GDPR保護了你的隱私，但醫療機構怎麼辦？

歐盟《一般數據保護條例》（GDPR）已於2018年5月25日起正式施行，旨在加強對歐盟境內居民的個人數據和隱私保護。此外，該條例擴大的管轄權也將跨國企業納入監管框架。

各大媒體報道的側重點皆為此項條例建立的「刪除權」和「移植權」這兩項個人隱私權。前者強調個人有權要求刪除其個人數據；後者則賦予個人更輕鬆的方式訪問自己的數據，並自由從某一供應商遷移到另一供應商。

但在醫療健康領域，GDPR潛在帶來了一個新的機會 —— 重構患者與醫療機構之間的信任。

GDPR使每個個體牢牢掌握他們的數據。眾所周知，在健康方面，海量的個人數據是醫療機構更好地服務病患的前提。如今，新條例中的一個核心組成部分「重罰」，即行政處罰的力度，根據案情情況最高可罰款兩千萬歐元，或公司年營業額的4%。

那麼，讓我們來看一下，GDPR的生效在醫療健康領域中到底意味著什麼？

GDPR把數據控制權還給用戶

根據未來健康指數數據，57％的患者擁有或使用聯網護理設備來監測各種健康指標。此外，FHI研究發現，公眾在個人數據的使用上，最信任的是醫療保健行業，來自社交網路的技術越來越多地被用於提供病人護理和支持。

在患者與醫療機構的關係中，很少存在患者不提供個人信息（數據）而被服務的情況，因而，在這種「沒有選擇」的情況下，在此新條例的規定下，醫療機構需證明它們已然考慮過如何使用用戶數據並將採取恰當的保護措施。更重要的是，當個人擁有在意願發生改變的情況下，阻止機構繼續使用數據的權利，這樣建立的信任關係更牢固。

GDPR要求數據泄露必須在72小時內報告

這將推動醫療保健專業人員和組織更多關注他們所持有的數據。

醫療保健是我們生活中高度敏感和私密的領域之一。但是，測試結果通常會被廣泛分享以進行診斷，患者對如何收集這些信息，誰有權訪問以及如何存儲這些信息幾乎沒有深入的了解。

從臨床手術到專業醫療機構收集的數據來看，個人數據的足跡通常是高度分散的。GDPR的核心點之一是確保收集數據包含其目的和位置信息，以及規定「同意書」是處理個人數據的一個前提要求。EUDataProtectionLaw.com指出，對這些條件的定義是「數據主體通過申明或一個清晰的肯定動作，在知情的情況下自主、具體而明確地表明自己的意願，即表示他們同意個人相關數據被處理。」

GDPR規定的「被遺忘權」，可能成為改善診斷的障礙

人的被遺忘權可能與保留患者或居民出院或死亡後的數據的法律要求相衝突。 醫療保健專業人員經常使用Whatsapp等網路向對方發送患者數據。當這些信息通過網路傳播時，這可能意味著敏感數據在歐盟以外流轉，因而違反GDPR法規。

「對於所有醫療保健提供者來說，基於查詢的情況，去保留規定期限內的記錄是法律規定。這一切都需要密切跟蹤，以確保記錄不會過早處理。」這一點上，GDPR提供了一個框架，圍繞如何收集，使用這些數據以及在哪些情況下必須刪除這些數據。

James Flint是Hospify的CEO，該公司開發了類似Whatsapp的消息傳遞服務，使醫療團隊能夠通過基於歐盟的網路安全發送患者數據。「Hospify加密並傳送來自端到端的文本信息，然後在72小時內從伺服器中刪除該信息，因此唯一的副本只會保留在相關對話或群組人員的電話中。」

今年，歐盟衛生專員Vytenis Andriukaitis在布魯塞爾舉行的「大數據：醫療保健互聯的更好解決方案」會議上提到了促進跨境醫療保健的歐洲參考網路（ERNs）：「ERNs的成功也取決於大數據：他們編製分散的健康數據集，生成新的臨床，遺傳，行為和環境數據，並多加利用這些數據。「

醫療機構數十年來一直收集的大量數據仍然是非結構化且無法訪問的。

GDPR將為醫療行業提供巨大的機會 —— 大數據背後的理念以及如何解鎖醫療信息中的「資源」。也就是說，GDPR將成為結構化、整合數據的驅動力，可能會加速新的治療方法並加強預防措施。

然而，遠程醫療公司Now Healthcare Group的首席執行官和創始人Lee Dentith認為還有一段路要走：「GDPR的框架是為了讓用戶自行控制個人數據，但是到底怎麼做？這個法規到底將如何促進？GDPR走了很大一步，但個人控制數據真不是一件容易的事情。總之，潛力在那裡，但它的成功還有待觀察。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！