Zgodność z HIPAA a dostawcy technologii w UE – bezpieczeństwo danych podczas offshoringu
Paweł
Bezpieczeństwo danych dla firm zajmujących się ochroną zdrowia jest sprawą najwyższej wagi. Wraz ze wzrostem liczby przedsiębiorstw offshorujących swoje rozwiązania technologiczne do Europy kwestia zgodności z amerykańskimi przepisami dotyczącymi bezpieczeństwa danych zdrowotnych stała się najwyższym priorytetem.
Spis treści
- Zgodność z HIPAA poza USA
- Bezpieczeństwo danych w UE
- Specjalne traktowanie danych zdrowotnych
- Ochrona danych w całej Europie
- Wszechstronna regulacja
- Odpowiedzialność
- Konsekwencje niezgodności
- Poważne konsekwencje
- Bezpieczeństwo danych a produkcja oprogramowania
- Więcej niż jest wymagane
- Wyrównany poziom
Zgodność z HIPAA poza USA
W przypadku firm medycznych z siedzibą w USA zgodność z HIPAA jest obowiązkowa podczas pracy z chronionymi informacjami zdrowotnymi pacjenta (PHI). Podpisując umowę z podmiotem zewnętrznym, podmiot zgodny z HIPAA musi podpisać umowę Business Associate z każdym, komu planuje udzielić dostępu do PHI. Mimo że przepisy BAA są dość proste w egzekucji w Stanach Zjednoczonych, sprawa wpada w szarą strefę, jeśli chodzi o współpracę z podmiotami spoza USA.
Brak wyraźnego eksterytorialnego zasięgu HIPAA jest powodem do niepokoju dla amerykańskich dostawców usług zdrowotnych, ponieważ offshoring danych medycznych przez firmy z nimi współpracujące (BA-business associates) jest w bardzo powszechny. Farmy serwerów, centra obsługi, analizy danych, usługi transkrypcji, firmy developerskie z dostępem do PHI są często fizycznie i legalnie zlokalizowane za granicą.
Bezpieczeństwo danych w UE
Jeśli chodzi o podmioty z siedzibą w UE, ryzyko związane z powierzaniem im PHI zostało nieco zmniejszone dzięki wprowadzeniu ogólnego rozporządzenia o ochronie danych (RODO). Chociaż rozporządzenie prawnie obejmuje ochronę danych i prywatność obywateli i mieszkańców Unii Europejskiej, służy ono ogólnemu celowi, jakim jest generalna ochrona danych wrażliwych. RODO zostało wprowadzone z głównymi celami zapewnienia kontroli osób fizycznych nad ich danymi osobowymi oraz uproszczenia kwestii regulacyjnych dla międzynarodowego biznesu poprzez ujednolicenie przepisów w UE.
Specjalne traktowanie danych zdrowotnych
W porównaniu HIPAA i RODO wykazują wiele podobieństw. Można argumentować, że rozporządzenie europejskie jest bardziej dokładne i rygorystyczne, ponieważ dotyczy wszystkich danych osobowych, jednocześnie oferując specjalne przepisy dotyczące danych zdrowotnych. W UE wszystkie informacje „związane ze zdrowiem fizycznym lub psychicznym danej osoby” są uważane za dane zdrowotne, i obejmują np. świadczeniodawców usług, które wymagają ujawniania informacji o stanie zdrowia danej osoby. Dane te podlegają nawet surowszym przepisom na mocy RODO niż inne rodzaje danych osobowych. Od podmiotu wymagana jest np. „wyraźna zgoda” na przetwarzanie jego danych zdrowotnych.
Ochrona danych w całej Europie
HIPAA jest zdefiniowane, aby regulować podmioty świadczące opiekę zdrowotną, plany opieki zdrowotnej i izby rozrachunkowe, i obejmuje również ich zakontraktowanych BA. Nie obejmuje jednak zakresem prawnym podmiotów spoza USA. Wymagania RODO dotyczą wszystkich organizacji przetwarzających wrażliwe dane osób, niezależnie od tego, czy organizacja ma siedzibę w UE, czy gdzie indziej. Oznacza to, że każda firma działająca w UE podlega surowym przepisom RODO podczas przetwarzania danych osobowych wszelkiego rodzaju.
Z perspektywy podmiotu amerykańskiego postępowanie z licencjami BA z siedzibą w UE można uznać za bezpieczne, a standardowa umowa BA byłaby wystarczająca do zapewnienia odpowiedniej ochrony danych. Zgodnie z art. 14 RODO, mówiącym że „ochrona zapewniana przez niniejsze rozporządzenie powinna mieć zastosowanie do osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w związku z przetwarzaniem ich danych osobowych.” rozszerzona jest ochrona danych wrażliwych, w tym danych dotyczących zdrowia, poza rezydentów i obywateli UE, ponieważ odnosi się do „osób” bez określenia ich obywatelstwa lub miejsca zamieszkania.
Wszechstronna regulacja
RODO zmusiło wszystkie podmioty UE do zwiększenia środków bezpieczeństwa dotyczących przechowywania, dostępu, przenośności i dostępu do danych osobowych. Wszelkie wysiłki i działania dotyczące bezpieczeństwa danych są monitorowane i podejmowane przez inspektora ochrony danych, który musi być wyznaczony przez każdą firmę przetwarzającą duże ilości danych wrażliwych. Przedsiębiorstwa w całej UE wprowadziły dodatkowe środki bezpieczeństwa danych, szkolą pracowników i zapewniają pełną zgodność z rozporządzeniem.
Odpowiedzialność
Zgodność z RODO musi być odpowiednio udokumentowana i udowodniona. Rozporządzenie opiera się na pełnej odpowiedzialności zarówno administratorów, jak i podmiotów przetwarzających dane. Również w tym przypadku zasady europejskie i zasady zgodności z HIPAA w dużej mierze się pokrywają. Role inspektora do spraw zgodności z HIPAA i inspektora ochrony danych wiążą się z podobnymi obowiązkami. Relacja firmy zgodnej z HIPAA do jej BA jest zdefiniowana podobnie jak relacja kontrolera danych RODO do procesora.
Konsekwencje niezgodności
Zgodnie z obowiązującym prawem UE zarówno podmiot przetwarzający dane, jak i administrator danych ponoszą odpowiedzialność za naruszenie RODO. rozciąga się to na roszczenia odszkodowawcze osoby, której dane dotyczą, a także grzywny nałożone przez organ nadzoru.
Poważne konsekwencje
Mniej poważne naruszenia mogą skutkować nałożeniem grzywny w wysokości do 10 mln EUR lub 2% światowych rocznych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa. Poważniejsze naruszenia mogą skutkować nałożeniem grzywny w wysokości do 20 EUR milion lub 4% globalnych rocznych przychodów firmy z poprzedniego roku rozliczeniowego, w zależności od tego, która kwota jest wyższa. Chociaż kary za naruszenie HIPAA naliczane są inaczej niż RODO, europejski organ regulacyjny bierze sprawy bardzo poważnie, a strona naruszająca z pewnością odczuje ból grzywny. Surowość sankcji jest czymś więcej niż skutecznym środkiem odstraszającym – służy także jako zachęta dla firm do pracy nad poprawą bezpieczeństwa danych ponad samą tylko zgodność.
Bezpieczeństwo danych a produkcja oprogramowania
Dostawcy oprogramowania, firmy deweloperskie i twórcy aplikacji stanowią pierwszą linię frontu bezpieczeństwa danych w Europie. Jeszcze przed wdrożeniem RODO dostawcy oprogramowania priorytetowo traktowali bezpieczeństwo powierzonych danych. W przypadku większości przedsiębiorstw wprowadzenie nowych wymagań było kwestią dostosowania istniejących procesów do zgodności z rozporządzeniem. Produkcja oprogramowania jest z natury podatna na kradzież danych, hakowanie, próby naruszenia bezpieczeństwa i inne zagrożenia związane z bezpieczeństwem danych. Utrzymanie aktualnego, wysokiego poziomu bezpieczeństwa ma zatem ogromne znaczenie. Software housy posiadają duże doświadczenie i odpowiednie zasoby w zakresie ochrony danych. Dysponowanie specjalistami IT umożliwia ciągłe dostosowywanie i ulepszanie bezpieczeństwa bez konieczności zatrudniania osób trzecich.
Więcej niż jest wymagane
Ochrona danych jest ważna dla firm programistycznych i znacznie wykracza poza wewnętrzne zasady i wymagania RODO. Bezpieczeństwo produkowanego oprogramowania, poufność klientów, własność intelektualna – wszystko to wymaga najwyższego poziomu bezpieczeństwa. Podczas pracy z poufnymi informacjami, takimi jak dane zdrowotne, firmy developerskie wprowadzają dodatkowe środki w celu zapewnienia bezpieczeństwa. Należą do nich między innymi: podpisywanie dodatkowych umów NDA, dodatkowe szkolenia dla pracowników w zakresie korzystania z powierzonych danych, losowe testy penetracyjne, szyfrowanie sprzętu i oprogramowania, ograniczenia kopiowania i przesyłania danych, ograniczenia dostępu, autoryzacja wielopoziomowa.
Wyrównany poziom
Jak widać, zarówno HIPAA, jak i RODO zmuszają firmy do priorytetowego traktowania bezpieczeństwa danych. Pokrywanie się wymagań i ograniczeń sprawia, że rozporządzenie europejskie stanowi wystarczającą podstawę do rozważenia powierzenia wrażliwych danych dostawcom z UE. Dotyczy to zarówno PHI, jak i wszelkich innych wrażliwych danych, ponieważ RODO zostało wprowadzone z myślą nie tylko o zdrowiu. Rozporządzenie wyrównało podstawy dla międzynarodowych przedsiębiorstw i umożliwiło konkurencję w zakresie cen i jakości, zamiast koncentrować się na kwestiach zaufania.