Πολιτική για την επεξεργασία πληροφοριών υγείας ασθενών

1. ΟΡΙΣΜΟΙ

Ανακοινώσεις

1. Η Diaverum ΑΒ και οι Κλινικές του Ομίλου («Υπεύθυνοι Επεξεργασίας Δεδομένων») ασχολούνται με την παροχή υπηρεσιών αιμοκάθαρσης και άλλων υπηρεσιών νεφρικής περίθαλψης, τη διαχείριση υπηρεσιών υγειονομικής περίθαλψης και τη χορήγηση φαρμακευτικών προϊόντων υπό την ιδιότητα του ιδιοκτήτη, του φορέα εκμετάλλευσης, του παρόχου υπηρεσιών περίθαλψης ή του παρόχου υπηρεσιών διαχείρισης (συλλογικά οι «Υπηρεσίες Υγείας»),
2. Οι Υπηρεσίες Υγείας (δηλαδή η διαχείρισή τους) περιλαμβάνουν την ανάπτυξη, την εφαρμογή, τη λειτουργία, τη συντήρηση και την υποστήριξη συστημάτων τεχνολογίας πληροφοριών («IT») για την αυτοματοποιημένη επεξεργασία ιατρικών, κλινικών και άλλων πληροφοριών υγείας (συλλογικά οι «Υπηρεσίες IT»). Ως εκ τούτου, οι Υπηρεσίες ΙΤ αποτελούν αναπόσπαστο μέρος των Υπηρεσιών Υγείας. Δεδομένου ότι οι Υπεύθυνοι Επεξεργασίας Δεδομένων διαθέτουν περιορισμένες δικές τους δυνατότητες πληροφορικής, οι Υπεύθυνοι Επεξεργασίας Δεδομένων έχουν διορίσει την Diaverum AB και τους υπεργολάβους της (ο «Εκτελών την Επεξεργασία») για να εκτελούν τις Υπηρεσίες IT για λογαριασμό και για λογαριασμό των Υπεύθυνων Επεξεργασίας Δεδομένων και σύμφωνα με τις οδηγίες της,
3. Η εκτέλεση των Υπηρεσιών Υγείας (συμπεριλαμβανομένων των Υπηρεσιών ΙΤ) απαιτεί από τους Υπεύθυνους Επεξεργασίας Δεδομένων και τους Εκτελούντες την Επεξεργασία Δεδομένων να επεξεργάζονται ιατρικές, κλινικές και άλλες πληροφορίες υγείας που αφορούν ασθενείς οι οποίοι λαμβάνουν θεραπεία ή επωφελούνται από τις Υπηρεσίες Υγείας,
4. Η εν λόγω επεξεργασία πληροφοριών συνιστά εν μέρει «επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» και αριθμών αναγνώρισης κατά την έννοια του Γενικού Κανονισμού της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων («ΓΚΠΔ») και υπόκειται σε παρόμοια νομοθεσία που ισχύει για τους Υπεύθυνους Επεξεργασίας Δεδομένων που είναι εγκατεστημένοι εκτός του Ευρωπαϊκού Οικονομικού Χώρου,
5. Οι Υπεύθυνοι Επεξεργασίας καθορίζουν τους σκοπούς για τους οποίους και τον τρόπο με τον οποίο τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία από αυτούς και τους Εκτελούντες την Επεξεργασία, και ως εκ τούτου οι Υπεύθυνοι Επεξεργασίας είναι «Υπεύθυνοι Επεξεργασίας» και οι Εκτελούντες την Επεξεργασία «Εκτελούντες την Επεξεργασία» σύμφωνα με τον ΓΚΠΔ. Κάθε κλινική ή ομάδα κλινικών είναι «υπεύθυνος επεξεργασίας» για την επεξεργασία των πληροφοριών που συλλέγονται από κάθε κλινική ή ομάδα κλινικών αντίστοιχα,
6. Προκειμένου να βελτιωθεί η ποιότητα της φροντίδας κατά την εκτέλεση των Υπηρεσιών Υγείας, οι Υπεύθυνοι Επεξεργασίας έχουν οργανώσει ειδική λειτουργία για τη διεξαγωγή αναλυτικών μελετών της διαδικασίας αιμοκάθαρσης και των σχετικών φαρμακευτικών προϊόντων που χρησιμοποιούνται στο πλαίσιο της θεραπείας αιμοκάθαρσης. Για να είναι δυνατή η απόδοση των αποτελεσμάτων της διαδικασίας αιμοκάθαρσης και της χρήσης των σχετικών φαρμακευτικών προϊόντων, οι μελέτες αυτές διεξάγονται σε ιατρικά και δημογραφικά δεδομένα από ασθενείς που λαμβάνουν τις Υπηρεσίες Υγείας (οι «Υπηρεσίες Ανάλυσης Αποτελεσμάτων»),
7. Κατά τη γνώμη των Υπευθύνων Επεξεργασίας Δεδομένων, η ορθή διαχείριση των υπηρεσιών υγειονομικής περίθαλψης περιλαμβάνει την υποχρέωση να καταβάλουν εύλογες προσπάθειες για τη βελτίωση της φροντίδας των ασθενών. Ωστόσο, και για καθαρά συντακτικούς λόγους (δεδομένου ότι το προσωπικό που εμπλέκεται στην εκτέλεση των Υπηρεσιών Ανάλυσης Αποτελεσμάτων δεν θα έχει πρόσβαση σε Προσωπικά Δεδομένα Ασθενών), η παρούσα Πολιτική διακρίνει τις Υπηρεσίες Ανάλυσης Αποτελεσμάτων από τις Υπηρεσίες Υγείας και δεν αντικατοπτρίζει την πραγματικότητα ότι οι Υπηρεσίες Ανάλυσης Αποτελεσμάτων αποτελούν μέρος των Υπηρεσιών Υγείας,
8. Επειδή (i) η ορθή εκτέλεση των Υπηρεσιών Υγείας απαιτεί την επεξεργασία ορισμένων ευαίσθητων προσωπικών δεδομένων ασθενών για τους σκοπούς της προληπτικής ιατρικής, της ιατρικής διάγνωσης, της παροχής φροντίδας ή θεραπείας ή της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης και (ii) η ορθή εκτέλεση των υπηρεσιών ανάλυσης αποτελεσμάτων απαιτεί τη συλλογή ορισμένων ευαίσθητων προσωπικών δεδομένων ασθενών για τους σκοπούς της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης (συμπεριλαμβανομένων ορισμένων δεδομένων που μπορεί να μην απαιτούνται για τους σκοπούς των υπηρεσιών υγειονομικής περίθαλψης), οι Υπεύθυνοι Επεξεργασίας Δεδομένων θεωρούν ότι δεν απαιτείται ρητή συγκατάθεση των ασθενών για την επεξεργασία των ευαίσθητων προσωπικών τους δεδομένων για τους σκοπούς των Υπηρεσιών Υγείας (συμπεριλαμβανομένων των Υπηρεσιών ΙΤ) ή για τη συλλογή των ευαίσθητων προσωπικών τους δεδομένων για τους σκοπούς των Υπηρεσιών Ανάλυσης Αποτελεσμάτων σύμφωνα με την ισχύουσα νομοθεσία, υπό την προϋπόθεση ότι όλα τα προσωπικά δεδομένα είναι ανώνυμα ή αποπροσδιορισμένα και ότι οι ασθενείς ενημερώνονται δεόντως μέσω της ειδοποίησης απορρήτου, πριν από την επεξεργασία σε σχέση με τις Υπηρεσίες Ανάλυσης Αποτελεσμάτων,
9. Το iRIMS (ακρωνύμιο του International Renal Information Management System) είναι ένα κλινικό σύστημα που αναπτύχθηκε από τους εκτελούντες την επεξεργασία δεδομένων για τους υπευθύνους επεξεργασίας δεδομένων για την αυτοματοποιημένη επεξεργασία των προσωπικών δεδομένων των ασθενών. Έτσι, οι ιατρικοί φάκελοι των ασθενών αποθηκεύονται στο σύστημα. Ενδεικτικά, τα ακόλουθα είναι ένα τυπικό πρότυπο χρήσης της λειτουργικότητας του συστήματος:

α) διαχειριστές κλινικών για την εγγραφή και τα δημογραφικά στοιχεία των ασθενών,

β) γιατροί για τη συνταγογράφηση αιμοκάθαρσης, τη συνταγογράφηση φαρμάκων και τις ιατρικές σημειώσεις,

γ) νοσηλευτές για θεραπεία αιμοκάθαρσης, ιατρικές σημειώσεις και αποτελέσματα εργαστηριακών εξετάσεων,

δ) βοηθοί νοσηλευτών για τη θεραπεία αιμοκάθαρσης,

ε) το λειτουργικό προσωπικό της κλινικής για την καταχώριση πληροφοριών σχετικά με τα μηχανήματα αιμοκάθαρσης και τον εξοπλισμό επεξεργασίας νερού.

στ) όλο το προσωπικό της κλινικής για την αναφορά κλινικών περιστατικών

10. Το iRIMS ανακατασκευάζεται επί του παρόντος με τη χρήση σύγχρονων τεχνολογιών και σχεδιασμού, ώστε, για παράδειγμα, να υποστηρίζει πολλαπλές συσκευές, βελτιωμένες ροές εργασίας, ένα σύστημα καθοδήγησης φαρμάκων και προγνωστικές αναλύσεις από τεχνητή νοημοσύνη. Το όνομα της νέας πλατφόρμας είναι d.CARE.
11. Το PQ Tools (ακρωνύμιο για τα Εργαλεία Ποιότητας Ασθενών) είναι ένα κλινικό σύστημα που αναπτύχθηκε από τους Επεξεργαστές Δεδομένων και χρησιμοποιείται στις Υπηρεσίες Υγείας και στις Υπηρεσίες Ανάλυσης Αποτελεσμάτων για την επεξεργασία και ανάλυση δεδομένων αποτελεσμάτων από τη διαδικασία αιμοκάθαρσης, τα αποτελέσματα εργαστηριακών εξετάσεων και τη χρήση φαρμάκων. Τα δεδομένα του PQ Tools, τα οποία λαμβάνονται με χειροκίνητο ή αυτοματοποιημένο τρόπο από το iRIMS, είναι οργανωμένα στις ακόλουθες κατηγορίες HD και PD, μεταξύ άλλων: επάρκεια αιμοκάθαρσης, αναιμία, EPO, διατροφή, οστικές παθήσεις, καρδιαγγειακά, δημογραφικά στοιχεία, διαβήτης, λιπίδια.
12. Το TGS (ακρωνύμιο για το Treatment Guidance System) και το d.Connect είναι συστήματα που εισήχθησαν για την αυτοματοποίηση των δελτίων ροής και την υποστήριξη του νοσηλευτικού προσωπικού στη διαδικασία της θεραπείας, καθώς και για την καταγραφή δεδομένων από τα μηχανήματα αιμοκάθαρσης και την αυτόματη εμφάνιση/εισαγωγή των δεδομένων στο TGS/iRIMS.
13. Το προσωπικό που εμπλέκεται στην εκτέλεση των υπηρεσιών Ανάλυσης Αποτελεσμάτων πρέπει να έχει περιορισμένη πρόσβαση στα εργαλεία PQ, ώστε να μην μπορεί να αποκτήσει πρόσβαση σε πληροφορίες μέσω των οποίων μπορεί να ταυτοποιηθεί άμεσα ή έμμεσα ένας ασθενής,
14. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων διαβιβάζουν Προσωπικά Δεδομένα Ασθενών μεταξύ τους χρησιμοποιώντας το Διαδίκτυο (με βάση τυποποιημένο πρωτόκολλο κρυπτογραφημένης επικοινωνίας ) και εσωτερικά δίκτυα (Intranet),
15. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων έχουν συμφωνήσει να συνάψουν σύμβαση με τη μορφή Συμφωνιών Επεξεργασίας Δεδομένων που έχουν εγκριθεί σύμφωνα με τον ΓΚΠΔ για να διασφαλίσουν τη δίκαιη και διαφανή επεξεργασία και το κατάλληλο επίπεδο προστασίας των Προσωπικών Δεδομένων Ασθενών,
16. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων πιστεύουν ότι η παρούσα Πολιτική είναι επαρκής για να χρησιμεύσει ως μέρος του μητρώου των πράξεων επεξεργασίας που απαιτείται σύμφωνα με τον ΓΚΠΔ.

Ορισμοί

Όταν χρησιμοποιούνται στην παρούσα Πολιτική, οι όροι «Υπεύθυνοι επεξεργασίας δεδομένων», «Εκτελούντες την επεξεργασία δεδομένων», «Υπηρεσίες υγειονομικής περίθαλψης», «Υπηρεσίες πληροφορικής - ΙΤ», «Υπηρεσίες ανάλυσης αποτελεσμάτων» και «ΓΚΠΔ» έχουν τις έννοιες που αποδίδονται στις αιτιολογικές σκέψεις και οι όροι και εκφράσεις που απαριθμούνται κατωτέρω έχουν τις έννοιες που αποδίδονται ως εξής:

«Εξουσιοδοτημένοι χρήστες» σημαίνει:

το ακόλουθο προσωπικό που απασχολείται με άλλο τρόπο από έναν υπεύθυνο επεξεργασίας δεδομένων και εμπλέκεται στην εκτέλεση των υπηρεσιών υγειονομικής περίθαλψης, ήτοι:

(α) ιατροί (συμπεριλαμβανομένων των ιατρικών διευθυντών σε κλινικές και των ιατρικών διευθυντών της χώρας),

(β) νοσηλευτές,

(γ) βοηθοί νοσηλευτών και άλλο προσωπικό άμεσης φροντίδας ασθενών,

(δ) διαχειριστές κλινικών που είναι υπεύθυνοι για την εγγραφή ασθενών και την εισαγωγή προσωπικών δεδομένων ασθενών στα κλινικά συστήματα,

(ε) εκπρόσωποι των χρηστών,

(στ) κλινικούς ειδικούς και άλλους εκπαιδευτές που είναι υπεύθυνοι για την εκπαίδευση και κατάρτιση οποιουδήποτε από τους ανωτέρω,

(ζ) προσωπικό που εμπλέκεται στην επεξεργασία των αιτήσεων πληρωμής για τις υπηρεσίες υγειονομικής περίθαλψης,

(η) προσωπικό που εμπλέκεται στην εκτέλεση των υπηρεσιών ΙΤ- και

(θ) το προσωπικό των Εκτελούντων την Επεξεργασία Δεδομένων ή των εργολάβων που έχουν διοριστεί από τους Εκτελούντες την Επεξεργασία Δεδομένων, το οποίο είναι υπεύθυνο για την εκτέλεση των Υπηρεσιών ΙΤ.

Ως «κλινικά συστήματα» νοούνται τα iRIMS/d.CARE, PQ Tools, TGS, d.Connect ή οποιοδήποτε άλλο σύστημα χρησιμοποιείται από τους υπεύθυνους επεξεργασίας δεδομένων για την αυτοματοποιημένη ή χειροκίνητη επεξεργασία δεδομένων ασθενών.

Ως «Νόμοι» ορίζονται οι νόμοι, κανόνες, κανονισμοί και άλλες νομοθετικές πράξεις οποιασδήποτε χώρας όπου εφαρμόζεται η παρούσα Πολιτική για σκοπούς προστασίας του απορρήτου και της ακεραιότητας των πληροφοριών υγείας των ατόμων, συμπεριλαμβανομένων των νομοθετικών πράξεων των εφαρμοστέων κρατών μελών του Ευρωπαϊκού Οικονομικού Χώρου για σκοπούς εφαρμογής του ΓΚΠΔ.

Ως «Προσωπικά δεδομένα ασθενούς» ορίζεται κάθε πληροφορία που αφορά ασθενή ο οποίος λαμβάνει ή επωφελείται από τις υπηρεσίες υγειονομικής περίθαλψης (συμπεριλαμβανομένων των υπηρεσιών ΙΤ) και ο οποίος ταυτοποιείται ή μπορεί να ταυτοποιηθεί άμεσα ή έμμεσα, ιδίως βάσει ονόματος, αριθμού κοινωνικής ασφάλισης ή άλλου αριθμού αναγνώρισης ή ενός ή περισσότερων παραγόντων που αφορούν τη φυσική, φυσιολογική, ψυχική, οικονομική, πολιτιστική ή κοινωνική του ταυτότητα.

Ως «επεξεργασία» ή «επεξεργασία» νοείται κάθε πράξη ή σύνολο πράξεων που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ασθενούς, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως η συλλογή, η καταγραφή, η οργάνωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η διαβούλευση, η χρήση, η γνωστοποίηση με διαβίβαση, η διάδοση ή η με άλλο τρόπο διάθεση, η ευθυγράμμιση ή ο συνδυασμός, ο αποκλεισμός, η διαγραφή ή η καταστροφή.

Ως «επαγγελματικά πρότυπα» νοούνται οι γενικά αποδεκτοί δεοντολογικοί κανόνες και πρότυπα που εφαρμόζονται στις υπηρεσίες υγειονομικής περίθαλψης.

Ως «Χρήστες αναλυτές» νοειται το προσωπικό που ασχολείται με την εκτέλεση των Υπηρεσιών Ανάλυσης Αποτελεσμάτων.

Ως «λογική πρόσβαση» νοείται ένα τεχνικό μέσο ελέγχου των πληροφοριών που μπορεί να χρησιμοποιήσει ένας χρήστης, των προγραμμάτων που μπορεί να εκτελέσει και των τροποποιήσεων που μπορεί να κάνει. Βασίζονται σε υπολογιστή και μπορούν να προδιαγράψουν όχι μόνο ποιος ή ποια διαδικασία θα έχει πρόσβαση σε έναν συγκεκριμένο πληροφοριακό πόρο, αλλά και τον τύπο ή το επίπεδο πρόσβασης που επιτρέπεται, όπως χρήση, αλλαγή ή προβολή.

Οι έλεγχοι «φυσικής πρόσβασης» προστατεύουν από μη εξουσιοδοτημένη πρόσβαση, μπορούν να ανιχνεύσουν την απόπειρα ή την πραγματική μη εξουσιοδοτημένη πρόσβαση και να ενεργοποιήσουν μια αποτελεσματική αντίδραση. Οι κανόνες φυσικής πρόσβασης απαιτούνται για τον έλεγχο της πρόσβασης σε πληροφοριακούς πόρους και περιουσιακά στοιχεία.

Η παρούσα πολιτική ισχύει για:

• τις Diaverum Healthcare Services που εκτελούνται οπουδήποτε στον κόσμο, και
• τις Υπηρεσίες πληροφορικής που παρέχονται από τους εκτελούντες την επεξεργασία δεδομένων για λογαριασμό των υπευθύνων επεξεργασίας δεδομένων, συμπεριλαμβανομένων, ενδεικτικά, οποιωνδήποτε υπηρεσιών πληροφορικής που παρέχουν οι εκτελούντες την επεξεργασία δεδομένων από τη Σουηδία.

2. ΣΚΟΠΟΣ

Διασφάλιση της νόμιμης επεξεργασίας των προσωπικών δεδομένων των ασθενών, αποσαφήνιση των ρόλων και των αρμοδιοτήτων.

3. ΠΟΛΙΤΙΚΗ
   • ΑΡΧΕΣ ΠΟΙΟΤΗΤΑΣ ΔΕΔΟΜΕΝΩΝ - ΕΥΑΙΣΘΗΤΑ ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Είναι ευθύνη των υπευθύνων επεξεργασίας δεδομένων

 (α) τα Προσωπικά Δεδομένα Ασθενών:

(i) να υποβάλλονται σε δίκαιη και νόμιμη επεξεργασία,

(ii) να συλλέγονται και να υποβάλλονται σε περαιτέρω επεξεργασία για τους σκοπούς της εκτέλεσης των Υπηρεσιών υγειονομικής περίθαλψης (συμπεριλαμβανομένων των Υπηρεσιών ΙΤ),

(iii) να συλλέγονται, αλλά να μην υποβάλλονται σε περαιτέρω επεξεργασία, για τους σκοπούς της εκτέλεσης των Υπηρεσιών Ανάλυσης Αποτελεσμάτων,

(iv) να είναι επαρκής, συναφής και όχι υπερβολική σε σχέση με τον εν λόγω σκοπό,

(v) να είναι ακριβείς και να διατηρούνται ενημερωμένες,

(vi) να διατηρούνται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που απαιτείται για την εκτέλεση των Υπηρεσιών Υγείας και την παροχή στατιστικών εκθέσεων, καθώς και όπως απαιτείται από τους νόμους,

όλα με την επιφύλαξη και σύμφωνα με τους νόμους και τα επαγγελματικά πρότυπα που ισχύουν για τις υπηρεσίες υγειονομικής περίθαλψης σε κάθε σχετική δικαιοδοσία.

(β) η εκτέλεση των Υπηρεσιών Ανάλυσης Αποτελεσμάτων δεν συνεπάγεται την επεξεργασία Προσωπικών Δεδομένων Ασθενών.

• Συλλογή δεδομένων

Στο βαθμό που είναι αποδεκτό σύμφωνα με την ισχύουσα νομοθεσία και τα επαγγελματικά πρότυπα, κατά την εκτέλεση των Υπηρεσιών Υγείας, οι Υπεύθυνοι Επεξεργασίας Δεδομένων μπορούν να συλλέγουν ευαίσθητα Προσωπικά Δεδομένα Ασθενών, σχετικά με τη σωματική ή ψυχική υγεία, όταν αυτό απαιτείται για τις Υπηρεσίες Υγείας ή τις Υπηρεσίες Ανάλυσης Αποτελεσμάτων- και

Κατά την εκτέλεση των Υπηρεσιών Υγείας, οι Υπεύθυνοι Επεξεργασίας Δεδομένων δεν μπορούν χωρίς τη ρητή γραπτή συγκατάθεση του ασθενούς να συλλέγουν ευαίσθητα Προσωπικά Δεδομένα Ασθενών που αφορούν πολιτικά φρονήματα, συμμετοχή σε συνδικαλιστική οργάνωση (εκτός εάν απαιτείται για την τιμολόγηση των Υπηρεσιών Υγείας).

• Περιορισμένος σκοπός και αποταυτοποίηση

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων διασφαλίζουν ότι τα Προσωπικά Δεδομένα Ασθενών υποβάλλονται σε επεξεργασία από αυτούς μόνο για τους σκοπούς των Υπηρεσιών Υγείας (συμπεριλαμβανομένων των Υπηρεσιών ΙΤ). Οι Υπεύθυνοι Επεξεργασίας Δεδομένων μπορούν να συλλέγουν Προσωπικά Δεδομένα Ασθενών τα οποία δεν απαιτούνται για τις Υπηρεσίες Υγείας, αλλά απαιτούνται για τη δημιουργία δεδομένων που είναι απαραίτητα για την ορθή εκτέλεση των Υπηρεσιών Ανάλυσης Αποτελεσμάτων. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων διασφαλίζουν ότι όλα τα δεδομένα, πριν από τη διαβίβασή τους στους Χρήστες Αναλυτών, αποπροσδιορίζονται και ανωνυμοποιούνται έτσι ώστε τα δεδομένα να μην αποτελούν ή να μην περιλαμβάνουν πλέον Προσωπικά Δεδομένα Ασθενών.

• Περιορισμένη πρόσβαση

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων διασφαλίζουν ότι μόνο οι Εξουσιοδοτημένοι Χρήστες έχουν πρόσβαση στα Προσωπικά Δεδομένα Ασθενών. Οι Εκτελούντες την επεξεργασία δεδομένων διασφαλίζουν ότι (1) οι Εξουσιοδοτημένοι χρήστες στην κλινική αιμοκάθαρσης ενός Υπεύθυνου Επεξεργασίας Δεδομένων έχουν πρόσβαση μόνο σε Δεδομένα Προσωπικού Χαρακτήρα Ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν Υπηρεσίες Υγείας στην εν λόγω κλινική και (2) ότι ο Ιατρικός Διευθυντής Χώρας έχει πρόσβαση μόνο σε Δεδομένα Προσωπικού Χαρακτήρα Ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν Υπηρεσίες Υγείας στη χώρα για την οποία έχει διοριστεί. Χωρίς να περιορίζεται η γενικότητα των προηγούμενων προτάσεων:

α) ούτε οι Υπεύθυνοι Επεξεργασίας Δεδομένων ούτε οι Εκτελούντες την Επεξεργασία Δεδομένων μπορούν να αποκαλύπτουν, να απελευθερώνουν ή να μεταβιβάζουν σε οποιονδήποτε Χρήστη Αναλυτή οποιαδήποτε δεδομένα ασθενούς που αποτελούν ή περιλαμβάνουν Προσωπικά Δεδομένα Ασθενών ή να παρέχουν σε οποιονδήποτε Χρήστη Αναλυτή οποιοδήποτε δικαίωμα ή εξουσία πρόσβασης σε οποιαδήποτε Κλινικά Συστήματα υπό συνθήκες που επιτρέπουν στον Χρήστη Αναλυτή να έχει πρόσβαση ή να βλέπει Προσωπικά Δεδομένα Ασθενών,

β) κανένας Χρήστης Αναλυτής δεν μπορεί να ζητήσει να λάβει δεδομένα ασθενών που αποτελούν ή περιλαμβάνουν Προσωπικά Δεδομένα Ασθενών ή να του χορηγηθεί οποιαδήποτε εξουσιοδότηση πρόσβασης σε οποιαδήποτε Κλινικά Συστήματα υπό συνθήκες που επιτρέπουν στον Χρήστη Αναλυτή να έχει πρόσβαση ή να βλέπει Προσωπικά Δεδομένα Ασθενών.

• Μεταφορές σε τρίτους και εργολάβοι

Κάθε Υπεύθυνος Επεξεργασίας Δεδομένων διασφαλίζει ότι τα Προσωπικά Δεδομένα του Ασθενούς δεν αποκαλύπτονται, αποδεσμεύονται ή διαβιβάζονται σε τρίτους, εκτός από (1) στους Εκτελούντες την Επεξεργασία Δεδομένων, (2) στον πληρωτή του Υπεύθυνου Επεξεργασίας Δεδομένων, όπως απαιτείται για την πληρωμή των Υπηρεσιών Υγείας, (3) στα εργαστήρια, όπως απαιτείται για τη λήψη αποτελεσμάτων εργαστηριακών εξετάσεων, (4) σε οποιονδήποτε ιατρό που παρέπεμψε τον ασθενή για θεραπεία ή σε σχέση με ιατρική συμβουλή και (5) στο ιατρικό ίδρυμα υποδοχής σε περίπτωση που ο ασθενής έχει συμφωνήσει να μεταφερθεί ή να λάβει θεραπεία σε τέτοιο άλλο ιατρικό ίδρυμα. Ο υπεύθυνος επεξεργασίας δεδομένων δεν μπορεί να γνωστοποιήσει, να αποδεσμεύσει ή να διαβιβάσει προσωπικά δεδομένα ασθενούς σε άλλον υπεύθυνο επεξεργασίας δεδομένων, εκτός εάν πρόκειται να μεταφερθεί ο ασθενής. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων μπορούν να γνωστοποιούν τα Προσωπικά Δεδομένα Ασθενών μόνο σε εργολάβους που προσλαμβάνονται από αυτούς σε σχέση με τις Υπηρεσίες ΙΤ με την προηγούμενη γραπτή έγκριση του Υπεύθυνου Επεξεργασίας Δεδομένων. Η διαβίβαση Προσωπικών Δεδομένων Ασθενών σε ιατρικές έρευνες ή μελέτες που διεξάγονται από τρίτους πρέπει να περιλαμβάνει συγκατάθεση μετά από ενημέρωση από κάθε ασθενή που περιλαμβάνεται.

• Διατήρηση και καταστροφή

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία διασφαλίζουν ότι τα Προσωπικά Δεδομένα Ασθενών διατηρούνται τουλάχιστον για όσο χρονικό διάστημα απαιτείται από το νόμο και σύμφωνα με τον ορισμό του αρχικού τους σκοπού. Οι απαιτήσεις αποθήκευσης ποικίλλουν έτσι ανάλογα με την ταξινόμηση των πληροφοριών και τις τοπικές νομικές απαιτήσεις. Τα προγράμματα διατήρησης δεδομένων πρέπει να τηρούνται σύμφωνα με την Πολιτική Διατήρησης και Καταστροφής Δεδομένων της Diaverum και τις τροποποιήσεις της.

Η διαγραφή και η αρχειοθέτηση των συλλεγμένων αρχείων εποπτεύεται από τον αρμόδιο εκπρόσωπο των υπευθύνων επεξεργασίας δεδομένων. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων είναι έτσι υπεύθυνοι για την κατάλληλη εφαρμογή των βέλτιστων διαδικασιών αρχειοθέτησης και τελικά καθορίζουν ότι τα δεδομένα δεν απαιτούνται πλέον συμβουλεύοντας την ασφαλή καταστροφή.

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων είναι υπεύθυνοι για την τήρηση των εφαρμοστέων εσωτερικών διαδικασιών και για τη σύνταξη τακτικών ελέγχων που τεκμηριώνουν την ορθότητα των διεργασιών που εκτελούνται.

Κάθε περαιτέρω λεπτομέρεια περιγράφεται στην Πολιτική Διατήρησης και Καταστροφής Δεδομένων της Diaverum σχετικά με την επεξεργασία πληροφοριών υγείας ασθενών.

• Κρυπτογράφηση δεδομένων

Όπου είναι δυνατόν, όλες οι εμπιστευτικές και περιορισμένης πρόσβασης πληροφορίες πρέπει να αποθηκεύονται με ασφάλεια στη θέση δικτύου των υπευθύνων επεξεργασίας δεδομένων με περιορισμένη πρόσβαση. Σε περίπτωση που έχει κριθεί απαραίτητο από τον υπεύθυνο γραμμής του Υπεύθυνου Επεξεργασίας Δεδομένων να αποθηκεύει εμπιστευτικές ή περιορισμένης πρόσβασης πληροφορίες σε οποιαδήποτε συσκευή εκτός της ειδικής θέσης δικτύου του Υπεύθυνου Επεξεργασίας Δεδομένων, οι πληροφορίες πρέπει να είναι κρυπτογραφημένες.

Η πολιτική κρυπτογράφησης της Diaverum (υπεύθυνος επεξεργασίας δεδομένων) περιγράφει έτσι την αποδεκτή χρήση και διαχείριση του λογισμικού κρυπτογράφησης σε όλη την Diaverum.

• ΔΙΚΑΙΩΜΑ ΤΩΝ ΑΣΘΕΝΩΝ ΓΙΑ ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΠΡΟΣΒΑΣΗ ΚΑΙ ΔΙΟΡΘΩΣΗ

Είναι ευθύνη των υπευθύνων επεξεργασίας δεδομένων

α) να ενημερώνει εγκαίρως τους ασθενείς σχετικά με: (1) ποια εγκατάσταση των υπευθύνων επεξεργασίας επεξεργάζεται τα προσωπικά τους δεδομένα, (2) τους σκοπούς και τη νομική βάση για την οποία χρησιμοποιούνται και υποβάλλονται σε επεξεργασία τα προσωπικά δεδομένα των ασθενών, (3) ποιο προσωπικό ή ποιες κατηγορίες προσωπικού και τρίτοι έχουν πρόσβαση στα προσωπικά δεδομένα των ασθενών, (4) τα δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού και φορητότητας των δεδομένων των ασθενών στα προσωπικά τους δεδομένα, (5) την περίοδο διατήρησης, (6) την καταγγελία στην εποπτική αρχή και την αποζημίωση. Όλα σύμφωνα με τις απαιτήσεις του ΓΚΠΔ,

β) με την επιφύλαξη τυχόν νόμων που περιορίζουν τη γνωστοποίηση ιατρικών πληροφοριών στους ασθενείς, να παρέχει στους ασθενείς πρόσβαση στους ιατρικούς φακέλους τους χωρίς καθυστέρηση μετά από αίτημα του ασθενούς και σε ορισμένες συμπληρωματικές επεξηγηματικές πληροφορίες- και

γ) να διορθώνει αμέσως τυχόν λανθασμένα ή ανακριβή προσωπικά δεδομένα ασθενών.

• Ανακοίνωση για την ενημέρωση των ασθενών

Κάθε υπεύθυνος επεξεργασίας δεδομένων παρέχει σε κάθε πρόσωπο που επιθυμεί να λάβει υπηρεσίες υγειονομικής περίθαλψης από τον εν λόγω υπεύθυνο επεξεργασίας δεδομένων γραπτή ειδοποίηση στην εθνική γλώσσα του υπεύθυνου επεξεργασίας δεδομένων πριν το εν λόγω πρόσωπο λάβει υπηρεσίες υγειονομικής περίθαλψης. Η ειδοποίηση περιλαμβάνει τα ακόλουθα στοιχεία:

α) την πλήρη επωνυμία, τη διεύθυνση, το τηλέφωνο και τον αριθμό οργανισμού του υπευθύνου επεξεργασίας δεδομένων που θα επεξεργάζεται τα προσωπικά δεδομένα του ασθενούς,

β) πληροφορίες ότι τα δεδομένα προσωπικού χαρακτήρα του ασθενούς που περιλαμβάνονται στο κλινικό σύστημα θα χρησιμοποιηθούν και θα υποβληθούν σε επεξεργασία μόνο όπως απαιτείται για τους σκοπούς της προληπτικής ιατρικής, της παροχής φροντίδας ή θεραπείας ή της διαχείρισης και αυτοματοποιημένης διαχείρισης των υπηρεσιών υγειονομικής περίθαλψης,

γ) πληροφορίες ότι η κλινική του ασθενούς δεν διαθέτει δική της ικανότητα πληροφορικής και ότι οι εκτελούντες την επεξεργασία δεδομένων έχουν ως εκ τούτου προσληφθεί για να λειτουργούν και να υποστηρίζουν συστήματα πληροφορικής για λογαριασμό της κλινικής,

δ) Διεύθυνση του Υπευθύνου Επεξεργασίας:

Diaverum AB
Hyllie Boulevard 53

SE-215 37 Malmö
Sweden

Η Diaverum AB, συμπεριλαμβανομένων των υπεργολάβων της, συμμετέχει στην υποστήριξη, συντήρηση και ανάπτυξη λογισμικού, υλικού, δικτύου, εφεδρικών αντιγράφων ασφαλείας και οργανωτικών και φυσικών δικλείδων ασφαλείας για το σύνολο των υπηρεσιών ΙΤ, συμπεριλαμβανομένων των iRIMS/d.CARE και PQ Tools.

(ε) πληροφορίες όπως:

1. i. ο Υπεύθυνος Επεξεργασίας Δεδομένων θα παραμείνει υπεύθυνος για τις υπηρεσίες των Εκτελούντων την Επεξεργασία Δεδομένων και, ιδίως, θα διασφαλίζει ότι οι Εκτελούντες την Επεξεργασία Δεδομένων συμμορφώνονται με τη νομοθεσία περί προστασίας δεδομένων της δικαιοδοσίας του ασθενούς- και
2. ii. ο Υπεύθυνος Επεξεργασίας Δεδομένων θα συνδράμει σε οποιαδήποτε ερωτήματα σχετικά με τις ενέργειες των Εκτελούντων την Επεξεργασία Δεδομένων,

 (στ) πληροφορίες ότι τα προσωπικά δεδομένα του ασθενούς που περιλαμβάνονται στα κλινικά συστήματα θα τυγχάνουν εμπιστευτικής μεταχείρισης και θα διαβιβάζονται ή θα κοινοποιούνται μόνο:

1. i. στον ιατρό που παρέπεμψε τον ασθενή για θεραπεία ή σε οποιονδήποτε άλλο ιατρό για σκοπούς ιατρικής διαβούλευσης,
2. ii. σε ορισμένο εξειδικευμένο προσωπικό πληροφορικής της Diaverum AB υπό τους όρους που περιγράφονται ανωτέρω,

• iii. στον πληρωτή της κλινικής, όπως απαιτείται για να μπορέσει η κλινική να λάβει πληρωμή για τη θεραπεία,

1. iv. στο εργαστήριο που χρησιμοποιεί η κλινική, όπως απαιτείται για τη λήψη αποτελεσμάτων εργαστηριακών εξετάσεων- και
2. v. στο ιατρικό ίδρυμα υποδοχής, σε περίπτωση που ο ασθενής πρόκειται να μεταφερθεί ή να λάβει θεραπεία σε άλλο ιατρικό ίδρυμα,

(ζ) πληροφορίες ότι τα δημογραφικά και ιατρικά δεδομένα του ασθενούς θα χρησιμοποιηθούν από ορισμένο εξειδικευμένο προσωπικό των υπευθύνων επεξεργασίας δεδομένων για σκοπούς αποτελεσμάτων στην προσπάθεια των υπευθύνων επεξεργασίας δεδομένων να βελτιώσουν την ποιότητα της περίθαλψης των ασθενών που λαμβάνουν θεραπεία στις κλινικές των υπευθύνων επεξεργασίας δεδομένων, υπό την προϋπόθεση ότι το εν λόγω προσωπικό δεν θα έχει πρόσβαση στο όνομα, τη διεύθυνση, τον αριθμό ταυτότητας του ασθενούς ή σε οποιαδήποτε άλλη πληροφορία μέσω της οποίας ο ασθενής μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα,

(η) ενημέρωση ότι ο ασθενής έχει δικαίωμα πρόσβασης στα προσωπικά του δεδομένα και διόρθωσης τυχόν εσφαλμένων ή ανακριβών δεδομένων,

(θ) πληροφορίες ότι η παρούσα Πολιτική είναι διαθέσιμη στην κλινική του ασθενούς στην παρούσα έκδοση στην αγγλική γλώσσα και σε μεταφρασμένη έκδοση (στην εθνική γλώσσα της κλινικής) και ότι ο ασθενής μπορεί να λάβει αντίγραφο αυτής,

(ι) πληροφορίες (όνομα και διεύθυνση) για το με ποιον πρέπει να επικοινωνήσει με οποιοδήποτε αίτημα για πρόσβαση στα προσωπικά δεδομένα του ασθενούς και για διόρθωση εσφαλμένων ή ανακριβών δεδομένων- και

(ια) πληροφορίες (όνομα και διεύθυνση) για το με ποιον πρέπει να επικοινωνήσει για τυχόν ερωτήσεις ή παράπονα σχετικά με την επεξεργασία των προσωπικών δεδομένων του ασθενούς.

• Δικαίωμα πρόσβασης του ασθενούς στα προσωπικά δεδομένα

Με την επιφύλαξη τυχόν νόμων που περιορίζουν την πρόσβαση σε ιατρικές πληροφορίες, προκειμένου να παρέχεται στους ασθενείς δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα και να επαληθεύεται η ακρίβεια των δεδομένων, κάθε υπεύθυνος επεξεργασίας δεδομένων εξασφαλίζει ότι οι ασθενείς του ή οι νόμιμοι εκπρόσωποί τους έχουν το δικαίωμα να λαμβάνουν, δωρεάν, το συντομότερο δυνατό μετά από αίτηση, επικαιροποιημένο αντίγραφο της ειδοποίησης ενημέρωσης των ασθενών, με τη μορφή και την ουσία που περιγράφεται στην παράγραφο 3.2.1 ανωτέρω, μαζί με αντίγραφο των πληροφοριών που τηρούνται στα ιατρικά αρχεία του ασθενούς ή πρόσβαση σε αυτά. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων λαμβάνουν τα κατάλληλα μέτρα για τον έλεγχο της ταυτότητας οποιουδήποτε προσώπου ζητά πρόσβαση στα προσωπικά του δεδομένα, ώστε να ελαχιστοποιείται ο κίνδυνος αποκάλυψης των προσωπικών δεδομένων του ασθενούς σε κάποιον άλλον πλην του ασθενούς ή του νόμιμου εκπροσώπου του.

• Υπόδειγμα εντύπου ειδοποίησης

Κάθε υπεύθυνος επεξεργασίας δεδομένων συντάσσει υπόδειγμα εντύπου ειδοποίησης για την ενημέρωση των ασθενών που απαιτείται για τη συμμόρφωση με την παράγραφο 3.2.1 ανωτέρω.

• Πρόσωπα επικοινωνίες

Κάθε υπεύθυνος επεξεργασίας δεδομένων ορίζει ένα πρόσωπο που χειρίζεται τα αιτήματα των ασθενών για πρόσβαση ή διόρθωση των προσωπικών τους δεδομένων.

Οι Υπεύθυνοι Προστασίας Δεδομένων των Υπευθύνων Επεξεργασίας είναι υπεύθυνοι για το χειρισμό ερωτημάτων ή καταγγελιών σχετικά με την επεξεργασία των προσωπικών δεδομένων των ασθενών.

• Διόρθωση

Κάθε Υπεύθυνος Επεξεργασίας Δεδομένων λαμβάνει όλες τις κατάλληλες προφυλάξεις για να διασφαλίσει ότι οποιαδήποτε Προσωπικά Δεδομένα Ασθενών που έχουν εισαχθεί στα Κλινικά Συστήματα, τα οποία διαπιστώνονται ότι είναι εσφαλμένα ή ανακριβή, διορθώνονται αμέσως μετά την ανακάλυψη ή την ειδοποίηση από τον ασθενή. Εάν διαπιστωθεί ότι έχουν συλλεχθεί Προσωπικά Δεδομένα Ασθενών, τα οποία δεν απαιτούνται για τους σκοπούς της παροχής Υπηρεσιών Υγείας, τότε τα δεδομένα αυτά διαγράφονται από τα Κλινικά Συστήματα και δεν υποβάλλονται σε περαιτέρω επεξεργασία.

• ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων είναι υπεύθυνοι για την εμπιστευτική μεταχείριση των Προσωπικών Δεδομένων Ασθενών.

• Επαγγελματίες υγείας

Σε περίπτωση που οποιοσδήποτε επαγγελματίας υγείας που εκτελεί υπηρεσίες υγειονομικής περίθαλψης δεν υπόκειται σε νομική υποχρέωση εμπιστευτικότητας σύμφωνα με την ισχύουσα νομοθεσία, το εν λόγω πρόσωπο συνάπτει συμφωνία εμπιστευτικότητας με τον Υπεύθυνο Επεξεργασίας Δεδομένων.

• Μη επαγγελματίες υγείας

Κάθε υπεύθυνος επεξεργασίας δεδομένων διασφαλίζει ότι όλοι οι μη επαγγελματίες υγείας που είναι εξουσιοδοτημένοι χρήστες συνάπτουν συμφωνίες εμπιστευτικότητας με τον υπεύθυνο επεξεργασίας δεδομένων.

• Επεξεργαστές δεδομένων

Οι εκτελούντες την επεξεργασία δεδομένων διασφαλίζουν ότι όλοι οι υπάλληλοι που ορίζονται από αυτούς για την εκτέλεση των υπηρεσιών ΙΤ και όλοι οι εργολάβοι και το προσωπικό τους που συμμετέχουν στην εκτέλεση των υπηρεσιών ΙΤ συνάπτουν συμφωνίες εμπιστευτικότητας.

• Μορφή της συμφωνίας

Οι συμφωνίες εμπιστευτικότητας που αναφέρονται στις προηγούμενες παραγράφους συνάπτονται μεταξύ των υπευθύνων επεξεργασίας δεδομένων ή των εκτελούντων την επεξεργασία δεδομένων, ανάλογα με την περίπτωση, και του ενδιαφερόμενου φυσικού προσώπου ή αναδόχου και του προσωπικού του και είναι σύμφωνες ή ουσιαστικά σύμφωνες με το τυποποιημένο έντυπο για τον όμιλο Diaverum.

• ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Αποτελεί πολιτική των Υπευθύνων Επεξεργασίας Δεδομένων να προστατεύουν τα Προσωπικά Δεδομένα Ασθενών από:

α) τυχαία ή παράνομη καταστροφή,

β) τυχαία απώλεια ή αλλοίωση,

γ) μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση,

δ) οποιαδήποτε άλλη παράνομη μορφή επεξεργασίας.

• Διαχείριση

Οι εκτελούντες την επεξεργασία δεδομένων είναι υπεύθυνοι για τη διαχείριση και τη διοίκηση των διαδικασιών ασφαλείας που περιγράφονται ή αναφέρονται στις παραγράφους 3.4.2-3.4.12. Κάθε υπεύθυνος επεξεργασίας δεδομένων συμμορφώνεται με τις διαδικασίες της παραγράφου 3.4.13. Οι Εκτελούντες την Επεξεργασία Δεδομένων και κάθε Υπεύθυνος Επεξεργασίας Δεδομένων, ανάλογα με την περίπτωση, επανεξετάζουν κατά διαστήματα τις διαδικασίες ασφαλείας που περιγράφονται κατωτέρω, ώστε να διασφαλίζεται ότι, λαμβάνοντας υπόψη την ευαίσθητη φύση των προς προστασία δεδομένων, την εξέλιξη της τεχνολογίας και το κόστος εφαρμογής των μέτρων ασφαλείας, τα μέτρα εξασφαλίζουν επίπεδο ασφαλείας κατάλληλο για τους κινδύνους που αντιπροσωπεύει η επεξεργασία των Προσωπικών Δεδομένων Ασθενών.

• iRIMS/d.CARE

Επειδή το iRIMS/d.CARE παρέχει πρόσβαση σε Προσωπικά Δεδομένα Ασθενών, οι Εκτελούντες την Επεξεργασία Δεδομένων, προκειμένου να τεθεί σε εφαρμογή η παράγραφος 3.2.1, σχεδιάζουν, εγκαθιστούν και λειτουργούν το iRIMS/d.CARE έτσι ώστε:

α) κανένας χρήστης αναλυτής δεν μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα ασθενών στο iRIMS/d.CARE,

β) κανένας Εξουσιοδοτημένος Χρήστης σε κλινική αιμοκάθαρσης ενός Υπεύθυνου Επεξεργασίας Δεδομένων δεν μπορεί να έχει πρόσβαση στο iRIMS/d.CARE όσον αφορά τα Προσωπικά Δεδομένα Ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν υπηρεσίες υγειονομικής περίθαλψης σε οποιαδήποτε άλλη κλινική, εκτός εάν υπάρχει ειδική εξουσιοδότηση για πολλαπλές κλινικές,

γ) κανένας Ιατρικός Διευθυντής Χώρας δεν μπορεί να έχει πρόσβαση στο iRIMS/d.CARE όσον αφορά τα Προσωπικά Δεδομένα Ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν Υπηρεσίες Υγείας σε χώρα για την οποία δεν έχει διοριστεί- και

δ) χρησιμοποιούνται κατάλληλα μέσα ελέγχου ταυτότητας ή ταυτοποίησης, τα οποία απαιτούν από τους εξουσιοδοτημένους χρήστες να παρέχουν ειδικά ονόματα σύνδεσης και κωδικούς πρόσβασης για την πρόσβαση στο iRIMS/d.CARE.

ε) Τα ιατρικά αρχεία πρέπει να είναι σχεδιασμένα ώστε να επιτρέπουν το διαχωρισμό των δεδομένων ανάλογα με τη φύση τους (αναγνωριστικά, διοικητικά δεδομένα, ιατρικά δεδομένα και δημογραφικά δεδομένα), με λογικό τρόπο.

• PQ Tools

Οι Εκτελούντες την επεξεργασία δεδομένων σχεδιάζουν, εγκαθιστούν και λειτουργούν τα εργαλεία PQ έτσι ώστε:

α) μόνο οι Εξουσιοδοτημένοι χρήστες και κανένας χρήστης αναλυτής δεν μπορεί να έχει πρόσβαση στα Εργαλεία PQ όσον αφορά τα Προσωπικά δεδομένα ασθενών,

β) κανένας εξουσιοδοτημένος χρήστης στην κλινική αιμοκάθαρσης ενός υπεύθυνου επεξεργασίας δεδομένων δεν μπορεί να έχει πρόσβαση στα εργαλεία PQ όσον αφορά τα προσωπικά δεδομένα ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν υπηρεσίες υγειονομικής περίθαλψης σε οποιαδήποτε άλλη κλινική- και

γ) κανένας Ιατρικός Διευθυντής Χώρας δεν μπορεί να έχει πρόσβαση στα Εργαλεία PQ όσον αφορά τα Δεδομένα Προσωπικού Χαρακτήρα Ασθενών που αφορούν ασθενείς οι οποίοι λαμβάνουν Υπηρεσίες Υγείας σε χώρα για την οποία δεν έχει διοριστεί.

• Χρήση του Διαδικτύου

Με την επιφύλαξη των διατάξεων της παρούσας παραγράφου 3.4.5, οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων μπορούν να χρησιμοποιούν το Διαδίκτυο για την κοινοποίηση Προσωπικών Δεδομένων Ασθενών από τους Υπεύθυνους Επεξεργασίας Δεδομένων στους Εκτελούντες την Επεξεργασία Δεδομένων και από τους Εκτελούντες την Επεξεργασία Δεδομένων στους Υπεύθυνους Επεξεργασίας Δεδομένων. Οι Εκτελούντες την Επεξεργασία Δεδομένων σχεδιάζουν, εγκαθιστούν και λειτουργούν τα κλινικά συστήματα έτσι ώστε τα Προσωπικά Δεδομένα Ασθενών να διαβιβάζονται μόνο σε κρυπτογραφημένη μορφή και με τη χρήση κατάλληλων μέσων πιστοποίησης ταυτότητας. Τα τοπικά δίκτυα (LAN) που χρησιμοποιούνται από τους υπευθύνους επεξεργασίας δεδομένων και τους εκτελούντες την επεξεργασία δεδομένων προστατεύονται από τείχη προστασίας.

Οι εκτελούντες την επεξεργασία δεδομένων χρησιμοποιούν το πρωτόκολλο κρυπτογράφησης Secure Sockets Layer, το οποίο διατηρεί μυστικά τα δεδομένα που μεταδίδονται με τη χρήση ενός ζεύγους ασύμμετρων κλειδιών για την κρυπτογράφηση και αποκρυπτογράφηση των πάντων, από την πιστοποίηση ταυτότητας, την ψηφιακή υπογραφή, έως τη δυνατότητα αποστολής κρυπτογραφημένων πληροφοριών που μόνο ο προοριζόμενος παραλήπτης μπορεί να αποκωδικοποιήσει. Ο διακομιστής διαδικτύου των εκτελούντων την επεξεργασία δεδομένων πρέπει να μπορεί να επεξεργάζεται κρυπτογραφημένα δεδομένα. Για την πιστοποίηση της ταυτότητας των εξουσιοδοτημένων χρηστών, οι Εκτελούντες την Επεξεργασία Δεδομένων εγγράφονται στις υπηρεσίες μιας αρχής πιστοποίησης, όπως η VeriSign, για να αποκτήσουν ένα επίσημο πιστοποιητικό με βάση την Αρχή Πιστοποίησης, το οποίο επιτρέπει στους Εκτελούντες την Επεξεργασία Δεδομένων να πραγματοποιούν ασφαλείς επικοινωνίες μεταξύ εξουσιοδοτημένων χρηστών προσωπικών δεδομένων ασθενών.

• Χρήση του Intranet

Οι Εκτελούντες την επεξεργασία δεδομένων ενδέχεται επίσης να λειτουργούν εσωτερικό δίκτυο το οποίο είναι ιδιωτικό και δεν είναι προσβάσιμο από μη εξουσιοδοτημένους χρήστες. Η πρόσβαση σε αυτό το δίκτυο από το Διαδίκτυο ελέγχεται από υλικό ή/και λογισμικό γνωστό ως Εικονικό Ιδιωτικό Δίκτυο (VPN), συμπεριλαμβανομένου του ελέγχου ταυτότητας δύο παραγόντων, ο οποίος εκτελεί την κρυπτογράφηση που απαιτείται για την προστασία των Προσωπικών Δεδομένων Ασθενών από την πρόσβαση μη εξουσιοδοτημένων χρηστών.

• Φυσικές διασφαλίσεις

Οι Εκτελούντες την επεξεργασία δεδομένων λαμβάνουν όλα τα κατάλληλα μέτρα κατά της μη εξουσιοδοτημένης πρόσβασης ή ζημίας σε χώρους όπου εκτελούνται εργασίες που σχετίζονται με τις Υπηρεσίες ΙΤ και βρίσκεται ο εξοπλισμός που χρησιμοποιείται για την εκτέλεση των Υπηρεσιών ΙΤ (ο «Χώρος Υπηρεσιών ΙΤ»), συμπεριλαμβανομένων των εξής:

α) ο χώρος υπηρεσιών ΙΤ πρέπει να διαχωρίζεται από άλλους χώρους,

β) ο διακομιστής ιστού και ο διακομιστής βάσεων δεδομένων που χρησιμοποιούνται στις υπηρεσίες ΙΤ βρίσκονται στον χώρο υπηρεσιών ΙΤ,

γ) κατάλληλα συστήματα κλειδώματος και κωδικοποίησης πρόσβασης διασφαλίζουν ότι μόνο οι εξουσιοδοτημένοι χρήστες των εκτελούντων την επεξεργασία δεδομένων μπορούν να έχουν πρόσβαση στην περιοχή υπηρεσιών ΙΤ,

δ) ο χώρος υπηρεσιών ΙΤ πρέπει να είναι εξοπλισμένος με τοίχους πυρασφάλειας και κατάλληλες συσκευές πυρόσβεσης και συστήματα συναγερμού για κινδύνους καπνού, πυρκαγιάς, πλημμύρας και διάρρηξης,

ε) οι χώροι υπηρεσιών ΙΤ πρέπει να είναι εξοπλισμένοι με επαρκή συστήματα ψύξης,

στ) τα εφεδρικά συστήματα παροχής ηλεκτρικής ενέργειας πρέπει να εξασφαλίζουν την αδιάλειπτη παροχή ηλεκτρικής ενέργειας στον χώρο υπηρεσιών ΙΤ,

ζ) τα παράθυρα του χώρου υπηρεσιών πληροφορικής πρέπει να είναι προστατευμένα με πλέγμα

• Απώλεια δεδομένων

Οι Εκτελούντες την Επεξεργασία Δεδομένων λαμβάνουν επαρκείς προφυλάξεις για τη διατήρηση της ακεραιότητας των Προσωπικών Δεδομένων Ασθενών και την αποτροπή οποιασδήποτε αλλοίωσης ή απώλειας Προσωπικών Δεδομένων Ασθενών, συμπεριλαμβανομένων κατάλληλων ρυθμίσεων ανάκτησης.

• Παραβιάσεις ασφαλείας

Οποιαδήποτε σοβαρή παραβίαση της ασφάλειας που σχετίζεται με προσωπικά δεδομένα ασθενών πρέπει να αντιμετωπίζεται σύμφωνα με τις οδηγίες που δίνονται στην «Πολιτική διαχείρισης παραβίασης προσωπικών δεδομένων» μαζί με τυχόν σχετικές κλινικές πολιτικές και διαδικασίες.

• Δοκιμή

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία εκτελούν σε τακτική βάση δοκιμές για να επαληθεύουν τη συμμόρφωση με τις διαδικασίες ασφαλείας που ορίζονται στο τμήμα 3.4.13.

• Απόρρητο

Κάθε εξουσιοδοτημένος χρήστης λαμβάνει οδηγίες από τους εκτελούντες την επεξεργασία δεδομένων ότι τα ονόματα σύνδεσης, οι κωδικοί πρόσβασης και άλλα μέσα ελέγχου ταυτότητας πρέπει να τηρούνται εμπιστευτικά και ότι ο εξουσιοδοτημένος χρήστης πρέπει να λαμβάνει όλες τις εύλογες προφυλάξεις για να αποτρέψει την αποκάλυψή τους σε οποιοδήποτε άλλο πρόσωπο.

Χρήση εργολάβων

Κάθε φορά που ένας Εκτελών την Επεξεργασία Δεδομένων επιθυμεί να διορίσει ένα τρίτο μέρος για να εκτελέσει εργασίες γι' αυτόν σχετικά με τις Υπηρεσίες ΙΤ και η ανάθεση απαιτεί την επεξεργασία Προσωπικών Δεδομένων Ασθενών, οφείλει:

α) να ελέγξει πρώτα ότι ο τρίτος παρέχει επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφαλείας που θα διέπουν την επεξεργασία,

β) θέτει σε εφαρμογή γραπτή σύμβαση με το τρίτο μέρος η οποία (1) προβλέπει ότι οποιαδήποτε επεξεργασία των Προσωπικών Δεδομένων Ασθενών από το τρίτο μέρος θα γίνεται για λογαριασμό του Εκτελούντος την Επεξεργασία και σύμφωνα με τις οδηγίες του Εκτελούντος την Επεξεργασία, (2) υποχρεώνει το τρίτο μέρος να συμμορφώνεται με την παρούσα Πολιτική, με οποιεσδήποτε διατάξεις των Νόμων που ισχύουν για το τρίτο μέρος και με τις πρόσθετες διατάξεις που μπορεί να απαιτηθούν από τον Κεντρικό Υπεύθυνο Προστασίας Δεδομένων και (3) περιέχει κατάλληλες διατάξεις εμπιστευτικότητας ουσιαστικά σύμφωνα με το συνημμένο παράρτημα του παρόντος- και

γ) παρακολουθεί τη συμμόρφωση του τρίτου μέρους με τις εν λόγω υποχρεώσεις ασφαλείας.

• Ασφάλεια των υπευθύνων επεξεργασίας δεδομένων

α) Κάθε υπεύθυνος επεξεργασίας δεδομένων επανεξετάζει τις ρυθμίσεις φυσικής και οργανωτικής ασφάλειας που εφαρμόζονται οπουδήποτε γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών, είτε σε υπολογιστή είτε χειροκίνητα, και σχεδιάζει και εφαρμόζει διαδικασίες φυσικής και οργανωτικής ασφάλειας που προσφέρουν επαρκή προστασία για τα δεδομένα προσωπικού χαρακτήρα ασθενών σύμφωνα με τις απαιτήσεις της ισχύουσας νομοθεσίας.

β) Κάθε Υπεύθυνος Επεξεργασίας Δεδομένων ρυθμίζει κάθε Κλινικό Σύστημα που χρησιμοποιεί, έτσι ώστε η πρόσβαση ασφαλείας σε ευαίσθητα προσωπικά δεδομένα να ελέγχεται με βάση τον ρόλο εργασίας και τις νόμιμες επιχειρηματικές ανάγκες και ανάλογα με την ευαισθησία και τον κίνδυνο. Η παροχή φυσικών ή λογικών δικαιωμάτων πρόσβασης πρέπει έτσι να αντανακλά την ανάγκη λογικού διαχωρισμού μεταξύ δεδομένων που αφορούν την υγεία και άλλων προσωπικών δεδομένων. Θα πρέπει να τηρούνται αρχεία καταγραφής για να τεκμηριώνεται ποιος έχει λάβει φυσική ή λογική πρόσβαση σε ευαίσθητα δεδομένα προσωπικού χαρακτήρα και πότε εγκρίθηκε η πρόσβαση. Τα αρχεία καταγραφής θα πρέπει να παρακολουθούνται και να ελέγχονται τακτικά, ώστε να διασφαλίζεται ότι όσοι έχουν φυσική ή λογική πρόσβαση σε ευαίσθητα δεδομένα προσωπικού χαρακτήρα διαθέτουν εξουσιοδότηση και έχουν νόμιμη επιχειρηματική ανάγκη.

γ) Κάθε Υπεύθυνος Επεξεργασίας Δεδομένων τηρεί αρχείο καταγραφής της επεξεργασίας των Προσωπικών Δεδομένων Ασθενών. Το ημερολόγιο προσδιορίζει τους εκάστοτε εξουσιοδοτημένους χρήστες και τους περιορισμούς (εάν υπάρχουν) όσον αφορά την πρόσβαση, την προβολή και την επεξεργασία των Προσωπικών Δεδομένων Ασθενών κάθε εξουσιοδοτημένου χρήστη. Το ημερολόγιο προσδιορίζει τα ονόματα των εξουσιοδοτημένων χρηστών που έχουν, κατά καιρούς, το δικαίωμα να διατάσσουν και/ή να προβαίνουν σε καταχωρίσεις προσωπικών δεδομένων ασθενών σε οποιοδήποτε κλινικό σύστημα και σε αλλαγές, διαγραφή ή αντιγραφή των δεδομένων αυτών.

δ) Κάθε Υπεύθυνος Επεξεργασίας Δεδομένων ρυθμίζει κάθε Κλινικό Σύστημα που χρησιμοποιεί, έτσι ώστε το Κλινικό Σύστημα, με χρονολογική σειρά, να παρέχει πληροφορίες για το χρόνο καταχώρησης των Προσωπικών Δεδομένων Ασθενών για κάθε ασθενή και για κάθε φορά που οποιαδήποτε Προσωπικά Δεδομένα Ασθενών έχουν αλλάξει, διαγραφεί ή αντιγραφεί. Το Κλινικό Σύστημα πρέπει επίσης να αναφέρει το όνομα του εξουσιοδοτημένου χρήστη που διέταξε και/ή πραγματοποίησε την καταχώρηση, αλλαγή, διαγραφή ή αντιγραφή.

• ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ, ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΊΑΣ ΔΕΔΟΜΕΝΩΝ ΚΕΝΤΡΙΚΩΝ ΚΑΙ ΚΟΙΝΟΠΟΙΗΣΗ ΣΤΙΣ ΕΠΟΠΤΙΚΕΣ ΑΡΧΕΣ

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων είναι υπεύθυνοι για τον ορισμό Υπεύθυνων Προστασίας Δεδομένων που θα βοηθήσουν στη συμμόρφωση με την παρούσα πολιτική.

Η πολιτική των Υπευθύνων Επεξεργασίας Δεδομένων είναι να δίνουν εντολή σε κάθε Εκτελούντα την Επεξεργασία Δεδομένων να διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων για να βοηθήσει στη συμμόρφωση με την παρούσα πολιτική.

• Συνάντηση

Οι Υπεύθυνοι Επεξεργασίας Δεδομένων διορίζουν έναν Υπεύθυνο Προστασίας Δεδομένων για κάθε χώρα, ανεξάρτητα από το αν η έννοια αυτή έχει υιοθετηθεί ή όχι στην ισχύουσα νομοθεσία. Η Diaverum AB διορίζει έναν κεντρικό υπεύθυνο προστασίας δεδομένων για την εποπτεία και την υποστήριξη των υπευθύνων προστασίας δεδομένων. Οι Υπεύθυνοι Προστασίας Δεδομένων πρέπει να είναι σε θέση να εκτελούν, με ανεξάρτητο τρόπο, τα καθήκοντα που ορίζονται στην παράγραφο 3.5.3 κατωτέρω.

• Ενημέρωση

Κάθε υπεύθυνος επεξεργασίας δεδομένων ενημερώνει την αρμόδια εποπτική αρχή για τον διορισμό υπευθύνου προστασίας δεδομένων (εκτός εάν η έννοια του υπευθύνου προστασίας δεδομένων δεν έχει υιοθετηθεί από την ισχύουσα νομοθεσία). Εάν και στο βαθμό που απαιτείται από το εφαρμοστέο δίκαιο, ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει επίσης την εποπτική αρχή για την επεξεργασία προσωπικών δεδομένων ασθενών από τον ίδιο και τον εκτελούντα την επεξεργασία.

• Καθήκοντα

Οι υπεύθυνοι προστασίας δεδομένων εκτελούν τα ακόλουθα καθήκοντα:

α) Διασφάλιση ότι η επεξεργασία των Προσωπικών Δεδομένων Ασθενών πραγματοποιείται σύμφωνα με την ισχύουσα νομοθεσία, τα επαγγελματικά πρότυπα και την παρούσα πολιτική.

β) Τα καθήκοντα που περιγράφονται στις παραγράφους 3.2.4 (σχετικά με τα πρόσωπα επικοινωνίας), 3.6 (σχετικά με τον έλεγχο και την εκπαίδευση) και 3.7 (σχετικά με την εφαρμογή) της παρούσας.

γ) Τήρηση της παρούσας Πολιτικής ως μέρος του μητρώου δραστηριοτήτων επεξεργασίας που απαιτείται σύμφωνα με την ισχύουσα νομοθεσία για την εφαρμογή του άρθρου 30 του ΓΚΠΔ.

δ) Χειρισμός των παραπόνων των ασθενών σχετικά με την επεξεργασία των προσωπικών δεδομένων των ασθενών.

ε) Γνωστοποίηση στην αρμόδια εποπτική αρχή σε περίπτωση που οι Υπεύθυνοι Επεξεργασίας Δεδομένων ή οι Εκτελούντες την Επεξεργασία Δεδομένων επεξεργάζονται Δεδομένα Προσωπικού Χαρακτήρα Ασθενών κατά παράβαση των εφαρμοστέων Νόμων και έχουν παραλείψει ή αμελήσει να λάβουν διορθωτικά μέτρα μετά από ειδοποίηση του Υπεύθυνου Προστασίας Δεδομένων για την εν λόγω παραβατική επεξεργασία.

• ΕΛΕΓΧΟΣ ΚΑΙ ΕΚΠΑΙΔΕΥΣΗ

Είναι ευθύνη των Υπευθύνων Επεξεργασίας Δεδομένων:

α) να διενεργεί τακτικούς ελέγχους της επεξεργασίας των Προσωπικών Δεδομένων Ασθενών,

β) να εκπαιδεύει και να εκπαιδεύει, ή να διαθέτει υλικό για εκπαίδευση από κάθε κλινική ή ομάδα κλινικών, όλους τους εξουσιοδοτημένους χρήστες στην επεξεργασία των προσωπικών δεδομένων ασθενών.

• Έλεγχοι

Οι Υπεύθυνοι Προστασίας Δεδομένων διενεργούν ετήσιους ελέγχους της επεξεργασίας των Προσωπικών Δεδομένων Ασθενών από τους Υπεύθυνους Επεξεργασίας. Οι κεντρικοί υπεύθυνοι προστασίας δεδομένων διενεργούν ετήσιους ελέγχους της επεξεργασίας των προσωπικών δεδομένων ασθενών από τους εκτελούντες την επεξεργασία δεδομένων σε σχέση με τις υπηρεσίες ΙΤ. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων παρέχουν στους Υπεύθυνους Προστασίας Δεδομένων και οι Εκτελούντες την Επεξεργασία Δεδομένων παρέχουν στους Κεντρικούς Υπεύθυνους Προστασίας Δεδομένων το δικαίωμα πρόσβασης σε όλες τις εγκαταστάσεις, τα βιβλία, τα αρχεία (σε ηλεκτρονική και έντυπη μορφή) και το προσωπικό, όπως εύλογα απαιτείται για τον έλεγχο της συμμόρφωσης με τους ισχύοντες Νόμους, τα επαγγελματικά πρότυπα και την παρούσα πολιτική.

• Εκπαίδευση

Οι υπεύθυνοι προστασίας δεδομένων και οι κεντρικοί υπεύθυνοι προστασίας δεδομένων παρέχουν εκπαίδευση ή καθιστούν διαθέσιμο υλικό για εκπαίδευση από κάθε κλινική ή ομάδα κλινικών σε κάθε εξουσιοδοτημένο χρήστη. Η εκπαίδευση εξηγεί την παρούσα Πολιτική και τον τρόπο με τον οποίο πρέπει να πραγματοποιείται η επεξεργασία των προσωπικών δεδομένων των ασθενών προκειμένου να συμμορφώνεται με την παρούσα Πολιτική, τους ισχύοντες Νόμους και τα επαγγελματικά πρότυπα. Περαιτέρω, η εκπαίδευση εξηγεί τις υποχρεώσεις εμπιστευτικότητας που ισχύουν για κάθε εξουσιοδοτημένο χρήστη, είτε βάσει νόμου είτε βάσει σύμβασης. Οι νέοι εξουσιοδοτημένοι χρήστες λαμβάνουν την εκπαίδευση που περιγράφεται ανωτέρω εντός 30 ημερών από την ανάληψη της ιδιότητας του εξουσιοδοτημένου χρήστη. Μετά την αρχική εκπαίδευση που περιγράφεται ανωτέρω, κάθε εξουσιοδοτημένος χρήστης λαμβάνει (επαν)εκπαίδευση τουλάχιστον ετησίως.

• Αναφορές

Εντός 30 ημερών από το τέλος κάθε έτους, κάθε υπεύθυνος προστασίας δεδομένων υποβάλλει στον κεντρικό υπεύθυνο προστασίας δεδομένων έκθεση σχετικά με τον έλεγχο και την κατάρτιση που παρείχε κατά τη διάρκεια του εν λόγω έτους. Η έκθεση:

α) περιγράφει την κατάσταση της συμμόρφωσης του Υπεύθυνου Επεξεργασίας Δεδομένων και του Εκτελούντος την Επεξεργασία Δεδομένων με τους ισχύοντες Νόμους, τα Επαγγελματικά Πρότυπα και την παρούσα Πολιτική,

β) περιγράφει τυχόν διαπιστώσεις μη συμμορφούμενης επεξεργασίας των Προσωπικών Δεδομένων Ασθενών και τυχόν μέτρα που έχουν ληφθεί ή προταθεί για τη διόρθωση της εν λόγω μη συμμορφούμενης επεξεργασίας,

γ) να περιγράφει τυχόν παράπονα ασθενών σχετικά με την επεξεργασία των Προσωπικών Δεδομένων Ασθενών, καθώς και τα μέτρα που έχουν ληφθεί για την αντιμετώπιση των εν λόγω παραπόνων- και

δ) περιγράφει τις εκπαιδευτικές συνεδρίες που πραγματοποιήθηκαν κατά τη διάρκεια του έτους.

• ΕΦΑΡΜΟΓΗ

Είναι ευθύνη του Υπεύθυνου Επεξεργασίας Δεδομένων να λαμβάνει τα κατάλληλα μέτρα για την αποτελεσματική εφαρμογή της παρούσας πολιτικής.

• Εφαρμοστέοι Νόμοι

Το συντομότερο δυνατό, κάθε υπεύθυνος επεξεργασίας δεδομένων, σε συνεννόηση με νομικό σύμβουλο, καθορίζει εάν απαιτούνται αλλαγές στην παρούσα πολιτική προκειμένου να επιτευχθεί συμμόρφωση με τους νόμους που ισχύουν για τον εν λόγω υπεύθυνο επεξεργασίας δεδομένων. Οι Υπεύθυνοι Επεξεργασίας Δεδομένων ενημερώνουν τον Κεντρικό Υπεύθυνο Προστασίας Δεδομένων για τυχόν τέτοιες αλλαγές. Με την επιφύλαξη της προηγούμενης έγκρισης του Κεντρικού Υπεύθυνου Προστασίας Δεδομένων, ο Υπεύθυνος Επεξεργασίας πραγματοποιεί τις αλλαγές και η παρούσα Πολιτική, όπως τροποποιήθηκε, εφαρμόζεται στη συνέχεια στον Υπεύθυνο Επεξεργασίας και στους Εκτελούντες την Επεξεργασία Δεδομένων. Οι αλλαγές που απαιτούνται από την εθνική νομοθεσία τροποποιούνται στην Πολιτική ως παράρτημα.

• Μετάφραση

Κάθε υπεύθυνος προστασίας δεδομένων, μετά τις τροποποιήσεις που αναφέρονται στην παράγραφο 3.7.1 ανωτέρω (εάν υπάρχουν), φροντίζει για τη μετάφραση της παρούσας πολιτικής στην εθνική γλώσσα της αντίστοιχης χώρας. Επιπλέον, κάθε Υπεύθυνος Προστασίας Δεδομένων φροντίζει για την αγγλική μετάφραση τυχόν τροποποιήσεων βάσει της εθνικής νομοθεσίας που προστίθενται στην Πολιτική σύμφωνα με την παράγραφο 3.2.1. Ο Υπεύθυνος Προστασίας Δεδομένων θέτει στη διάθεση του Κεντρικού Υπεύθυνου Προστασίας Δεδομένων κάθε τέτοια μετάφραση.

• Διαθεσιμότητα

Κάθε υπεύθυνος προστασίας δεδομένων διασφαλίζει ότι η παρούσα πολιτική, στην αγγλική και στη μεταφρασμένη έκδοσή της, είναι διαθέσιμη σε κάθε κλινική.

• Αναφορά

Κάθε υπεύθυνος προστασίας δεδομένων υποβάλλει σε ετήσια βάση έκθεση σχετικά με την εφαρμογή και την εκτέλεση της παρούσας πολιτικής στον κεντρικό υπεύθυνο προστασίας δεδομένων.