La Autoridad sueca de Protección de Datos ha verificado ocho proveedores de servicios sanitarios sobre la manera en la cual gobiernan y limita el acceso del personal a los principales sistemas de historiales médicos electrónicos. La autoridad de protección de datos ha descubierto que en siete de los ochos casos llevan a sanciones administrativas hasta 30 millones de SEK.
La autoridad sueca de protección de datos ha ahora concluso una revisión de ocho proveedores de asistencia sanitaria. Lo que ha sido examinado en primer lugar es si los proveedores de asistencia sanitaria han conducido las análisis de las necesidades y de los riesgos necesarios para asignar una adecuada autorización de acceso a los datos personales en los historiales clínicos electrónicos.
Los operadores sanitarios tienen que efectuar una analisi y una evaluación profundidades de la necesidad del personal y acceder a las informaciones en los historiales médicos y de los riesgos que el acceso a los datos de los pacientes incluye, según el Swedish Patient Data Act que es complementare al GDPR.
Sin esta análisis, los operadores sanitarios no pueden asignar al personal un nivel correcto de autorización, esto significa que las organizaciones no pueden garantizar el derecho de los pacientes a la protección de privacy.
La Autoridad sueca de protección de datos rileva que siete de los proveedores de asistencia sanitaria no han efectuado una análisis de las necesidades y de los riesgos, mientras un proveedor de asistencia que, todavía, incluye algunas carencias.
La autoridad concluye que siete de los proveedores de asistencia sanitaria no limitan la autorización de acceso de los usuarios al respectivo sistema del historial clínico de los pacientes a lo estrictamente necesario para el desarrollo de sus deberes.
Esto significa que siete de los proveedores de asistencia sanitaria no han adoptado medidas adecuadas para garantizar y ser capaces de demostrar un nivel suficiente de seguridad para los datos personales en los sistemas de historiales clínicos electrónicos.
Las carencias de siete operadores sanitarios son así graves que llevan sanciones administrativas incluidas entre los 2.5 y los 30 millones de SEK. El cálculo de la suma de la sanción cambia notevolmente según de una sociedad privada o de una autoridad pública.
Para las empresas, la sanción máxima es de 20 millones de Euros o del 4% del facturado anual global de la empresa, dependiendo de cuál puede ser el valor más elevado. Para las autoridades, en Suecia la sanción máxima es de 10 millones de SEK.
La autoridad sueca de protección de datos ha desarrollado directivas que resumen las conclusiones de las auditorías para lo que concierne la obligación de conducir análisis de las necesidades y de los riesgos.
En esta guía se destaca la importancia de que los profesionales de la salud se aseguren de que se realicen análisis de necesidades y riesgos. El objetivo es ayudar a los profesionales de la salud a realizar estos análisis, que deben llevarse a cabo antes de que se conceda cualquier autorización de acceso a un sistema de registro sanitario. Esperamos que todos los profesionales de la salud del país utilicen esta guía en su trabajo para asegurarse de que la autorización se lleve a cabo correctamente, a fin de garantizar a los pacientes la protección de la privacy a la que tienen derecho.