Tudomásul kell vennünk, hogy történhetnek adatvédelmi incidensek, de kockázatukat az adatvédelmi hatásvizsgálat során kell vizsgálnunk, majd előfordulásukat minimálisra csökkentenünk. Az adatvédelmi hatásvizsgálat arra is rendkívüli segítséget ad, hogy mit és hogyan szabályozzunk a praxison belül a munkavállalókat, együttműködő partnereket illetően úgy a szerződésekben, mint a belső adatvédelmi szabályzatban.
Mi történik, ha adatvédelmi incidenst észlelünk?
Először is ne essünk pánikba! Ellenkezőleg, pontosan az előre kialakított folyamatnak - nevezhetjük riadóláncnak - megfelelően járjunk el. A hibát észrevevő kolléga értesítse a praxis meghatározott vezetőjét és a belső adatvédelmi felelőst, aki viszont azonnal kezdje meg az egyeztetést az adatvédelmi tisztviselővel.
72 óránk van rá, hogy a hatóságot, amely Magyarországon a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) értesítsük az incidensről és a hiba orvoslásáról. Amennyiben a páciens személyes adatainak biztonsága, bizalmassága sérült, őt is értesítenünk kell, és azonnal meg kell kezdenünk az egyeztetést a kártalanításról.
Bár a gyakorlatban még nem születtek a GDPR kapcsán adatvédelmi bírságok Magyarországon, május 25-e után készülhetünk rá. Ismerjük az uniós rendelet bírságtételeit, amelyek akár 20 millió eurósak is lehetnek. Az eddigi állásfoglalásokból és tájékoztatásokból kell kiindulnunk, mely szerint az adatvédelmi incidens során pozitívabb elbírálásra számíthatunk, ha megfelelő körültekintéssel adatvédelmi hatásvizsgálatot végeztünk és a hatósági vizsgálat során minden szükséges dokumentumot rendelkezésre tudunk bocsátani. Óriási munka előtt állnak a praxisok, ha szeretnének körültekintően felkészülni, így mindenképpen azt javaslom, hogy adatvédelmi szakértő és jogász segítségével tegyék ezt meg, hogy valóban biztonságban legyenek úgy ők, mint a páciensek személyes adatai - foglalja össze Straub Fanni, a praxisakademia.hu alapítója.