隐私保护技术

数据隐私或信息隐私是数据保护领域的一部分，涉及数据的正确处理，重点是遵守数据保护法规。 数据隐私的核心是如何收集、存储、管理数据，以及与任何第三方共享数据，以及遵守适用的隐私法（如《加州消费者隐私法》或《通用数据保护条例》GDPR）。

在世界各地，新的法规正在促进数据本地化。为了遵守规定，公司必须灵活投资，但那些做对了的公司可以增加收入和市场份额。

在这项工作中，我们描述了一种特定于HIS的方法，该方法能够支持风险评估并执行DPIA。这种方法的主要贡献在于将信息系统而不是处理本身确定为分析对象。这在医疗环境中至关重要，因为涉及个人数据的过程非常复杂，否则很难追踪。

根据GDPR，DPIA应在单个处理或一组导致类似风险的类似处理上执行。因此，ROPA中定义的一个或多个处理是DPIA的主题（如果它们导致高风险）。 在医疗保健中，“处理”可能有多种定义：它可以指特定的护理路径，或指整个门诊环境，或指单个患者的单一诊断检查。

我们首先对GDPR和与DPIA相关的其他来源进行了分析和检查（步骤1，图1），目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑GDPR通过后（2016年4月14日）发布的官方和可信文件；除GDPR外，还分析了第29条工作组发布的上述DPIA指南[12]以及法国数据保护局制定和发布的“隐私影响评估（PIA）”方法[13]

数据保护通用条例》（GDPR）使整个欧盟的个人数据保护法律现代化和统一，影响到包括医疗行业在内的所有经济部门。新法规引入了两项具体职责：处理活动记录（ROPA）和每个高风险处理的数据保护影响评估（DPIA）。目前，没有针对医疗环境的具体DPIA方法，但只有适用于所有经济部门的广泛方法。

数据隐私，有时也称为信息隐私，是一个数据保护领域，涉及对敏感数据的正确处理，包括个人数据[1]，以及其他机密数据，如某些金融数据和知识产权数据，以满足监管要求，并保护数据的机密性和不变性。

数据主体访问请求（DSAR）是个人向组织提出的访问其个人信息或相关材料副本的请求，应视为个人“访问权”的表达，如《通用数据保护条例》（GDPR）所述。此类个人信息或其他敏感数据的请求可以通过书面或口头方式，通过所有可验证的平台传达给组织，也可以由第三方代表个人提出。

“可验证的消费者请求”是《加利福尼亚州消费者隐私法》（CCPA）中的一项要求，以便企业向其消费者提供企业拥有或控制的个人数据的访问权限。由于新颖的CCPA允许消费者请求访问他们的敏感个人数据，并且在某些情况下可以删除这些数据，因此在验证提出请求的个人的身份以及代表消费者提出请求的任何个人的权限时，企业必须采取额外的安全措施。

组织的处理活动记录（RoPA）是指《通用数据保护条例》（GDPR）第30条中规定的要求，其中部分规定，控制者必须“维护其负责的处理活动的记录”，包括“所有类别的处理活动”。“有效的RoPA将是组织内高效记录保存程序和问责制的产物，对这些程序的持续审查和维护将促进遵守GDPR标准。