A Facebook “Háziorvos” csoportban merült fel az alábbi kérdés, amire Streicher Zsolt a Medmax háziorvosi szoftvert fejlesztő cég (Profix Kft.) ügyvezetője válaszolt. Válaszában a jelenlegi ismereteik szerinti álláspontjukat fogalmazta meg.
Más cégek állásfoglalását is közzétesszük, amint lesz olyan.
Kérdés: A GDPR általi követelményeknek megfelel a MEDMAX? Mi a teendőnk ennek igazolására?
Streicher Zsolt válasza:
“Az elmúlt hónapokban több alkalommal vettem részt GDPR tájékoztatókon, képzéseken. Sok szakértő sok vélemény. Abban azonban mindegyik egyetértett, hogy a lokális adatnyilvántartó (adattároló) szoftverekkel szemben minimális új elvárásokat hoz a szabályozás.
A szabályozás az adatkezelőre és az adatfeldolgozóra vonatkozik , tehát a lényeg, hogy az adatkezelő és az adatfeldolgozó (jelen esetben a háziorvos, a cége) rendelkezzen a GDPR és a magyar jogszabályokkal harmonizáló adatbiztonsági szabályzattal és aszerint is működjön.
A biztonságos adattárolás alatt elsősorban a fizikai védelmet kell értenünk.
Az egyik neves GDPR szakértő a következő találó és gyakorlatias példát mondta el: Nem az a lényeg, hogy az adatokat milyen eszközzel tartják nyilván. Papíron vagy számítógépen, bármilyen programmal. A lényeg azon van, hogy a személyes adatkezelés jogalapja és elvei rendben legyenek, illetve, hogy megfelelő adatkezelési eljárások szerinti működés biztosítsák az elvárt adatbiztonságot.
Egy másik szakértő pedig arra hívta fel a figyelmet, hogy pl. az orvosi program hiába teszi lehetővé a pontosság elvét (a kezelt adatoknak pontosaknak és hiánytalanoknak kell lenni), ha az adatkezelő nem rögzíti a programba a személyes adatok változásait.
Azaz GDPR eljárásoknak kell lenni a szervezeten belül és azoknak megfelelően szükséges működni.
Az adatvédelmi incidensekkel szemben is az eljárásoknak megfelelő működéssel lehet védekezni és nem magával az orvosi programmal.
A GDPR általános szempontjai a szoftverekkel kapcsolatban:
- Az adatokhoz való hozzáférés biztonsága. Ez azt jelenti, hogy a programot csak felhasználónév és jelszó ismeretében lehet használatba venni. (Javasoljuk, hogy a jelszó legalább 8 hosszú karaktersorozat legyen, tartalmazzon számot, kis és nagy betűt is.)
- Az adatok törölhetősége. Ez az orvosi gyakorlatban csak egészen kivételes esetben alkalmazható, hiszen egyéb törvények szabályozzák az egészségügyi adattárolási kötelezettségeket. Magyarul egészségügyi adatokat nem törölhetünk véglegesen. Ennek ellenére a MedMaxban természetesen lesz egy funkció az adatok végleges törlésére.
- A programból kinyert adatok (adattovábbítás, adatfeldolgozás). Amikor a MedMax-ból exportálnak adatokat, akkor arról vezetni kell egy a szabályzatban részletezett jegyzőkönyvet.
- A MedMax a magyar törvényi előírásoknak 100%-ban megfelelve küld (jelent) személyes adatokat a különböző hatóságok felé. Erre vonatkozóan is igaz az, hogy nem az orvosi programnak kell megfelelni a GDPR-nak, hanem a törvényeknek kell összhangban lenni az új szabályokkal is.
Összefoglalom: A GDPR követelmények nem közvetlenül az adatnyilvántartó (adattároló) szoftverekre vonatkoznak, hanem az adatkezelőre és az adatfeldolgozóra. Ez minden esetben a háziorvos (a vállalkozása).
A MedMax lokálisan tárolja az adatokat. Ez még egy nagyon lényeges részlet. Azaz a keletkezett személyes adatok minden értelemben csak az adatkezelőnél vannak jelen. Vannak “felhő-alapú” orvosi rendszerek, ezekben az esetekben már nem ilyen egyértelmű a helyzet.
…
Ez az én álláspontom az eddigi ismereteim alapján.”
Forrás: medmax, Facebook-háziorvos csoport