A terceirização de serviços no setor de saúde pode resultar em vários problemas relacionados ao GDPR:
1. Privacidade e segurança de dados:
Os dados de saúde são considerados dados particularmente sensíveis de acordo com o Art. 9 do GDPR e estão sujeitos a um requisito de proteção aprimorado. Ao terceirizar para provedores de serviços externos, existe o risco de que eles não cumpram os mesmos altos padrões de segurança que as próprias instituições de saúde[2].
2. Legalidade do processamento de dados:
Deve ser garantido que o processamento de dados de saúde pelo provedor de serviços tenha uma base legal e atenda aos requisitos do GDPR[4].
3. Contratos de processamento de dados:
Contratos detalhados de processamento de dados de acordo com o Art. 28 do GDPR devem ser celebrados com provedores de serviços externos, que regulam todos os requisitos de proteção de dados[4].
4. Obrigações de informação e direitos dos titulares dos dados:
Deve ser esclarecido como as obrigações de informação para com os pacientes serão cumpridas e como seus direitos (por exemplo, acesso, exclusão) podem ser garantidos mesmo em processos terceirizados[2].
5. Transferência de dados para países terceiros:
Ao terceirizar para países fora da UE, requisitos adicionais devem ser atendidos para garantir um nível adequado de proteção de dados[1].
6. Avaliação de impacto sobre a proteção de dados:
Uma avaliação de impacto sobre a proteção de dados deve ser realizada para processamentos de alto risco, o que provavelmente será o caso de projetos de terceirização[4].
7. Medidas técnicas e organizacionais:
Deve ser garantido que o provedor de serviços implementou medidas técnicas e organizacionais adequadas para proteger os dados[1].
8. Obrigações de notificação em caso de violação de dados:
Deve ser claramente regulamentado como as violações de dados são detectadas, relatadas e tratadas, mesmo que ocorram com o provedor de serviços externo[4].
9. Responsabilidades complexas:
Com vários atores envolvidos, podem surgir responsabilidades pouco claras ou compartilhadas, o que dificulta o cumprimento do GDPR[3].
10. Sigilo médico:
Além dos requisitos de proteção de dados, o sigilo médico também deve ser observado, o que traz desafios adicionais[4].
Para abordar esses problemas, um planejamento e implementação cuidadosos de projetos de terceirização no setor de saúde, levando em consideração todos os aspectos de proteção de dados, são essenciais.
Fontes:
[1] Visão geral dos requisitos do GDPR da UE para TI … https://kruschecompany.com/de/eu-dsgvo-it-outsourcing/
[2] Terceirização e manutenção remota: Requisitos legais de proteção de dados https://www.aerzteblatt.de/archiv/169273/Outsourcing-und-Fernwartung-Datenschutzrechtliche-Anforderungen
[3] A operação de TI como fonte de violações de proteção de dados – Healthcare Digital https://www.healthcare-digital.de/der-it-betrieb-als-quelle-fuer-datenschutz-pannen-a-e7672fbfe0ab4e91b693dca3740db273/
[4] Terceirização em conformidade com a proteção de dados no setor de saúde https://www.srd-rechtsanwaelte.de/blog/outsourcing-dsgvo-gesundheitswesen
[5] 5 perguntas importantes que você deve fazer antes de terceirizar a rotulagem … https://de.shaip.com/blog/5-questions-to-ask-before-outsourcing-healthcare-data-labeling/
[6] [PDF] Proteção de dados – maldição ou bênção? – Krankenhaus-IT Journal https://www.krankenhaus-it.de/shop/downloads/kh_it_1_finalkl.pdf
[7] [PDF] PARECER JURÍDICO – Ministério Federal da Saúde https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Gesundheit/Berichte/RECHTSGUTACHTEN_Gesundheitsforschungsdatenschutzrecht_BMG.pdf
[8] Minimizar riscos de proteção de dados na terceirização https://www.datenschutz-praxis.de/datenschutzbeauftragte/datenschutzrisiken-beim-outsourcing-minimieren/
