治疗外国患者的美国健康提供者可能希望仔细看看他们的隐私政策,以确保他们遵守新的欧盟数据保护规则。

5月25日预示着欧盟一般数据保护条例的执行情况( GDP. ),一套规则旨在加强和协调对欧盟公民的记录保护,收紧其数据隐私如何管理。该法规保护各种形式的电子数据,包括基本身份信息,健康和遗传数据以及生物信息。

违反GDPR的处罚是陡峭的。是否违规是不合规或通过数据漏洞发生的,错误可能会花费高达其年度总收入的4%。

专家说,了解在欧盟医疗期间触发法规的何时以及如何触发。在各州的休假欧盟患者,不可能将医生审理到GDPR,说 Cynthia J. Larose. ,基于波士顿的隐私和数据安全律师。

“一般来说,GDPR不应影响美国医生,当患者在美国患者时,这些医生可能偶然地治疗欧盟患者,”Larose女士在接受采访时说......如果欧盟患者在美国医疗保健提供者呈现治疗,然后,GDPR不适用于她掌握美国医疗保健提供者的个人数据 - HIPAA适用。虽然[GDPR]确实具有域外达到,但您必须在欧盟申请GDPR申请。“

但是,可以证明可能证明的其他情况,例如在欧盟学习欧盟患者的美国研究人员,为欧盟患者提供远程医疗服务,以及继续监测欧盟患者后在美国何后返回其本国后的欧盟患者。

根据A的情况,大约200,000年每年向美国飞往美国的国际游客,其中约25%来自欧洲 2015年报告 由美国国际贸易委员会。

欧洲联盟的广告医疗服务是美国医生可能受到GDPR的另一种方式。例如,如果安全专家的说法,如果在欧盟的网站或其他材料上进行专业护理或其他物质,这可能属于GDPR伞下。

“如果您对欧盟的患者进行广告服务,然后他们决定获得此类服务,可能会引发GDPR,因为数据科目在欧盟,您正在向他们提供服务,”说 Elaine C. Zacharakis Loumbas ,基于芝加哥的健康和安全法律律师。 “它变得非常重要。”

可能受到GDPR的卫生保险公司应将注意力集中在三个方面:透明度,同意和数据最小化,说 约翰巴里基 是一家专门从事GDPR合规性的安全公司的Arrakis Consulting高级研究员。

喜欢 HIPAA ,GDPR要求健康提供者向患者披露关于可以使用其数据的患者的信息。 Barchie先生指出,在美国,患者同意表格通常包括营销和医学研究等患者数据的两三个潜在用途。他说,GDPR指定患者数据的每个潜在使用需要自己的单独同意书。

“让我们说你是一家专门从事糖尿病[和]的诊所,你被用来将数据发送到一般数据库,以[收集信息]关于糖尿病,”Barchie先生说。 “在GDPR下你不能这样做。您必须为此提供单独的同意书。因此,一份同意提供糖尿病服务,也许是市场的一份同意书,以及[患者]的市场,以及[关于]数据库的单独同意书。“

GDP.还需要最大限度地减少存储在多个系统中的个人数据副本。在美国,在几个地方有多个副本,在几个地方有多个副本并不罕见,从它的角度来看,Barchie先生说。然而,GDPR要求数据守护者限制他们维护最必要信息的份数。

“[在gdpr下],您应该只发送您需要的数据所需的数据,”他说。 “例如,[在案例]地址,用户名和患者ID。如果您只需要患者ID号,则不应发送患者姓名和地址。您最大限度地减少您发送要处理的数据量。“

与美国法规相比,违规通知也在GDPR下更加严格。在HIPAA下,涵盖实体必须通知美国健康部&人类服务和影响患者的数据泄露而无理延迟不迟于发现违约后60天。 gdpr. 需要 这种实体的实体将监督机构通知监督机构“如果没有过度延误,并且在意识到[违规事件后,不可行的地方,不迟于72小时。” (GDPR监督机构取决于欧盟国家受影响。)

如果确定个人数据泄露是“可能导致个人的权利和自由的风险很高,”必须遵守受影响的数据主题的个人数据违约,“没有过度拖延”,必须达成努力。规则。

如果您不确定您的实践是否可能属于GDPR,专家建议与法律顾问,GDPR专家或风险管理团队讨论讨论问题。

广告