GDPR – az Európai Unió 2016/679 adatvédelmi rendelete

Már több mint egy éve, hogy életbe lépett az Európai Unió 2016/679 adatvédelmi rendelete, vagyis a GDPR, de még mindig elég nagy a káosz a gyakorlati alkalmazásában.

Személyes adatok

Nézzük először is milyen adatokra vonatkozik a rendelet. A GDPR a személyes adatok kezelését és feldolgozását szabályozza. Személyes adatnak azok az információk számítanak, amelyek egy adott emberre vonatkoznak. Ez az adatokon végzett valamennyi műveletet jelenti, úgy mint az adatok megismerése, rögzítése, továbbítása, stb. De nem tartozik a rendelet hatálya alá ezeknek az adatoknak a személyes, úgymond otthon történő kezelése.

Egészségügyi adatok

A GDPR megkülönbözteti a személyes adatokon belül azok különleges kategóriáit. Ezek közé tartoznak az egészségügyi adatok is. Az egészségügyi adatok vonatkozásában a rendelet úgy fogalmaz, hogy ezek kezelése akkor jogszerű, ha az az érintett jogos érdeke és létfontosságú érdeke is (az életben maradásához fűződő érdek), valamint ha az a közösség érdekében (járványok megelőzése, terjedésük megfékezése) történik.
A rendelet részletesen szabályozza az adatkezeléssel érintett személy jogait. Ezek közé tartozik az érintett adatkezelés korlátozásához való joga.
„Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést…”
Ennek értelmében az állampolgároknak lehetőségük van szabályozni, hogy az egészségügyben keletkezett és rájuk vonatkozó információkhoz kik és milyen mértékben férjenek hozzá.
Az önrendelkezés lehetőségéről egy korábbi bejegyzésben már részletesen írtunk.
Lehetnek azonban olyan helyzetek, amikor az érintett a korábban megadott korlátozásokat fel kívánja oldani. Természetesen erre is van lehetőség, csak megfelelően kell dokumentálni az ilyen eseteket. A sürgősségi adatlekérések használatához a beteg nyilatkozata vagy a jogi képviselőjének a nyilatkozata szükséges.

Az adatkezelés szoftveres támogatása a NetDoktor orvosi programban

Szoftverfejlesztőként mi arra tudunk vállalkozni, hogy az orvosi rendelőkben kezelt adatok (a praxis pacientúrájának adatai) bizalmasságát és védelmét a rendszerünkbe épített technikai megoldásokon keresztül biztosítjuk.

Mivel az orvosi praxis dolgozói több ezer magánszemély adatait és minősített adatnak számító egészségügyi adatait kezelik (rögzítik, gyűjtik, feldolgozzák, továbbítják, stb.) így ők a GDPR fogalmak szerint  adatkezelők. Az adatkezelő kötelessége, hogy a személyhez fűződő adatok kezelése során biztosítsa a titkosságot, megvédve az információt, hogy csak az férhessen hozzá, aki erre jogosult, valamint a sértetlenséget, megvédve az információnak és a feldolgozás módszerének a pontosságát és teljességét.
Ha ezek bármelyike is sérül, vagyis adatvédelmi incidens történik akkor azt az adatkezelőnek jelentenie kell az adatkezelés kapcsán ellenőrzési jogkörrel felruházott hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé, valamint értesítenie kell az érintett személyeket is.

Amennyiben Ön a NetDoktor (on-line) rendszert használja, akkor a kliens (felhasználói) gépeken semmilyen adat, és program nem tárolódik, nincs jelen. Csak a böngészőn, mint egy kapun keresztül éri el a távoli szerveren lévő beteg adatokat. Ebben az esetben az Ön praxisának beteg adatai a DeriCom távoli szerverein vannak, amelyek adatvédelmét és adatbiztonságát a Dericom szavatolja a következő intézkedésekkel:

  • Banki biztonságot nyújtó szerverterem használata. (Magyarország legbiztonságosabb szerverterme). A szerver-hosting cég, amely a DeriCom által bérelt szerverek elhelyezését biztosítja garantálja, hogy az adatbiztonság és az adatvédelem jogszabályi és technológiai előírásainak maximális megfelel, és biztosítja a felhasználó érdekeit és a GDPR megfelelőséget.
  • Az adatok tárolása, kezelése un. adatbázis-szerver segítségével történik. Az általunk használt PostgreSQL adatbázis szerver napjaink egyik legmegbízhatóbb adatbázis szervere, számos magyar és nemzetközi bank és pénzügyi szervezet (pl. a Magyar Államkincstár is) alkalmazza ezt a szoftvert.
  • Pszeudo-minimalizálási adatvédelmet építettünk ki, ami azt jelenti, hogy az adatbázison belül tárolt személyes adatok, ami alapján az egyén beazonosítható (név, születési név, TAJ szám, születési dátum, születési hely, anyja neve, stb.) az adatbázisban titkosított formában tároljuk. Maga az adatbázis is jelszóval védett, és az adatbázison belül a páciensekhez tartozó személyes és egészségügyi adatok egymástól teljesen elszeparált módon vannak tárolva. Az adatok közötti kapcsolatokat több szintű ID rendszer valósítja meg.
  • A felhasználó fiókhoz tartozó jelszavak az adatbázisban vissza nem fejthető kódolt formában vannak eltárolva. Azaz az adott jelszót csak a jelszó létrehozója ismerheti, és csak ő férhet hozzá a jelszóval védett adatokhoz. Amennyiben a felhasználó azt igényli, lehetőség van a rendszerbelépés során a kétszintű authentikációra. Ez azt jelenti, hogy a felhasználó a belépés során megadja felhasználónevét és jelszavát, ezek után a rendszer egy regisztrált mobil számra SMS-t küld, és a belépés csak akkor engedélyezett, ha bizonyos időn belül az SMS-ben küldött kód begépelésre kerül.
  • Az adatokat tároló szerverek és a szerver-kliens közötti kommunikációs csatorna is több szinten védve van az illetéktelen behatolás ellen. A szerver tanúsítvánnyal védett HTTPS (security protocol) csatornán keresztül kommunikál a kliens gépekkel. Továbbá a szervereket erős tűzfal és egy, a legújabb biztonsági technológiát alkalmazó CloudFlare proxy alapú behatolás-védelemi rendszer is védi az illetéktelen behatolók ellen.
  • Automatikus, napi, titkosított mentéseket építettünk a rendszerünkbe, melyek 3 különböző adattárolóra mentik az adatokat, melyek egymástólé elszeparáltan 2 hosting szolgáltatónál vannak elhelyezve.

Helyi gépen vagy intranetes (belső) hálózaton futó háziorvosi szoftverek használat esetén a hardver és szoftver eszközök, valamint intranetes belső hálózat megfelelőségét, biztonságát a felhasználó köteles biztosítani. Ehhez minden ésszerű intézkedést meg kell tennie, hogy a kártékony szoftverek, a vírusok, a kémprogramok, vagy egyébként illetéktelen harmadik felek a rögzített adatokhoz hozzáférjenek, azok egységét, elemeit elérjék, módosítsák, nyilvánosságra hozzák vagy egyébként bármely módon és céllal felhasználják!

Ha szeretné a GDPR megfelelés felelősségét velünk megosztani, akkor ajánljuk a NetDoktor használatát.