روش‌شناسی و روند کار برای انجام ارزیابی تاثیر حفاظت از داده در سیستم‌های اطلاعات بهداشت و درمان

زمینه: مقررات عمومی حفاظت از داده‌ها (‏GDPR)‏قوانین حفاظت از داده‌های شخصی در سراسر اتحادیه اروپا را مدرن‌سازی و هماهنگ می‌کند، و بر همه بخش‌های اقتصادی از جمله صنعت مراقبت بهداشتی تاثیر می‌گذارد. مقررات جدید دو وظیفه خاص را معرفی می‌کنند: ثبت فعالیت‌های پردازش (‏ROPA)‏و برای هر پردازش با ریسک بالا، ارزیابی تاثیر حفاظت از داده (‏DPIA)‏. در حال حاضر، هیچ روش خاص DPIA برای محیط مراقبت بهداشتی وجود ندارد، اما تنها روش‌های گسترده‌ای وجود دارند که در همه بخش‌های اقتصادی قابل‌اجرا هستند.

Highlights•The General Regulation on Data Protection has entered all the data exchange processes, including healthcare.•Hospital Information Systems are characterized by multiple software with a complex data protection environment.•There are no specific DPIA methodologies for the healthcare environment.•We propose a methodology overcoming the need to identify each single processing, focusing instead on each software per se.•The methodology in HIS should be adopted before a software is purchased to ensure patient rights.AbstractBackgroundThe General Regulation on Data Protection (GDPR) modernizes and harmonizes personal data protection laws across the European Union, affecting all economic sectors including the healthcare industry. The new regulation introduces two specific duties: the Record of Processing Activities (ROPA) and, for each high-risk processing, the Data Protection Impact Assessment (DPIA). Currently, there are no specific DPIA methodologies for the healthcare environment,