深潜

美国卫生久发国际尚未为欧盟GDPR隐私法规做好准备

数据保护法规是具有互操作性承诺的隐私优先框架。

盖蒂图片社

尽管大多数美国医疗保健提供者定期会见到很少的欧洲患者,但由于未能遵守欧盟《通用数据保护条例》中的新隐私规则而遭到严厉的罚款,该行业急于准备。

根据几个说法,各方面的久发国际还没有为5月25日GDPR的到来做好准备。欧盟于2016年4月通过的规定要求所有久发国际对从5.115亿公民中收集的任何数据均获得“明确同意”。欧洲集团。

如果只是为了避免因不这样做而付出高昂的代价,合规性应该放在美国医疗保健久发国际的脑海中。对于最高级别的违规行为,久发国际可能面临高达2400万美元(2000万欧元)的罚款或占其全球年收入的4%(以较高者为准)。 “违规的处罚相当可观,” Bernadette 布罗科洛芝加哥McDermott Will 和 Emery的医疗保健律师告诉《医疗保健潜水》。

治疗,定位或收集来自欧盟28国中任何一个患者的数据的医疗机构 国家属于该法规之下。除IP地址,信用卡数据和照片等任何可识别信息外,有关健康的数据,遗传数据和生物识别数据均受到保护并需要患者的明确同意。 

除重大网络安全漏洞外,GDPR不可能直接影响大多数国内医疗保健实体。但是,该法规被广泛认为是隐私保护的下一代模型。 Liaison Technologies全球合规副总裁Lance Pilkington对Healthcare Dive表示,GDPR“赋予了终端用户前所未有的权力。”它使消费者有权准确地知道其久发国际的哪些数据以及对其使用方式的最终控制权。

鉴于合规性的不断发展和数据隐私的不稳定状态,GDPR的到来值得关注,甚至可能值得复制。 

有了分级惩罚制度, GDPR 到目前为止,吸引注意力一直没有问题。 

美国医疗保健久发国际需要了解哪些合规性  

与美国法律不同,后者对未能遵守的久发国际进行处罚 HIPAA 每年因违反相同规定而需支付150万美元,欧盟将收取较高的金额。 布罗科洛说,除了欠欧盟当局的罚款外,久发国际还需要赔偿数据被泄露的受害人。根据GDPR,这些主题也获得了非营利组织的代表。 

布罗科洛说:“如果要花一毛钱,那就要花一美元。” “你不仅仅参与其中。”

对于大多数美国医疗保健久发国际而言, GDPR 将适用于三种不同的情况: 

  • 如果久发国际在欧盟设有机构。 
  • 久发国际是否向欧盟人民提供商品或服务。 
  • 久发国际是否正在监视欧盟人员的行为或健康状况。 

“现实情况是,如果美国的这些组织中有一位来自欧洲的患者是因为他们正在游览美国的一个站点,那么现在他们必须遵守,”联络部副总裁Gary Palgon销售,告诉Healthcare Dive。 “如果有在美国工作的欧盟公民,他们将遵守规定。如果您有来自欧盟的人来美国接受程序,则必须将其放在该复选框中。” 

帕尔贡说,即使那些病人只占了入院人数的一小部分,罚款也太大了,不能遵守。皮尔金顿(Pilkington)表示,久发国际应该制定路线图,向审计师证明他们正在认真对待GDPR。 

“审计师会考虑的是,您是否制定了计划?它是如何实施的?”皮尔金顿说。 “在准备如何使其符合GDPR要求的过程中,您应该采取不同的步骤。”   

久发国际将需要任命一名数据保护官(DPO)来监督合规性。根据GDPR,该人必须具有``数据保护法律和惯例的专业知识''。

随着5月25日的最后期限迫在眉睫,美国久发国际已经落后了。 

根据一个 最近 Netsparker survey 在302个行业的首席执行官中,目前有63%的受访者拥有员工DPO。其余的人希望在5月25日之前雇用一位。 

在接受Netsparker调查的医疗保健高管中,有7%的人表示,他们仍然“至少了解”如何 GDPR 将适用于他们的组织,有14%的人表示他们的久发国际仅完成了四分之一的合规性要求。 

美国医疗保健久发国际并不孤单

根据去年10月的报告,医疗保健是最不可能为GDPR做好准备的行业 信息安全久发国际Clearswift的调查。当时,美国,英国,德国和澳大利亚的久发国际中只有17%声称拥有“流程到位”以满足法规要求。 

他们并不孤单。欧洲监管机构也不是一团糟。回应的24个机构中的17个 路透社最近的调查 声称他们还没有“履行其GDPR职责所需的资金,或最初缺乏权力”。

大多数受访者告诉路透社,他们将采取反动的方式进行监管并``基于绩效''进行调查-进一步强调久发国际向监管机构展示其功课的重要性。  

尽管如此,一些大型系统仍表示他们还没睡着。

匹兹堡大学医学中心国际IT副总裁Deb Salava告诉Healthcare Dive她的久发国际在过去18个月中一直在为GDPR做准备。她在意大利和爱尔兰设有医疗机构,在欧洲,特别是在意大利,卫生系统已经非常熟悉隐私法,她说这是“书中最严格的隐私法”。 

萨拉瓦说,UPMC一直都有获得患者同意的程序。但是GDPR使这些同意更为具体。她说:“我们所做的重要事情之一就是确保高管知道并支持这一事实,即这不是IT计划。这是组织计划,因此我们采取了这种方式。” “它涉及我们所有部门。这确实是一项倡议,将要求我们欧盟组织内的每个人都意识到这一点。”

除了任命DPO并实施新的隐私政策和程序外,UPMC还为其整个欧盟员工制定了计划,以对员工进行新的数据处理实践方面的培训。她说,但是合规流程将是一项持续的工作。萨拉瓦说:``它不会在5月25日停止。 “改善我们的合规性并保持合规性将​​是我们将继续摆在我们面前并继续努力的事情。” 

符合GDPR要求的美国医疗保健久发国际将比他们已经为HIPAA制定的政策和程序稍占先机。但是,GDPR比其美国同行更为严格,并且在获得同意的情况下,往往需要更多的特异性。 

虽然HIPAA规定的隐私和安全政策与程序是该协议的良好基准。 GDPR 问责性要求,有一些主要差异需要理解。 

HIPAA与GDPR 

GDPR和HIPAA之间的显着区别是前者授予的擦除权。根据GDPR,组织必须满足所有患者删除个人数据的要求。医疗保健久发国际将需要拥有能够在消费者撤销其同意后完全擦除个人数据的技术,并且能够证明他们已经完全擦除了这些数据。 

尽管有一些例外情况,但擦除权可能被证明是美国医疗保健久发国际最头疼的问题,美国医疗保健久发国际将不得不采用完全不同的方法来处理和存储欧盟患者的数据。 

从GDPR和HIPAA如何处理响应能力开始,数据泄露也对美国医疗保健久发国际的GDPR合规性构成了巨大威胁。从发现之日起60天内,HIPAA允许医疗保健提供者将数据泄露通知患者。根据GDPR,组织将只有72个小时将新闻传递给欧盟患者。

A Ponemon Institute最近的调查 发现网络安全仍然是医疗保健组织面临的问题,在过去一年中,有62%的高管报告了网络攻击,而超过一半的高管丢失了患者数据。截至9月, 89%的医疗保健组织 在过去两年中经历了数据泄露,其中45%经历了超过五个泄露。

超过20项数据泄露事件 三月份报道 仅此一项,就有多达120,000个人的健康信息处于危险之中。任命DPO将使医疗保健久发国际有机会采取积极主动的隐私保护方法, 最近的黑皮书市场研究调查 发现大约80%的组织缺乏高管级别的领导人来管理整个企业的网络安全,只有11%的组织表示他们计划在2018年任命一名网络安全主管。

GDPR还授予消费者随时访问和移植其数据的权利。根据GDPR,欧盟消费者将知道他们收集了哪些数据,如何处理和处理这些数据,并能够``无障碍地''将数据传输到另一个实体。

虽然医院在互操作性方面取得了一些进展,但大部分努力 专注于数据传输而不是可用性。 d尽管有GDPR启发的监管框架可以帮助美国医疗保健的潜力 克服互操作性障碍,行业专业人士可能并不愿意采用更多法规。

GDPR的广阔视野

GDPR最终旨在通过鼓励久发国际采用隐私优先的方法,创建结构和可访问性来改善其数据管理和处理标准,从而使消费者能够完全控制其数据。但是即使在一个行业中 日益增长的消费主义,有关大数据变革潜力的猜测已经达到“淘金热”状态 GDPR 不太可能在短期内对美国政策产生重大影响。

一些专家担心,更多法规会扼杀创新。 Drinker Biddle的律师斯坦利·克罗斯利(Stanley Crosley)在 Health Datapalooza面板 他将不赞成美国将GDPR用作HIPAA的扩展。 “在这一点上,在GDPR方案中思考和处理数据之间没有区别。您无法在得到同意的情况下建立规模化数据库。所需通知的特殊性是行政负担,这与您之前所见过的不同,”克罗斯利说。 “作为一个全面的计划,唯一一个比过度监管更糟糕的事情是久发国际的模棱两可,而且在美国没有涵盖所有50个州的任何固定规章制度都是有问题的。”

克罗斯利认为,只有一个州而不是所有州都采用GDPR启发性的规定,这会给私营久发国际带来跨辖区的麻烦。布罗科洛同意了。她说:“美国采用GDPR的机会微乎其微。” “他们已经以HIPAA以及其他联邦和州法律的形式制定了详尽的监管计划。  我看不到他们会取代那个计划。” 

其他人则认为HIPAA和其他美国法规可以从GDPR中受益。 Ciitizen首席监管官Deven McGraw一家旨在帮助患者更好地访问其医疗保健信息的初创久发国际,对Health Datapalooza表示乐观,希望获得比美国医疗保健更好的监管环境。 她说:“即使在这个监管泡沫中,我们也同时监管过度和监管不足。我认为我们可以做得更好。” “C从表面上看,尽管它将规范我们更多的人,但我认为这是一件好事。” 

萨拉瓦说,GDPR使UPMC重新评估了其所有运营实践。她指出最近在Equifax和Panera发生的数据泄露事件是美国为什么需要改进隐私法规的示例。 

萨拉瓦说:“我认为美国可以从GDPR中学习一些东西。尽管如此,HIPAA仍然是一个更大的问题,不仅影响医疗保健,而且影响公民数据。” “我急切希望看到美国开始比过去更加重视这一点。欧洲正在领导这一努力。”

跟随 推特

提起下: 卫生IT 政策& Regulation