In mei 2016 nam de Europese Unie de General Data Protection Regulation (GDPR) aan, een alomvattende wet ter bescherming van persoonsgegevens. Twee jaar later werd het een afdwingbare wet, die eisen stelt aan hoe organisaties de persoonsgegevens van inwoners en burgers van de EU mogen verwerken – inclusief gegevens uit de gezondheidszorg – en die burgers meer rechten geeft om geïnformeerd te worden over hoe hun persoonsgegevens worden gebruikt.
Ondanks het feit dat de GDPR nu bijna vijf jaar van kracht is, worstelen veel organisaties nog steeds met de naleving ervan. Vanaf juli 2022 zijn er namelijk ten minste 1.163 boetes opgelegd voor overtredingen of niet-naleving van de GDPR, waaronder miljoenen dollars aan boetes voor organisaties in de gezondheidszorg. Alleen al in 2022 was er 2,92 miljard euro (of 3,11 miljard dollar) aan GDPR-boetes, een recordjaar aan geldboetes ondanks een kleiner aantal privacyschendingen.
Inmiddels worden persoonsgegevens wereldwijd alleen maar beter beschermd. Gartner voorspelt zelfs dat tegen eind 2024, 75% van de wereld zijn gegevens zal hebben beschermd door moderne privacyregels. Dat is geweldig nieuws voor mensen! Het openbaar maken van persoonlijke gezondheidsinformatie van een patiënt zonder diens toestemming kan immers een negatieve invloed hebben op hun persoonlijke en professionele leven. Maar voor organisaties in de gezondheidszorg, die iedere seconde nieuwe gereglementeerde patiëntgegevens genereren, kan het ook beangstigend zijn.
Gezien de voortdurende compliance-uitdagingen en het feit dat de wereld steeds meer wordt gereguleerd, is het de moeite waard om te bespreken waarom organisaties in de gezondheidszorg data lineage nodig hebben om te kunnen blijven voldoen aan de regelgeving op het gebied van dataprivacy in de gezondheidszorg, zoals GDPR.
De reikwijdte van GDPR in de EMEA-zorgsector
Hoewel GDPR van toepassing is op alle soorten persoonsgegevens, worden gezondheids- en genetische gegevens van patiënten beschouwd als een speciale categorie “gevoelige gegevens”. Daarom gelden voor deze gegevens nog strengere verwerkingseisen dan voor andere soorten persoonsgegevens. Specifieker, organisaties mogen geen gevoelige gegevens verwerken tenzij een van een paar specifieke uitzonderingen van toepassing is.
GDPR is vergelijkbaar met HIPAA in de VS omdat het bescherming bevat voor gegevens uit de gezondheidszorg. De GDPR-boetes bedragen maximaal 20 miljoen euro of 4% van de wereldwijde omzet van de overtredende organisatie, afhankelijk van welk bedrag het hoogst is. De betrokkenen kunnen ook schadevergoeding eisen voor de schade die door de niet-naleving wordt veroorzaakt.
Hoewel de GDPR een EU-regeling is, reikt het effect ervan veel verder dan de grenzen. Om te beginnen geldt de GDPR ook voor IJsland, Noorwegen en Liechtenstein, die deel uitmaken van de Europese Economische Ruimte (EER). Daarnaast heeft het Verenigd Koninkrijk GDPR na de Brexit in de wet behouden als de ‘’Data Protection Act 2018’’.
Nog belangrijker is dat de vereisten van de GDPR gelden voor bedrijven over de hele wereld. Elke organisatie die de persoonsgegevens van burgers of inwoners van een door de GDPR beschermd land verwerkt, kan aansprakelijk worden gesteld voor het niet naleven ervan. Als gevolg daarvan zijn gezondheidszorgorganisaties en andere multinationale bedrijven in de Verenigde Staten vaak gebonden aan GDPR-naleving.
Men denkt misschien het eerst aan ziekenhuissystemen of andere op patiëntenzorg gerichte organisaties, maar bijna elk gebied van de gezondheidszorg verwerkt beschermde gegevens, waaronder:
- Biotechnologiebedrijven
- Zorgverzekeraars
- Fabrikanten van medische apparatuur
- Farmaceutische bedrijven
- En meer
Doorbreek datasilo’s en bescherm gereguleerde dat met geautomatiseerde data lineage
Om te bewijzen dat u gezondheidsgegevens alleen verwerkt onder de beperkte uitzonderingen, moet u nauwkeurig bijhouden en beheren hoe uw organisatie gegevens opslaat, verwerkt en beveiligt. En dat moet u vervolgens kunnen aantonen aan auditors.
Het datasilo-probleem in de gezondheidszorg maakt dit een uitdaging. Veel organisaties in de gezondheidszorg slaan patiëntgegevens nog steeds op in verschillende systemen, wat het zicht belemmert op gegevens die cruciaal zijn voor geïnformeerde patiëntenzorg en naleving van de regelgeving. Zonder een visuele weergave van uw gegevensstromen kan het moeilijk, zo niet onmogelijk zijn, om naleving van de regelgeving aan te tonen aan auditors. Erger nog, u kunt moeite hebben om aan de regelgeving te voldoen.
Het geautomatiseerde data lineage platform van MANTA scant uw gehele data-omgeving, zonder privé-informatie te delen of te verwerken, om een gedetailleerde kaart te genereren van alle gegevensstromen en afhankelijkheden. Dit kan u niet alleen helpen de patiëntenzorg te verbeteren, maar er ook voor zorgen dat u gegevens verwerkt en beveiligt binnen de strenge eisen van het GDPR-kader.
U moet auditors ook kunnen laten zien waar gereguleerde gegevens zich bevinden en wat de relatie is met de rest van uw data-omgeving. De actieve tags van MANTA, die bestaan uit door kleur gecodeerde attributen waarmee u de informatie kunt markeren die voor u het belangrijkst is in de context van uw ‘data pipeline’, zijn in deze context onmisbaar.
Met actieve tags kunt u persoonlijke of gevoelige gegevens direct in uw lineage map markeren om te zien hoe uw gereguleerde gegevens stromen en samenwerken met andere ‘data assets’. Dit helpt u niet alleen te voldoen aan auditvereisten, maar stelt u ook in staat strengere controles toe te passen op wie toegang heeft tot sterk gereguleerde patiëntgegevens.