By |2022-01-22T20:32:29+00:00מרץ 31st, 2021|קטגוריות: Articles, רגולציה ורישום|


כאשר אנחנו מדברים על מידע GDPR, הכוונה היא לכל מידע פרטי אישי מזהה, בין אם מידע רגיש למשל, מידע לגבי אמונה דתית, נטיה מינית, או כל מידע פרטי אחר שיכול להשפיע על חייו של האדם באם יתגלה לאחרים ובפרט כאשר מדובר במידע רפואי לגבי מצבו הבריאותי הגופני או הנפשי של אדם, אשר חשיפה שלו עלולה להוביל לתוצאות בלתי הפיכות עבור האדם שהמידע שלו נחשף.

מידע פרטי מזהה מוגדר – PII – Personally Identifiable Information כאשר הפרט מוגדר "מושא המידע".

GDPR ופרטיות מידע - Bio Chem

מה זה GDPR?

ראשי התיבות של GDPR הן General Data Protection Regulation.

ה- GDPR הינו חוק אירופאי העוסק ברגולציה  של הגנה על מידע ופרטיות במדינות האיחוד האירופי. כמו כן, ה- GDPR גם עוסק באופן ההעברה של מידע אישי אל מחוץ למדינות האיחוד.

כאשר ארגון אוסף מידע פרטי מזהה או רפואי מזהה הוא מחויב להגן על פרטיות המידע.

מטרת ה- GDPR הנה לאפשר לאנשים בקרה על המידע האישי הקיים עליהם, ולאפשר סביבת עבודה עסקית בינלאומית פשוטה ובטוחה.

למה צריך הסמכת GDPR?

כל ארגון אשר רוצה למכור מוצריו באירופה או לאזרחי האיחוד האירופי ומצד שני כחלק מתחום עיסוקו הוא מעבד מידע פרטי מזהה או שולט בשימושי המידע הפרטי המזהה, מחויב לעמוד בדרישות הרגולציה והחוק של ה- GDPR.

לא ניתן לבצע פעילות עסקית באירופה או מול אזרחי האיחוד האירופאי, מבלי לפעול לפי חוקי ה- GDPR.

ארגון שולט במידע מול ארגון המעבד מידע

ארגון אשר שולט במידע מוגדר  PIIקונטרולר/שולט PII controller-.

כלומר ארגון  PIIקונטרולר/שולט, הוא הקובע מי יאסוף את המידע, מהיכן המידע ייאסף, מה יהיו השימושים במידע, מתי יתבצעו שימושים אלו, איך יתבצעו ועל ידי מי.

ארגון שמעבד מידע עבור מי ששולט במידע מוגדר PII פרוססור/מעבדPII processor- . זה יכול להיות ארגון שאוסף מידע, מעבד אותו, מאחסן אותו, או מבצע בו כל שימוש אחר.

דוגמא:

חברת נסיעות משתמשת בחברת פרסום  (נותן שירותים) כדי לפרסם חבילות תיור ללקוחותיה. לשם כך היא מעבירה את המידע הפרטי שאספה מלקוחותיה אל ידיה של חברת הפרסום. 

חברת הנסיעות היא זו ששולטת במידע וחברת הפרסום היא זו שמעבדת את המידע על פי הדרישות והצרכים של חברת הנסיעות.

דוגמא נוספת:

חברת טלקום – היא זו שאוספת ושולטת במידע. חברת טלקום משתמשת בספק שמספק לה שירותי מרכזיה על מנת לנהל שירות לקוחות, כלומר בקשות ו/או תלונות לקוח. שירותי המרכזייה נחשבים "מעבד".

כלומר למעשה, כל ארגון או עסק אשר יש לו נגיעה במידע פרטי אישי מזהה, בין אם שולט במידע ובין אם מעבד אותו מחויב לעמוד בדרישות מסוימות. כלומר, מחויב לשמור ולציית לחוקי הפרטיות. 

על השולט במידע מוטלות דרישות רבות ומורכבות יותר, אך ישנן גם דרישות ומוטלת אחריות גם על הארגון אשר מעבד את המידע עבור לקוח, כלומר נותן/ספק השירותים.

לקוח יכול להיות שולט במידע או יכול להיות גם ארגון אחר שמספק שירותי עיבוד לשולט במידע.

מה ההבדל בין GDPR לתקן ISO 27701?

הדרישות החוקיות של ה- GDPR הן רבות ומורכבות. ארגון  ה-ISO  פיתח את תקן 27701 והוא נחשב מקביל לGDPR-   בתחומים אותם הוא מכסה. והוא מתווה תהליכי עבודה לעמידה בדרישות ה- GDPR ועשוי לספק מענה לדרישות החוק.

דרישות ה- GDPR לארגונים המעבדים או אוספים מידע

  • הסכמי שירות עם לקוח – יש להגיע להסכמות בכתב. ההסכם יפרט את תפקיד, דרישות ואחריות הארגון בפרויקט/בעבודה השוטפת.
  • ה- GDPR דורש התייחסות לאספקטים מסוימים, למשל: כיצד דרישות האבטחה מנוהלות על ידי הארגון, איך מתנהל הארגון במקרה של פריצה, מהן הפעולות לשמירת אבטחת הפרטיות לאורך כל מחזור חיי המוצר, המערכת או התהליך, וכיצד מנוהלת ומתבצעת אבטחת "עקרון המינימום ההכרחי" גם לאחר שהמוצר או השירות יצא לשוק.
  • עיקרון המינימום ההכרחי – כלומר מינימום המידע שנדרש לצורך ביצוע התפקיד ייחשף למינימום הכרחי של מורשי גישה.
  • קביעת מטרות האירגון – המידע מעובד על ידי הארגון רק למטרה שצוינה על ידי הלקוח ולא למטרות אחרות, ובהתאם לדרישות החוזה (אותו דבר חל לגבי סאב קונטרקטור) ולדרישות החוקיות.
  • שיווק ופרסום – אין להשתמש במידע האישי המזהה למטרות שיווק ופרסום בהעדר הסכמת מושא המידע המזהה, כלומר הפרט, באופן ספציפי ופורמלי.
  • הנחיות לגבי הפרות – על הארגון להתריע בפני הלקוח אם ההנחיה שלו לגבי עיבוד המידע עלולה להפר דרישת חוק.
  • חובות הלקוח – על הלקוח, כלומר הארגון השולט במידע חלות דרישות חוקיות רבות ונוספות, דרישות כלפי מושאי מידע PII וכלפי צדדים שלישיים אחרים ונוספים.
  • לעיתים, הארגון המעבד נדרש לספק ללקוח את האינפורמציה הדרושה על מנת שיתאפשר ללקוח לציית לדרישות החלות עליו, למשל את האינפורמציה הדרושה כדי שהלקוח יבצע אודיט מטעמו או אם הארגון מאחסן מידע פרטי מזהה PII עבור הלקוח ייתכן שיהיה עליו לספק עותקים ממנו ללקוח עקב דרישת מושא המידע PII.
  • תיעוד אשר קשור לעיבוד מידע פרטי מזהה PII – הארגון צריך לשמור תיעוד על מנת להוכיח שהוא מציית לדרישות. ה- GDPR לא מציין כמה ומה בדיוק לתעד וזה נתון להחלטת הארגון. דוגמאות לתיעוד יכולות להיות למשל:  קלסיפיקציה או סיווג של סוגי העיבוד השונים אשר נעשים על ידי הארגון עבור לקוחותיו השונים. מינוי קצין פרטיות, ניהול סיכונים וכו'

שירותי היעוץ שלנו בתחום הפארמה והביוטק

מחקר ופיתוח

ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

קרא עוד

תכנון והנדסה

תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

קרא עוד

ייצור ואריזה

מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

קרא עוד

GXP, איכות וולידציה

מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

קרא עוד

רגולציה ורישום

יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

קרא עוד

תוכנה ומערכות

יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

קרא עוד

bio chem services and support

חברת ביו-כם מספקת שירותי ייעוץ בתחומים שונים לחברות מתעשיות הפארמה, המדיקל, המזון, בריאות דיגיטלית ותוספי התזונה והקוסמטיקה. אנו מייעצים ומלווים את לקוחותינו החל משלב מחקר ופיתוח המוצר, בחירת הטכנולוגיה המתאימה ביותר, בניית תיקי המוצר והתיקים הטכניים, בניית מערכת האיכות, הדרכות והסמכות עובדים, הגשה לרשויות הבריאות ורישום המוצרים, ולידציה ווריפיקציה, התאמת החברה לדרישות והנחיות GxP ואיכות בינלאומיות, פתרון בעיות טכנולוגיות ותהליכיות בייצור, ביצוע ניתוח והערכת סיכונים, ניהול פרויקטים ועוד.

לתיאום פגישת ייעוץ ללא התחייבות לחצו כאן או חייגו:

call bio-chem

051-500-1353

להשארת מייל השאירו פרטים בטופס ונחזור אליכם תוך יום עסקים

bio-chem company logo

    לפרטים נוספים






    For further details






    • פירוט העברת מידע למדינות שונות (דרישות חוקיות מקומיות שונות) יש ליידע את הלקוח על שמות ספקי המשנה ומדינות אליהן ה- PII- המידע הפרטי המזהה, יכול לעבור ואיך הארגון מוודא שספקי המשנה עומדים בדרישות. צריכה להיות התייחסות בחוזה עם הלקוח לספקי משנה.
    • תיאור כללי של הבקרות אשר הוטמעו על ידי הארגון, למען שמירה על פרטיות המידע.
    • דיווח על בקשות לחשיפת PII – ישנם מצבים שרשות חוק תדרוש חשיפה בעקבות חקירה שביצעה למשל, ויש לדווח על כך ללקוח.
    • דיווח ללקוח על זהות ספקי המשנה שלו – אם הארגון סבור כי קיים סיכון משמעותי לחשיפת מידע אצל ספק משנה ניתן לבקש שיחתמו על NDA יש לקבל אישור בכתב מהלקוח לשימוש בספק משנה ולשינוי או הוספת ספק. יש לקבל אישור לפני תחילת תהליך עיבוד המידע. ספק המשנה מחויב בחוזה חתום והארגון צריך לדרוש מספק המשנה להטמיע את כל הבקרות של הסטנדרט.
      המטרה כאן להבטיח שמושאי המידע מקבלים את האינפורמציה הנכונה לגבי עיבוד PII המידע הפרטי שלהם ושהארגון עומד בכל החובות כלפיהם על מנת להגן על המידע היקר.
    • יש לתמוך בלקוח בציות לחובות שלו מול מושאי PII. החובות של הלקוח אם הוא שולט במידע PII הן לספק אינפורמציה ראויה למושא המידע ולספק אמצעים למושא להפעיל זכויותיו. למשל זכות להתנגדות לשימוש במידע הפרטי מזהה PII או לביטול ההסכמה שניתנה כבר ע"י מושא המידע, לספק עותקים, לטפל בתלונות ועוד.
      על הארגון המעבד את המידע, לתמוך בלקוחות בזמן למשל שמושא PII מבקש למחוק או לתקן את המידע שלו (הארגון ימחק את המידע ויספק ללקוח תיעוד אותו הלקוח יעביר למושא ה- PII) או שהארגון צריך לספק עזרה טכנית על מנת שהלקוח יוכל לעמוד בדרישות. בד"כ יתועד בחוזה בין הצדדים.
    • שמירת מידע – יש לקבוע כמה זמן הארגון ישמור PII לאחר סיום החוזה. לפעמים חוזה לא מוארך בזמן ואם הארגון ימחק את המידע, זה עלול להוביל לאיבוד מידע של הלקוח. לכן, זה תלוי בהסכם בין הצדדים.
    • בקרות אבטחת פרטיות בזמן שידור PII – המטרה כאן היא להבטיח שידור PII באופן מאובטח, אשר יגיע ליעדו הראוי, בשלום ובהתאם להוראות הלקוח בחוזה, למשל אם הלקוח דורש הצפנה או שיטות אבטחה אחרות.
    • מחיקת מידע – אם הארגון מוחק את המידע הפרטי המזהה הוא צריך לוודא שהוא מוחק את המידע מכל מקום, לרבות אצל ספקי משנה, גיבויים או מקומות אחרים רלוונטיים. למשל, קבצים זמניים – תתבצע מחיקה של קבצים זמניים ברגע שלא נצרכים יותר לעיבוד.
    • החזרה, השמדה של מידע – בזמן מסוים המידע יצטרך להיות מסולק (מושמד או שהלקוח דורש את החזרת ה-PII), לתאר איך הארגון מנהל את השמדת המידע או החזרתו.
    • העברת/ שיתוף מידע – איך מעבד המידע מעביר או משתף מידע?
    • העברת מידע בין סמכויות שיפוט – על הארגון ליידע את הלקוח אם הוא מעביר PII לסמכות שיפוט אחרת כדי שהלקוח יוכל להביע התנגדותו או לדרוש לבטל חוזה על הארגון להבין את הדרישות החוקיות הנדרשות ממנו כאשר הוא מעביר מידע תחת כל סמכות שיפוט שונה.הארגון צריך לקבוע, לתעד ולהנגיש ללקוחותיו לגבי אילו מדינות הוא מעביר PII.
    • תיעוד חשיפת PII – הארגון צריך לשמור תיעוד של חשיפות מידע פרטי מזהה PII לצדדים שלישיים.מה נחשף, למי, מתי ומאיזו סיבה (למשל, בזמן חקירה, אודיט, בזמן פעולות פנימיות של הארגון)

    הסמכה לדרישות ה- GDPR

    לסיכום, הן הארגון אשר מעבד את המידע עבור הארגון השולט במידע והן ארגון השולט במידע, מחויבים לעמוד בדרישות רבות, להפעיל ולנהל בקרות אבטחה שונות בהתאם לניהול סיכונים, תיעוד וכו', ובנוסף, לעזור ולתמוך בלקוח שלו ולעשות כל שביכולתו על מנת להגן על המידע שהופקד בידיו.

    מדובר בדרישות מורכבות, אשר הארגון יתקשה להתמודד איתן לבדו, ובו בזמן להמשיך לנהל סדר יום עסקי כרגיל.

    לפיכך, אנחנו בחברת ביו-כם מציעים לכם אפשרות לליווי והנחיה לאורך כל התהליך. נסייע לכם להבין את מטרות חוקי הפרטיות ו/או המידע הרפואי, נעשה סדר בדרישות המורכבות, ננסח נהלים ומדיניות המתאימה לארגון שלכם, נדריך את העובדים ונטמיע את ההנחיות בכלל הארגון.

    Eran Yona Bio-Chem Founder and CEO

    מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות ייצור ובעל למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל.

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד בארץ ובעולם.

    לקבלת שירותי ייעוץ מקצועיים ומקיפים בנושאי רישום מכשור רפואי אמ"ר בישראל, פנו אלינו ונשמח להעניק לכם שירות.

    כתובת המייל שלנו: [email protected]

    שיתוף:

    מאמרים אחרונים

    ולידציה למערכות AI

    תחום הבינה המלאכותית הפך לשחקן מרכזי בעולמות הבריאות בכלל ובתחומי הפארמה, המכשור הרפואי והבריאות הדיגיטלית בפרט. המעבר לעולם הדיגיטלי בחברות פארמה ומדיקל מתרחש כל הזמן, ומתקדם כל יום. תחום קרא עוד >>>

    רישום 510-K של תוכנה ומכשור רפואי ב- FDA

    פיתחתם מוצר, טכנולוגיה, מכשור, תוכנה או אפליקציה לשימוש רפואי? ברכותינו! המוצר שלכם יכול לטפל בחולים, לאבחן מחלה, לסייע בקבלת החלטות רפואיות, לעבד מידע רפואי בקלות ולחסוך זמן יקר הן קרא עוד >>>

    מערכות הבטחת איכות ו-CAPA

    חברות המייצרות תרופות ומכשור רפואי כמו גם תוספי תזונה וקוסמטיקה, נדרשות להקים מערכת הבטחת איכות ותנאי ייצור נאותים (GMP) מסודרת ואפקטיבית. אחת ממטרות מערכת האיכות במפעל, הנה מניעת מצבים קרא עוד >>>

    תוכנות ניהול מערכת הבטחת איכות QMS

    זאת עובדה - בעזרת תוכנות ניהול מערכות הבטחת איכות QMS מתקדמות ניתן לחולל מהפכה בשיטות העבודה ולהגדיל את האיכות והביצועים. זה קורה עם מערכת חזקה מבוססת ענן המותאמת לפרויקט קרא עוד >>>

    GMP למפעלי מזון ותוספי תזונה וכיצד ניתן למנוע זיהום מוצרי מזון

    הנתונים מצביעים באופן חד-משמעי כי מס' מקרי הריקול (החזרה מן המדפים) של מוצרים בתעשיית התרופות זניח לעומת מס' המקרים בתעשיות המזון בישראל ובעולם כולו. ככל שסטנדרט ה-GMP ייושם באופן אפקטיבי קרא עוד >>>

    ולידציה לניקיון ומערכות CIP בתעשייה הביו-פרמצבטית

    בשנים האחרונות אנו עדים לחומרי ניקיון וטכנולוגיות ניקיון חדשות ומשופרותוכמו כן לשיטות מדידת מזהמים הן במערכות וציוד הייצור והן במוצר הסופי. ולידציה לתהליכי הניקיון מצריכה התייחסות הן למתקני הייצור, קרא עוד >>>

    קרא עוד

    צור קשר

      אודות המחבר:

      Bio-Chem חתומה על מס' רב של הצלחות של חברות להן יעצנו לאורך השנים, מוצרים חדשניים, טכנולוגיות, תכנון מפעלים מצליחים ומעבדות, אשר נבדקו וקבלו אישור לשיווק בעזרתנו. מזה למעלה מעשור, משמש ערן כמרצה בתחומים רבים ונחשב למומחה בתחומו. משנת 2007 ועד היום מנהל ערן את חברת Bio-Chem ואף לוקח חלק פעיל בייעוץ ללקוחות החברה ובהובלתם להשגת האתגרים בהצלחה.

      כותרת