Κανονισμός για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας

Τον Απρίλιο του 2024, το Ευρωπαϊκό Κοινοβούλιο υιοθέτησε τον Κανονισμό για τον Ευρωπαϊκό Χώρο Δεδομένων για την Υγεία (European Health Data Space – EHDS).  Ο εν λόγω κανονισμός θέτει ένα ενοποιημένο νομοθετικό πλαίσιο για τη βελτίωση της πρόσβασης στα προσωπικά δεδομένα υγείας ασθενών στην Ευρώπη. Ακόμη, αποτελεί μία φιλόδοξη πρωτοβουλία της Ευρωπαϊκής Ένωσης, με στόχο τη βελτίωση της ποιότητας της υγειονομικής περίθαλψης και της ιατρικής έρευνας, μέσω της ασφαλούς ανταλλαγής δεδομένων υγείας.

Ο Ευρωπαϊκός Χώρος Δεδομένων Υγείας ως οικοσύστημα υγείας

Ο Ευρωπαϊκός Χώρος Δεδομένων Υγείας, ως μέρος της ευρύτερης στρατηγικής της Ε.Ε. αντιπροσωπεύει ένα οικοσύστημα υγείας. Ο κανονισμός περειέχει κανονισμούς, κοινές πρακτικές, πρότυπα κι επιτρέπει την κυκλοφορία ηλεκτρονικών πληροφοριών υγείας εντός της Ευρωπαϊκής Ένωσης (ΕΕ).

Ο Κανονισμός για τον Ευρωπαϊκό Χώρο Δεδομένων για την Υγεία στοχεύει:

  • Στην ενδυνάμωση των πολιτών, καθώς οι ασθενείς αποκτούν ηλεκτρονική πρόσβαση στα δεδομένα υγείας τους, όπου κι αν βρίσκονται εντός της Ε.Ε.
  • Στη βελτίωση της πρόσβασης και της ποιότητας της Υγειονομικής Περίθαλψης δημιουργώντας ένα ενιαίο σύστημα με ηλεκτρονικούς φακέλους υγείας και αξιοποίηση συστημάτων τεχνητής νοημοσύνης. Οι επαγγελματίες υγείας θα μπορούν να έχουν πρόσβαση στους ιατρικούς φακέλους ενός ασθενούς, ακόμη κι όταν ο ασθενής βρίσκεται σε διαφορετικό κράτος μέλος χρησιμοποιώντας την εφαρμογή MyHealth@EU.
  • Στην ενίσχυση της Ιατρικής Έρευνας, καθώς θα δημιουργηθεί ένα μεγάλο σύνολο δεδομένων, επιτρέποντας την πραγματοποίηση μελετών μεγάλης κλίμακας που μπορούν να οδηγήσουν σε καινοτόμες θεραπείες και βελτιωμένες πρακτικές υγειονομικής περίθαλψης.
Ποια δεδομένα αφορά:

Στο οικοσύστημα υγείας EHDS θα αναρτώνται δεδομένα που προέρχονται από συστήματα υγείας, όπως ηλεκτρονικοί φάκελοι υγείας, μητρώα ασθενών, ιατρικές γνωματεύσεις κ.α.

Ακόμη, για σκοπούς έρευνας και ανάπτυξης κατάλληλων πολιτικών στον τομέα της υγείας είναι δυνατό να συλλέγονται και ανωνυμοποιημένα ή ψευδονυμοποιημένα δεδομένα που προέρχονται από ιατρικές συσκευές, εφαρμογές ευεξίας, κλινικές δοκιμές, μητρώα δημόσιας υγείας (δευτερογενής χρήση).

Ωστόσο, δεν επιτρέπεται η δευτερογενής χρήση των δεδομένων για εμπορικούς σκοπούς, όπως είναι η διαφήμιση και το μάρκετινγκ. Τα δεδομένα υγείας που συλλέγονται απαγορεύεται να χρησιμοποιηθούν για τη λήψη αποφάσεων εις βάρος ενός ατόμου, όπως αποφάσεων σχετικά με τις προσφορές εργασίας και την αξιολόγηση αιτημάτων ασφάλισης και όρων δανεισμού.

Ο Κανονισμός για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας , επίσης, απαγορεύει να χρησιμοποιηθούν τα δεδομένα για την ανάπτυξη προϊόντων όπως παράνομα ναρκωτικά, αλκοολούχα ποτά, προϊόντα καπνού και νικοτίνης, όπλα ή προϊόντα και υπηρεσίες που αποτελούν απειλή για τη δημόσια υγεία.

Τα επόμενα βήματα:

Ο Κανονισμός για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας θα τεθεί σε εφαρμογή στα κράτη μέλη της Ε.Ε. σε δύο χρόνια. Ωστόσο, έχουν διατυπωθεί ανησυχίες για την εκτεταμένη ανταλλαγή ευαίσθητων προσωπικών δεδομένων, καθώς χωρίς την πρέπουσα προσοχή θα μπορούσαν να θέσουν σε κίνδυνο την ιδιωτικότητα των προσώπων.

Το βασικό ζήτημα που έχει τεθεί σχετίζεται με τη δυνατότητα ανάκλησης της συγκατάθεσης του ασθενούς για την επεξεργασία των δεδομένων τους από τρίτους. Παρά την αρχική νομοθετική πρόταση της Ευρωπαϊκής Επιτροπής, η δυνατότητα αυτή θα προσφέρεται στον ασθενή (επιλογή opt-out/opt-in), αλλά μπορεί να κάμπτεται για λόγους δημοσίου συμφέροντος.

 

Ο Ευρωπαϊκός Χώρος Δεδομένων Υγείας αποτελεί καινοτομία και υπόσχεται μία νέα πραγματικότητα στην παροχή υγειονομικής περίθαλψης αξιοποιώντας τις νέες τεχνολογίες. Σε κάθε περίπτωση, απαιτείται σημαντική επένδυση στην τεχνολογία και την υποδομή για να καταστεί δυνατή η διαλειτουργικότητα των συστημάτων υγείας σε όλη την Ευρώπη.

 

Πηγές:

European Health Data Space – European Commission (europa.eu)

The European Health Data Space (EHDS) (european-health-data-space.com)

EU Health Data Space: more efficient treatments and life-saving research | News | European Parliament (europa.eu)

What personal info may be shared by Europe’s new Health Data Space? | Euronews

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Δεδομένα υγείας και cookies: πρόστιμο 380.000 €

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στον ιστότοπο DOCTISSIMO πρόστιμο 380.000 ευρώ, καθώς η συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον GDPR ήταν ανεπαρκής. Το πρόστιμο αφορούσε τα δεδομένα υγείας και την χρήση των cookies. Ο DOCTISSIMO προέβη στη συλλογή και χρήση των δεδομένων υγείας των υποκειμένων και η συμμόρφωση με τους κανόνες για τα cookies ήταν ανεπαρκής.

Γενικές πληροφορίες

Ο ιστότοπος DOCTISSIMO δημιουργήθηκε αρχικά για την ενημέρωση των επισκεπτών στον τομέα της υγείας. Διαθέτει τεστ, κουίζ και φόρουμ συζήτησης που αφορούν την υγεία και την ευεξία για το ευρύ κοινό. Κατόπιν καταγγελίας της ένωσης PRIVACY INTERNATIONAL, η Γαλλική Αρχή διεξήγαγε 4 έρευνες για τον DOCTISSIMO.

Κατά τη διάρκεια των ερευνών, η Γαλλική Αρχή  εντόπισε αρκετές παραβιάσεις. Συγκεκριμένα, οι παραβιάσεις αφορούσαν τον χρόνο διατήρησης δεδομένων, τη συλλογή δεδομένων υγείας μέσω online tests, την ασφάλεια των δεδομένων και τον τρόπο με τον οποίο τα cookies συλλέγουν τα δεδομένα των χρηστών.

Η Γαλλική Αρχή επέβαλε 2 πρόστιμα στον ιστότοπο DOCTISSIMO:
  • Αρχικά, επέβαλε πρόστιμο 280.000 ευρώ για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Το πρόστιμο αυτό λήφθηκε σε συνεργασία με όλους τους ευρωπαϊκούς ομόλογους της Γαλλικής Αρχής, διότι η ιστοσελίδα δύναται να έχει επισκέπτες από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
  • Το δεύτερο πρόστιμο των 100.000 ευρώ επεβλήθη για τη μη συμμόρφωση με τη χρήση των cookies (άρθρο 82 της γαλλικής νομοθεσίας για την προστασία δεδομένων). Σε αυτήν την περίπτωση, η Γαλλική Αρχή έχει τη δικαιοδοσία να ενεργεί από μόνη της.
Κυρώσεις για παραβιάσεις

Παραβίαση της βασικής αρχής του περιορισμού της περιόδου αποθήκευσης· (Άρθρο 5.1(ε) GDPR)

Ο ιστότοπος διατηρούσε δεδομένα από τα tests που συμπλήρωναν οι χρήστες. Ο χρόνος διατήρησης των δεδομένων ανερχόταν στους 24 μήνες. Η Γαλλική Αρχή υποστήριξε ότι αυτές οι περίοδοι διατήρησης είναι υπερβολικές, διότι δεν συνάδουν με τις ανάγκες του ιστότοπου. Επιπλέον, υπήρξε διατήρηση δεδομένων των χρηστών των οποίων ο λογαριασμός ήταν ανενεργός για περισσότερο από τρία χρόνια, χωρίς καμία διαδικασία ανωνυμοποίησης.

Μη λήψη συναίνεσης των επισκεπτών για τη συλλογή των δεδομένων υγείας τους (άρθρο 9 GDPR)

Ο εν λόγω ιστότοπος δεν προέβλεπε κανέναν ειδικό μηχανισμό προειδοποίησης ή συναίνεσης στα online tests, για να διασφαλίσει τη συναίνεση των επισκεπτών για την επεξεργασία των δεδομένων υγείας τους. Σύμφωνα με την εταιρεία, η συλλογή δεδομένων υγείας αφορούσε περίπου το 5% των τεστ.

Ανεπαρκές νομικό πλαίσιο για τις ενέργειες των από κοινού υπευθύνων επεξεργασίας (άρθρο 26 GDPR)

Η εταιρεία DOCTISSIMO υλοποιεί επεξεργασία προσωπικών δεδομένων με άλλες εταιρείες, ιδίως για διαφημιστικούς σκοπούς στον ιστότοπο. Αυτές οι σχέσεις κοινής ευθύνης δεν πλαισιώθηκαν από κανένα επίσημο έγγραφο, όπως μια σύμβαση. Ειδικότερα, ένα τέτοιο έγγραφο πρέπει να αναφέρει την κατανομή των υποχρεώσεων μεταξύ των από κοινού υπευθύνων επεξεργασίας.

Μη διασφάλιση της ασφάλειας των προσωπικών δεδομένων (άρθρο 32 GDPR)

Μέχρι τον Οκτώβριο του 2019, η εταιρεία χρησιμοποιούσε ένα πρωτόκολλο επικοινωνίας «http», το οποίο δεν είναι ασφαλές. Στη συνέχεια, εξέθετε τα δεδομένα σε κίνδυνο επιθέσεων ή παραβίασης δεδομένων. Επιπλέον, διατηρούσε τους κωδικούς πρόσβασης των χρηστών σε ανεπαρκώς ασφαλή μορφή.

Μη συμμόρφωση με τις υποχρεώσεις της χρήσης των cookies (άρθρο 82 της γαλλικής νομοθεσίας περί προστασίας δεδομένων)

Η Γαλλική Αρχή παρατήρησε ότι  ο τερματικός των χρηστών υφίστατο παρακολούθηση από διαφημιστικό cookie από τη στιγμή που εισήλθαν στον ιστότοπο, χωρίς τη συγκατάθεσή τους. Περαιτέρω, διαπιστώθηκε παρακολούθηση από 2 διαφημιστικά cookies, μετά την επιλογή του κουμπιού «Απόρριψη όλων».

Συμπέρασμα:

Ο εκάστοτε Υπεύθυνος Επεξεργασίας που συλλέγει με οποιονδήποτε τρόπο προσωπικά δεδομένα, θα πρέπει να προβλέπει τη συμμόρφωση και με το υφιστάμενο νομοθετικό πλαίσιο περί προστασίας τους. Εν προκειμένω, ο Υπεύθυνος Επεξεργασίας επέλεξε την συλλογή ειδικών κατηγοριών προσωπικών δεδομένων (δεδομένα υγείας) των επισκεπτών του ιστοτόπου του με διάφορα μέσα, χωρίς όμως να πληροί καμία από τις προϋποθέσεις της εγχώριας και της κοινοτικής νομοθεσίας.

Αυτό είχε σαν αποτέλεσμα την παράνομη επεξεργασία των προσωπικών δεδομένων των Υποκειμένων και την κατ’ εξακολούθηση διακινδύνευση των θεμελιωδών δικαιωμάτων των προσώπων που επισκέπτονταν τον ιστότοπο του. Από τα πρόστιμα της Γαλλικής Αρχής προκύπτει επομένως ότι ένας ιστότοπος που παρέχει ψηφιακό περιεχόμενο σχετικό με την υγεία, θα πρέπει να  είναι συμμορφομένος πλήρως με τον GDPR, ώστε να αποτρέψει τις ενδεχόμενες παραβιάσεις των δεδομένων που συλλέγει και να προστατεύσει τα δικαιώματα των χρηστών που τον επισκέπτονται.

Πηγή:

CNIL: Health data and use of cookies: DOCTISSIMO fined €380,000/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Top