HIS

在这项工作中，我们描述了一种特定于HIS的方法，该方法能够支持风险评估并执行DPIA。这种方法的主要贡献在于将信息系统而不是处理本身确定为分析对象。这在医疗环境中至关重要，因为涉及个人数据的过程非常复杂，否则很难追踪。

根据GDPR，DPIA应在单个处理或一组导致类似风险的类似处理上执行。因此，ROPA中定义的一个或多个处理是DPIA的主题（如果它们导致高风险）。 在医疗保健中，“处理”可能有多种定义：它可以指特定的护理路径，或指整个门诊环境，或指单个患者的单一诊断检查。

我们首先对GDPR和与DPIA相关的其他来源进行了分析和检查（步骤1，图1），目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑GDPR通过后（2016年4月14日）发布的官方和可信文件；除GDPR外，还分析了第29条工作组发布的上述DPIA指南[12]以及法国数据保护局制定和发布的“隐私影响评估（PIA）”方法[13]

数据保护通用条例》（GDPR）使整个欧盟的个人数据保护法律现代化和统一，影响到包括医疗行业在内的所有经济部门。新法规引入了两项具体职责：处理活动记录（ROPA）和每个高风险处理的数据保护影响评估（DPIA）。目前，没有针对医疗环境的具体DPIA方法，但只有适用于所有经济部门的广泛方法。