x

【欧盟隐私保护】五大数字健康公司相信GDPR神话

cioctocdo
30 November 2022
SEO Title
Five GDPR myths digital health companies believe

文章分类

我经常遇到与GDPR有关的神话。在这里,我消除了关于数字健康的五个最常见的GDPR神话,并向您提供事实。

多年来,我一直专注于数字健康的数据保护。早在GDPR之前,我就在研究让人们安全分享健康数据的系统。现在,担任Chino.io首席执行官,我大部分时间都在建议数字医疗公司如何遵守GDPR。然而,一次又一次,我遇到了关于GDPR对数字健康意味着什么的相同误解和神话。在这篇文章中,我想直面其中五个GDPR神话。

GDPR误区1:GDPR不适用,因为我们使用随机标识符匿名化数据

我记不清有多少次听到人们说“我不需要做GDPR,因为我使用随机标识符来匿名化我的数据。”人们错误地认为假名化和匿名化是等同的。假名化是用随机ID替换个人信息的过程。匿名是确保数据不再与特定个人相关的过程,如下所示。GDPR明确表示,匿名数据不在范围内。

Anonymisation ensures data is no longer covered by GDPR

问题是,许多人认为,如果他们将数据化名,数据就已经是匿名的。然而,假名数据绝对仍然是个人数据。下图显示了假名的工作原理。

Pseudonymisation is a way to protect health data for GDPR and HIPAA

即使您是匿名数据,也需要注意一些潜在问题。首先,只有当您能够确定原始数据主体不能被重新识别时,数据才是真正匿名的。这通常意味着你必须组合来自多个用户的数据、添加噪声、概括数据等。这对于任何需要将数据与特定用户链接的应用程序都是不可行的,因此需要使用假名。对扫描等健康数据进行匿名尤其困难,因为它们通常包含生物特征数据。

事实1:根据GDPR,假名数据仍然是个人数据。然而,假名是保护敏感数据的关键步骤。

GDPR误区2:我总是需要征求同意/同意始终是处理的基础

许多人认为,根据GDPR处理数据的唯一方法是征求用户的同意。然而,作为处理数据的合法依据,还有很多事情。

(a) 同意:个人已明确同意您出于特定目的处理其个人数据。

(b) 合同:如果您与某人签订了合同,这可能包括处理其数据所必需的元素。

(c) 法律义务:有时,您有法律义务处理一个人的数据,而不是任何合同义务。

(d) 重要利益:如果有必要保护某人的生命,您总是可以处理数据。

(e) 公共任务:公共机构通常有义务为了公共利益或因为有明确的法律依据来处理数据。例如,公共卫生当局可以收集与公共卫生风险相关的数据。

(f) 合法利益:这是最不明确的处理依据。通常,您可以声称您(或第三方)在处理数据方面拥有合法权益。例如,这允许销售人员在没有明确同意的情况下与人联系。然而,你必须检查,没有理由凌驾于这些合法利益之上。

事实2:处理个人数据实际上有很多不同的法律原因

GDPR误区3:GDPR意味着我只能在应用程序中使用健康数据

许多人认为,健康数据只能用于数字健康应用程序。然而,事实是,只要你有法律依据,你可以对数据做任何事情。例如,对数据进行二次使用(例如用于内部研究)通常是完全可以接受的。您甚至可以与第三方共享数据。我想说的是,决定你可以用这些数据做什么不是黑白的。我总是建议人们找一位在这方面有专长的律师。

事实3:健康数据可以用于多种目的,但前提是您完全遵守GDPR。

GDPR误区4:我使用AWS/Azure/Cloud XYZ,因此我的应用程序已经合规

GDPR要求您满足多项组织和技术措施。此外,您必须证明您遵守第三章中规定的8项数据主体权利组织措施指的是您的隐私政策、与数据保护相关的内部政策、与提供商的数据处理协议(隐私合同)等技术措施大致分为逻辑安全控制和物理安全控制。一般来说,大多数云提供商都采用共享责任模式。在此模式下,他们负责物理安全控制,例如防止未经授权的服务器访问。但是,您负责大多数逻辑安全控制。

GDPR的三个主要逻辑安全控制是加密、假名和数据分区。大多数云设置中使用的默认加密对个人数据都很好。但根据《GDPR》第9条,健康数据被定义为一类特殊的数据。这意味着你真的应该使用记录级加密。

Encryption is a key way to protect sensitive health data

分区是一种使假名更加安全的方法。要对数据进行假名化和分区,首先要将记录分成两部分。第一部分是健康数据,第二部分是个人数据。然后创建一个假名,以便将数据的两部分关联起来。最后,将所有三个表存储在不同的位置。理想情况下,这意味着在不同的实例上,甚至在不同的集群上

事实4:当您存储敏感数据时,需要应用多种安全控制,包括记录级加密、假名和分区。

GDPR误区5:GDPR仅适用于在欧盟工作的欧盟公司

我要解决的最后一个误解与GDPR的领土范围有关。当GDPR于2018年生效时,出现了很多混乱。GDPR的存在主要是为了保护居住在欧盟的人。然而,有争议的是,它还对欧盟以外处理欧盟公民数据的公司提出了要求。那么,这到底意味着什么?好吧,让我们来看几个例子。

您向欧盟内的用户提供服务,但其总部位于欧盟以外。在这里,您必须始终遵守GDPR。为了完全遵守,您还必须遵守相当复杂的规则。

您为美国的人运营一个数字健康应用程序。然而,任何下载该应用程序的人都可以使用该应用程序。在这种情况下,你很可能最终落入GDPR的范围,除非你可以确定欧盟没有人在使用你的应用程序。

您在欧盟,但只处理非欧盟公民的数据。在这里,您必须遵守GDPR,因为您的总部位于欧盟。

在一天结束时,与专家一起检查细节是值得的。

事实5:如果您或您的任何用户在欧盟,GDPR始终适用。然而,它也可能适用于其他情况。

结论

我希望这篇文章有助于消除关于GDPR的一些神话和误解。当然,这份清单还远远不够详尽。在一天结束时,如果你想确保你是合规的,你应该与真正的专家核实。

文章链接
https://cpo.work/five-gdpr-myths-digital-health-companies-believe

标签