跳转到主要内容

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第四部

在这项工作中,我们描述了一种特定于HIS的方法,该方法能够支持风险评估并执行DPIA。这种方法的主要贡献在于将信息系统而不是处理本身确定为分析对象。这在医疗环境中至关重要,因为涉及个人数据的过程非常复杂,否则很难追踪。

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第三部

根据GDPR,DPIA应在单个处理或一组导致类似风险的类似处理上执行。因此,ROPA中定义的一个或多个处理是DPIA的主题(如果它们导致高风险)。 在医疗保健中,“处理”可能有多种定义:它可以指特定的护理路径,或指整个门诊环境,或指单个患者的单一诊断检查。

标签

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第二部

我们首先对GDPR和与DPIA相关的其他来源进行了分析和检查(步骤1,图1),目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑GDPR通过后(2016年4月14日)发布的官方和可信文件;除GDPR外,还分析了第29条工作组发布的上述DPIA指南[12]以及法国数据保护局制定和发布的“隐私影响评估(PIA)”方法[13]

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第一部

数据保护通用条例》(GDPR)使整个欧盟的个人数据保护法律现代化和统一,影响到包括医疗行业在内的所有经济部门。新法规引入了两项具体职责:处理活动记录(ROPA)和每个高风险处理的数据保护影响评估(DPIA)。目前,没有针对医疗环境的具体DPIA方法,但只有适用于所有经济部门的广泛方法。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第四部分

获得个人数据处理许可的第三步是检查数据传输许可,即确保数据发送公司和数据接收公司在传输个人数据时具有相同目的的许可,并且每个目的的许可符合相同的法律依据(即同意或合法利益)。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第三部分

获得个人数据处理许可的第二步是通过(1)请求许可和(2)存储许可来处理许可。公司在这些行动中面临着几个挑战(表8)。TCF提供了缓解挑战的工具,我们将在本节中介绍。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第二部分

2018年4月25日,IAB Europe推出了TCF,作为应对第7.1节中讨论的挑战的一种手段。它于2019年8月推出了更新版本的TCF,即TCF 2.0。TCF是一项行业倡议,旨在提供一种通过指南和工具获得用户许可的解决方案。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第一部分

在本节中,我们将进一步探讨广告行业公司在为其数据处理活动提供符合GDPR的法律基础方面面临的实际挑战。本节特别阐述了透明度和同意框架(TCF),这是IAB Europe发起的一项行业倡议,旨在帮助企业应对获得用户许可的挑战。

【美国隐私立法】与数字隐私相关的州法律

互联网和新技术不断提出有关隐私的新政策问题,州立法者正在继续解决网络活动中产生的一系列隐私问题。 该网页记录了有限领域的国家隐私法:全面的消费者数据隐私、网站隐私政策、在线书籍下载和读者浏览信息的隐私、互联网服务提供商持有的个人信息、针对未成年人的某些产品的在线营销以及员工电子邮件监控。其他类型的州法律涉及隐私,也适用于在线活动。

【美国隐私执法】CCPA执行案例示例 -2022年8月24日更新

总检察长办公室(OAG)负责执行CCPA。OAG于2020年7月1日(CCPA执法开始的第一天)开始向公司发送涉嫌违规的通知。一旦公司被通知涉嫌违规,它有30天的时间来纠正违规行为。这可能需要的不仅仅是开始遵守法律。总体而言,补救措施加强了消费者的隐私保护。