欧盟出严苛数据保护政策 医院或受最大影响

2018年5月25日，欧盟《通用数据保护条例》（The General Data Protection Regulations, GDPR）将在欧洲国家正式实施。医疗服务及技术供应商们正全面革新其传统工作模式，确保其医疗服务保持更紧密的连接性，更以患者为本。

然而，此次GDPR的正式推行势必将使各行各业的发展面临更加复杂的局面。英国法律公司Mills & Reeve LLP首席助理克莱尔·威廉姆斯（Claire Williams）表示：“GDPR将影响欧盟范围内所有行业机构的运作方式，但是其中受影响最大的还是医疗行业。主要问题包括：个人健康状况及治疗记录等信息将受到更加严格的管控；GDPR将保障个人信息使用情况的知情权；由于存在高度敏感信息，保留患者信息将变得更加困难。医疗机构将在患者信息收集、储存及使用上面临更多具体问题。”

最近，全球网络安全攻击使得许多医疗机构遭受严重打击。而GDPR将在诸多方面为医疗机构网络领域设置附加条件，从一开始的内置技术及机构内部数据保护，到维护适度安全级别及数据整理，到监视外包加工服务等等。这些要求将极大提升医疗机构在维持有效的网络安全政策方面的要求。

克莱尔说：“GDPR改革框架下的核心理念就是提升透明度。它要求各机构向个人公开其信息使用的详细情况，要求医疗类设备及应用程序开发商完全公开其使用数据的方式及用途。类似‘收集到的个人信息将作为研究数据使用’的声明将不再可行。更甚的是，针对儿童及弱势群体的信息，各机构将需要通过更合理的方式使该类人群更容易获取自身信息的使用情况。”

PA Consulting Group医疗专家安德鲁·恩肖（Andrew Earnshaw）进一步强调了医疗行业更大程度信息共享方面的复杂性。他指出：“GDPR增大了共享医疗记录信息共享复杂性，主要表现在信息共享同意及退出理念及机制。”

恩肖表示：“所有机构都将重视GDPR的各项政策，英国国家医疗服务体系（NHS）也不例外。NHS历来遵守在GDPR推行前的各项信息治理条例及政策，这些原有的政策有些甚至比GDPR更严苛。”

在网络安全方面有20多年经验的飞塔公司（Fortinet）公共部门负责人格雷姆·斯图尔特（Graeme Stewart），分析了医疗行业将因数据保护政策的实施而带来的挑战。他说：“NHS面临的数据保护挑战不仅来自纸质或电子形式的信息，更多的是新技术不断更迭带来的挑战。NHS信息技术部门需要花更多精力，为支持重要临床应用的整体设施提供安全保障，保护所有患者数据安全。”

斯图尔特表示：“医疗记录信息的价值在黑市交易市场几乎是信用卡账户信息的10倍，全球几乎34.4%的违法信息交易都发生在医疗领域。患者数字信息记录，医疗设备及可穿戴设备，都拓展了黑客攻击面，医疗行业的多样性使得各类设备都可连接至互联网，成为易遭受攻击的目标。许多过时的应用程序及系统甚至没有把信息安全放在首位。NHS财政缩减计划或将使其在达到GDPR条例规范方面更加步履维艰。“

曾与NHS及众多医疗机构合作过的Ivanti EMEA首席技术官西蒙·汤森德（Simon Townsend）回应了斯图尔特的说法，他表示：“NHS至今还在使用原有的系统，他们完全没做好充足准备以应对网络攻击，也没有做好深度遵守GDPR政策的举措。”

汤森德还说：“GDPR要求各机构提交数据泄露报告以展示其应对数据泄露方面的举措，各机构需要与客户或患者进行有效沟通，寻找高效的补救计划，修复外泄数据并将其锁定，同时还需向有关欧盟国家监管部门提交深度调研报告。”

Health and Care at Civica主任詹姆斯·凯尔米斯特（James Kilmister）表示，虽然各机构已经了解了GDPR的大部分条款及原则，但医疗行业将在保密信息存储上面临非同寻常的挑战。

他说：“医疗服务供应商在规定期限内以查询为目的而保留患者信息记录的做法，是合法需求。但我们需要追踪确保记录不被过早地处理掉，或者数据控制者在合理处理数据时不会遭到拒绝。这一情况在英国苏格兰、英格兰及威尔士等不同地区不同法律环境下变得更加复杂。”

凯尔米斯特表示：“使情况变得更复杂的是：在医疗领域，申请获取信息操作的可能通常不是数据控制者，因为医疗代理人是司空见惯的，儿童也经常在家长或者合法监护人代理下申请。各机构需要建立合理流程确保个人可识别信息只有合法授权人才能浏览。此外，一些医疗领域的数据存储在当地的数据库里，有可能是纸质文档记录的信息。所以各机构需要建立并维护精准的个人可识别信息数据库，确保个人可在登录信息库或者处理个人数据时看到所有的数据记录。医疗供应商需要建立严格的战略机制，确保其操作遵守相关规定。”

GDPR的变革同时也将为制药产业带来诸多重要影响。

凯尔米斯特表示：“新的大数据管理条例将对制药行业高效发展造成威胁。制药公司在开展有效临床试验时将受到多种限制，这些限制不仅来自GDPR的硬性要求，而且还来自全球范围内对数据隐私保护意识加强的因素。”

Blockchain Healthcare公司数据保护官员巴拉·穆斯塔法（Bara Mustafa）进一步指出了GDPR将带来的潜在影响。他表示：“GDPR将会对医疗机构带来巨大影响，尤其对于那些设有500余项不同患者数据系统的医院。除了保持这么庞大的不同系统操作带来的挑战外，任何与健康相关的数据都将受到更加高标准的保护，尤其是涉及到需要患者同意方面的信息。

GDPR影响最严重的三个方面：

1.  使用目的及同意机制

各机构需确保收集到的数据仅做单一、具体的合法目的使用，对数据的再处理也仅限于该目的用途。大多数情况下，机构需要明确得到个人同意方可收集、存储及加工数据。

2.  信息控制者登录请求

个人将有权浏览其个人信息收集情况，这将对医疗服务机构带来潜在影响，特别是当患者可申请浏览其在该机构数据储存情况时。患者可通过各种方式向机构任何人提交申请，而机构不可通过网上填写表格等方式间接引导患者的申请操作。机构必须在规定时间内对每项申请进行回复，个人申请全部免费。

3.  数据泄露通知

GDPR要求各机构在规定的时间内就任何高危数据泄露情况及时通知信息委员会办公室及数据对象。机构必须保证其持有的数据在合理的保护范围内，并建立政策、采取措施确保只有经过授权的相关各方才能访问数据。”

文章来源：Healthcare Global

原文标题：GDPR - Is healthcare ready?