- 2018-05-31 10:39
- 作者:佚名
- 来源:36氪
欧盟《一般数据保护条例》(GDPR)已于2018年5月25日起正式施行,旨在加强对欧盟境内居民的个人数据和隐私保护。此外,该条例扩大的管辖权也将跨国企业纳入监管框架。
各大媒体报道的侧重点皆为此项条例建立的“删除权”和“移植权”这两项个人隐私权。前者强调个人有权要求删除其个人数据;后者则赋予个人更轻松的方式访问自己的数据,并自由从某一供应商迁移到另一供应商。
但在医疗健康领域,GDPR潜在带来了一个新的机会 —— 重构患者与医疗机构之间的信任。
GDPR使每个个体牢牢掌握他们的数据。众所周知,在健康方面,海量的个人数据是医疗机构更好地服务病患的前提。如今,新条例中的一个核心组成部分“重罚”,即行政处罚的力度,根据案情情况最高可罚款两千万欧元,或公司年营业额的4%。
那么,让我们来看一下,GDPR的生效在医疗健康领域中到底意味着什么?
GDPR把数据控制权还给用户
根据未来健康指数数据,57%的患者拥有或使用联网护理设备来监测各种健康指标。此外,FHI研究发现,公众在个人数据的使用上,最信任的是医疗保健行业,来自社交网络的技术越来越多地被用于提供病人护理和支持。
在患者与医疗机构的关系中,很少存在患者不提供个人信息(数据)而被服务的情况,因而,在这种“没有选择”的情况下,在此新条例的规定下,医疗机构需证明它们已然考虑过如何使用用户数据并将采取恰当的保护措施。更重要的是,当个人拥有在意愿发生改变的情况下,阻止机构继续使用数据的权利,这样建立的信任关系更牢固。
GDPR要求数据泄露必须在72小时内报告
这将推动医疗保健专业人员和组织更多关注他们所持有的数据。
医疗保健是我们生活中高度敏感和私密的领域之一。但是,测试结果通常会被广泛分享以进行诊断,患者对如何收集这些信息,谁有权访问以及如何存储这些信息几乎没有深入的了解。
从临床手术到专业医疗机构收集的数据来看,个人数据的足迹通常是高度分散的。GDPR的核心点之一是确保收集数据包含其目的和位置信息,以及规定“同意书”是处理个人数据的一个前提要求。EUDataProtectionLaw.com指出,对这些条件的定义是“数据主体通过申明或一个清晰的肯定动作,在知情的情况下自主、具体而明确地表明自己的意愿,即表示他们同意个人相关数据被处理。”
GDPR规定的“被遗忘权”,可能成为改善诊断的障碍
人的被遗忘权可能与保留患者或居民出院或死亡后的数据的法律要求相冲突。 医疗保健专业人员经常使用Whatsapp等网络向对方发送患者数据。当这些信息通过网络传播时,这可能意味着敏感数据在欧盟以外流转,因而违反GDPR法规。
“对于所有医疗保健提供者来说,基于查询的情况,去保留规定期限内的记录是法律规定。这一切都需要密切跟踪,以确保记录不会过早处理。”这一点上,GDPR提供了一个框架,围绕如何收集,使用这些数据以及在哪些情况下必须删除这些数据。
James Flint是Hospify的CEO,该公司开发了类似Whatsapp的消息传递服务,使医疗团队能够通过基于欧盟的网络安全发送患者数据。“Hospify加密并传送来自端到端的文本信息,然后在72小时内从服务器中删除该信息,因此唯一的副本只会保留在相关对话或群组人员的电话中。”
今年,欧盟卫生专员Vytenis Andriukaitis在布鲁塞尔举行的“大数据:医疗保健互联的更好解决方案”会议上提到了促进跨境医疗保健的欧洲参考网络(ERNs):“ERNs的成功也取决于大数据:他们编制分散的健康数据集,生成新的临床,遗传,行为和环境数据,并多加利用这些数据。“
医疗机构数十年来一直收集的大量数据仍然是非结构化且无法访问的。
GDPR将为医疗行业提供巨大的机会 —— 大数据背后的理念以及如何解锁医疗信息中的“资源”。也就是说,GDPR将成为结构化、整合数据的驱动力,可能会加速新的治疗方法并加强预防措施。
然而,远程医疗公司Now Healthcare Group的首席执行官和创始人Lee Dentith认为还有一段路要走:“GDPR的框架是为了让用户自行控制个人数据,但是到底怎么做?这个法规到底将如何促进?GDPR走了很大一步,但个人控制数据真不是一件容易的事情。总之,潜力在那里,但它的成功还有待观察。”