 aktivnih pacijenata) koristi deljeni softver za zdravstvene dosijeje između različitih lokacija. Koordinacija između lokacija obuhvata razmene zdravstvenih podataka preko nesigurne elektronske pošte, što je direktno u kršenju HDS referentnog standarda.

Udruženja angažuje renoviranje svog informacionog sistema sa pomoći certificiranog HDS prestavljača, primenjuje sigurnu zdravstvenu poruku (MSSanté), i digitalizuje sve svoje obrasce za upis i saglasnost preko kompatibilne platforme elektronske potpisivanja eIDAS-a. AIPD se sprovodi za svaku obradu visokog rizika.

Posmatrani rezultati: nula kršenja podataka prijavljenih CNIL-u tokom sledećih 18 meseci (naspram dva manja incidenta u prethodnom periodu), prosečno vreme upisa skraćeno za 35%, i poboljšanje stopa popunjanosti dosijeja pacijenata za 22% zahvaljujući eliminaciji nepotpunih papirnastih obrazaca.

Zaključak

Aktiviranje HDS usklađenosti za zdravstvene podatke u asocijativnom i NVO sektoru nije opcija rezervisana za velike bolničke strukture: to je legalna obaveza koja se nameće svaki entitet, bez obzira na veličinu ili pravni status, čim on čuva ili obrađuje zdravstvene podatke sa ličnom dimenzijom. Neznanje okvira ne oslobađa od odgovornosti.

Dobra vest: strukturirani pristup u četiri koraka — mapiranje, revizija prestavilaca, ugovorna ažuriranja, obuka — omogućava vam dostizanje čvrste usklađenosti čak i sa ograničenim sredstvima. Digitalizacija saglasnosti i osetljivih dokumenata kroz certificirano rešenje elektronske potpisivanja, predstavlja posebno efikasan mehanizam za smanjenje rizika dok istovremeno poboljšava operativnu efikasnost.

Certyneo nudi platformu za elektronsku potpisivanje kompatibilnu eIDAS-u, prilagođenu ograničenjima asocijativnog sektora i čuvanu na infrastrukturi certificiranoj HDS-om. Kontaktirajte naš tim za besplatan audit vaše dokumentarne situacije i saznajte kako bezbediti vaše zdravstvene tokove podataka od danas.