GDPR ופרטיות מידע

2021-03-31T08:12:38+00:00מרץ 31, 2021|Articles|

מהי פרטיות מידע?

כאשר אנחנו מדברים על מידע, הכוונה היא לכל מידע פרטי אישי מזהה, בין אם מידע רגיש למשל, מידע לגבי אמונה דתית, נטיה מינית, או כל מידע פרטי אחר שיכול להשפיע על חייו של האדם באם יתגלה לאחרים ובפרט כאשר מדובר במידע רפואי לגבי מצבו הבריאותי הגופני או הנפשי של אדם, אשר חשיפה שלו עלולה להוביל לתוצאות בלתי הפיכות עבור האדם שהמידע שלו נחשף.

מידע פרטי מזהה מוגדר – PII – Personally Identifiable Information  כאשר הפרט מוגדר "מושא המידע".

מה זה GDPR?

ראשי התיבות של GDPR הן General Data Protection Regulation.

ה- GDPR הינו חוק אירופאי העוסק ברגולציה  של הגנה על מידע ופרטיות במדינות האיחוד האירופי. כמו כן, ה- GDPR גם עוסק באופן ההעברה של מידע אישי אל מחוץ למדינות האיחוד.

כאשר ארגון אוסף מידע פרטי מזהה או רפואי מזהה הוא מחויב להגן על פרטיות המידע.

מטרת ה- GDPR הנה לאפשר לאנשים בקרה על המידע האישי הקיים עליהם, ולאפשר סביבת עבודה עסקית בינלאומית פשוטה ובטוחה.

למה צריך הסמכת GDPR?

כל ארגון אשר רוצה למכור מוצריו באירופה או לאזרחי האיחוד האירופי ומצד שני כחלק מתחום עיסוקו הוא מעבד מידע פרטי מזהה או שולט בשימושי המידע הפרטי המזהה, מחויב לעמוד בדרישות הרגולציה והחוק של ה- GDPR.

לא ניתן לבצע פעילות עסקית באירופה או מול אזרחי האיחוד האירופאי, מבלי לפעול לפי חוקי ה- GDPR.

ארגון שולט במידע מול ארגון המעבד מידע

ארגון אשר שולט במידע מוגדר  PIIקונטרולר/שולט PII controller-.

כלומר ארגון  PIIקונטרולר/שולט, הוא הקובע מי יאסוף את המידע, מהיכן המידע ייאסף, מה יהיו השימושים במידע, מתי יתבצעו שימושים אלו, איך יתבצעו ועל ידי מי.

ארגון שמעבד מידע עבור מי ששולט במידע מוגדר PII פרוססור/מעבדPII processor- . זה יכול להיות ארגון שאוסף מידע, מעבד אותו, מאחסן אותו, או מבצע בו כל שימוש אחר.

דוגמא:

חברת נסיעות משתמשת בחברת פרסום  (נותן שירותים) כדי לפרסם חבילות תיור ללקוחותיה. לשם כך היא מעבירה את המידע הפרטי שאספה מלקוחותיה אל ידיה של חברת הפרסום. 

חברת הנסיעות היא זו ששולטת במידע וחברת הפרסום היא זו שמעבדת את המידע על פי הדרישות והצרכים של חברת הנסיעות.

דוגמא נוספת:

חברת טלקום – היא זו שאוספת ושולטת במידע. חברת טלקום משתמשת בספק שמספק לה שירותי מרכזיה על מנת לנהל שירות לקוחות, כלומר בקשות ו/או תלונות לקוח. שירותי המרכזייה נחשבים "מעבד".

כלומר למעשה, כל ארגון או עסק אשר יש לו נגיעה במידע פרטי אישי מזהה, בין אם שולט במידע ובין אם מעבד אותו מחויב לעמוד בדרישות מסוימות. כלומר, מחויב לשמור ולציית לחוקי הפרטיות. 

על השולט במידע מוטלות דרישות רבות ומורכבות יותר, אך ישנן גם דרישות ומוטלת אחריות גם על הארגון אשר מעבד את המידע עבור לקוח, כלומר נותן/ספק השירותים.

לקוח יכול להיות שולט במידע או יכול להיות גם ארגון אחר שמספק שירותי עיבוד לשולט במידע.

מה ההבדל בין GDPR לתקן ISO 27701?

הדרישות החוקיות של ה- GDPR הן רבות ומורכבות. ארגון  ה-ISO  פיתח את תקן 27701 והוא נחשב מקביל לGDPR-   בתחומים אותם הוא מכסה. והוא מתווה תהליכי עבודה לעמידה בדרישות ה- GDPR ועשוי לספק מענה לדרישות החוק.

דרישות ה- GDPR לארגונים המעבדים או אוספים מידע

  • הסכמי שירות עם לקוח – יש להגיע להסכמות בכתב. ההסכם יפרט את תפקיד, דרישות ואחריות הארגון בפרויקט/בעבודה השוטפת.
  • ה- GDPR דורש התייחסות לאספקטים מסוימים, למשל: כיצד דרישות האבטחה מנוהלות על ידי הארגון, איך מתנהל הארגון במקרה של פריצה, מהן הפעולות לשמירת אבטחת הפרטיות לאורך כל מחזור חיי המוצר, המערכת או התהליך, וכיצד מנוהלת ומתבצעת אבטחת "עקרון המינימום ההכרחי" גם לאחר שהמוצר או השירות יצא לשוק.
  • עיקרון המינימום ההכרחי – כלומר מינימום המידע שנדרש לצורך ביצוע התפקיד ייחשף למינימום הכרחי של מורשי גישה.
  • קביעת מטרות האירגון – המידע מעובד על ידי הארגון רק למטרה שצוינה על ידי הלקוח ולא למטרות אחרות, ובהתאם לדרישות החוזה (אותו דבר חל לגבי סאב קונטרקטור) ולדרישות החוקיות.
  • שיווק ופרסום – אין להשתמש במידע האישי המזהה למטרות שיווק ופרסום בהעדר הסכמת מושא המידע המזהה, כלומר הפרט, באופן ספציפי ופורמלי.

    לפרטים נוספים






    For further details






    • הנחיות לגבי הפרות – על הארגון להתריע בפני הלקוח אם ההנחיה שלו לגבי עיבוד המידע עלולה להפר דרישת חוק.
    • חובות הלקוח – על הלקוח, כלומר הארגון השולט במידע חלות דרישות חוקיות רבות ונוספות, דרישות כלפי מושאי מידע PII וכלפי צדדים שלישיים אחרים ונוספים.
    • לעיתים, הארגון המעבד נדרש לספק ללקוח את האינפורמציה הדרושה על מנת שיתאפשר ללקוח לציית לדרישות החלות עליו, למשל את האינפורמציה הדרושה כדי שהלקוח יבצע אודיט מטעמו או אם הארגון מאחסן מידע פרטי מזהה PII עבור הלקוח ייתכן שיהיה עליו לספק עותקים ממנו ללקוח עקב דרישת מושא המידע PII.
    • תיעוד אשר קשור לעיבוד מידע פרטי מזהה PII – הארגון צריך לשמור תיעוד על מנת להוכיח שהוא מציית לדרישות. ה- GDPR לא מציין כמה ומה בדיוק לתעד וזה נתון להחלטת הארגון. דוגמאות לתיעוד יכולות להיות למשל:  קלסיפיקציה או סיווג של סוגי העיבוד השונים אשר נעשים על ידי הארגון עבור לקוחותיו השונים. מינוי קצין פרטיות, ניהול סיכונים וכו'

    שירותי היעוץ שלנו בתחום הפארמה והביוטק

    • פירוט העברת מידע למדינות שונות (דרישות חוקיות מקומיות שונות) יש ליידע את הלקוח על שמות ספקי המשנה ומדינות אליהן ה- PII- המידע הפרטי המזהה, יכול לעבור ואיך הארגון מוודא שספקי המשנה עומדים בדרישות. צריכה להיות התייחסות בחוזה עם הלקוח לספקי משנה.
    • תיאור כללי של הבקרות אשר הוטמעו על ידי הארגון, למען שמירה על פרטיות המידע.
    • דיווח על בקשות לחשיפת PII – ישנם מצבים שרשות חוק תדרוש חשיפה בעקבות חקירה שביצעה למשל, ויש לדווח על כך ללקוח.
    • דיווח ללקוח על זהות ספקי המשנה שלו – אם הארגון סבור כי קיים סיכון משמעותי לחשיפת מידע אצל ספק משנה ניתן לבקש שיחתמו על NDA יש לקבל אישור בכתב מהלקוח לשימוש בספק משנה ולשינוי או הוספת ספק. יש לקבל אישור לפני תחילת תהליך עיבוד המידע. ספק המשנה מחויב בחוזה חתום והארגון צריך לדרוש מספק המשנה להטמיע את כל הבקרות של הסטנדרט.
      המטרה כאן להבטיח שמושאי המידע מקבלים את האינפורמציה הנכונה לגבי עיבוד PII המידע הפרטי שלהם ושהארגון עומד בכל החובות כלפיהם על מנת להגן על המידע היקר.
    • יש לתמוך בלקוח בציות לחובות שלו מול מושאי PII. החובות של הלקוח אם הוא שולט במידע PII הן לספק אינפורמציה ראויה למושא המידע ולספק אמצעים למושא להפעיל זכויותיו. למשל זכות להתנגדות לשימוש במידע הפרטי מזהה PII או לביטול ההסכמה שניתנה כבר ע"י מושא המידע, לספק עותקים, לטפל בתלונות ועוד.
      על הארגון המעבד את המידע, לתמוך בלקוחות בזמן למשל שמושא PII מבקש למחוק או לתקן את המידע שלו (הארגון ימחק את המידע ויספק ללקוח תיעוד אותו הלקוח יעביר למושא ה- PII) או שהארגון צריך לספק עזרה טכנית על מנת שהלקוח יוכל לעמוד בדרישות. בד"כ יתועד בחוזה בין הצדדים.
    • שמירת מידע – יש לקבוע כמה זמן הארגון ישמור PII לאחר סיום החוזה. לפעמים חוזה לא מוארך בזמן ואם הארגון ימחק את המידע, זה עלול להוביל לאיבוד מידע של הלקוח. לכן, זה תלוי בהסכם בין הצדדים.
    • בקרות אבטחת פרטיות בזמן שידור PII – המטרה כאן היא להבטיח שידור PII באופן מאובטח, אשר יגיע ליעדו הראוי, בשלום ובהתאם להוראות הלקוח בחוזה, למשל אם הלקוח דורש הצפנה או שיטות אבטחה אחרות.
    • מחיקת מידע – אם הארגון מוחק את המידע הפרטי המזהה הוא צריך לוודא שהוא מוחק את המידע מכל מקום, לרבות אצל ספקי משנה, גיבויים או מקומות אחרים רלוונטיים. למשל, קבצים זמניים – תתבצע מחיקה של קבצים זמניים ברגע שלא נצרכים יותר לעיבוד.
    • החזרה, השמדה של מידע – בזמן מסוים המידע יצטרך להיות מסולק (מושמד או שהלקוח דורש את החזרת ה-PII), לתאר איך הארגון מנהל את השמדת המידע או החזרתו.
    • העברת/ שיתוף מידע – איך מעבד המידע מעביר או משתף מידע?
    • העברת מידע בין סמכויות שיפוט – על הארגון ליידע את הלקוח אם הוא מעביר PII לסמכות שיפוט אחרת כדי שהלקוח יוכל להביע התנגדותו או לדרוש לבטל חוזה על הארגון להבין את הדרישות החוקיות הנדרשות ממנו כאשר הוא מעביר מידע תחת כל סמכות שיפוט שונה.הארגון צריך לקבוע, לתעד ולהנגיש ללקוחותיו לגבי אילו מדינות הוא מעביר PII.
    • תיעוד חשיפת PII – הארגון צריך לשמור תיעוד של חשיפות מידע פרטי מזהה PII לצדדים שלישיים.מה נחשף, למי, מתי ומאיזו סיבה (למשל, בזמן חקירה, אודיט, בזמן פעולות פנימיות של הארגון)

    מחקר ופיתוח

    ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

    קרא עוד

    תכנון והנדסה

    תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

    קרא עוד

    ייצור ואריזה

    מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

    קרא עוד

    GXP, איכות וולידציה

    מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

    קרא עוד

    רגולציה ורישום

    יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

    קרא עוד

    תוכנה ומערכות

    יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

    קרא עוד

    הסמכה לדרישות ה- GDPR

    לסיכום, הן הארגון אשר מעבד את המידע עבור הארגון השולט במידע והן ארגון השולט במידע, מחויבים לעמוד בדרישות רבות, להפעיל ולנהל בקרות אבטחה שונות בהתאם לניהול סיכונים, תיעוד וכו', ובנוסף, לעזור ולתמוך בלקוח שלו ולעשות כל שביכולתו על מנת להגן על המידע שהופקד בידיו.

    מדובר בדרישות מורכבות, אשר הארגון יתקשה להתמודד איתן לבדו, ובו בזמן להמשיך לנהל סדר יום עסקי כרגיל. 

    לפיכך, אנחנו בחברת ביו-כם מציעים לכם אפשרות לליווי והנחיה לאורך כל התהליך. נסייע לכם להבין את מטרות חוקי הפרטיות ו/או המידע הרפואי, נעשה סדר בדרישות המורכבות, ננסח נהלים ומדיניות המתאימה לארגון שלכם, נדריך את העובדים ונטמיע את ההנחיות בכלל הארגון.

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד.

    לייעוץ בנושאי חסיון מידע, פנו אלינו.

    ליצירת קשר לחצו כאן או כיתבו אלינו למייל [email protected]

    Share This Article

    מאמרים אחרונים

    עדכוני GMP של ארגון הבריאות העולמי

    לפני עדכוני GMP של ארגון הבריאות העולמי נסביר בקצרה את המושג: GMP – Good Manufacturing Practice  ובתרגום לעברית - תנאי יצור נאותים, מהווה חלק משמעותי מפרקטיקות העבודה היומיומית בכל [...]

    ולידציה לתוכנות אוטומציה בייצור

    מהפכת המדע בארגוני הטכנולוגיה הרפואית והביו-פארמה דיגיטליזציה, אחסון וניתוח של נתוני Big Data, למידת מכונה (ML) ובינה מלאכותית (AI) עד לפני זמן לא רב היו מונחים זרים לעולם הביו-מד [...]

    ולידציה למערכות ERP פריוריטי ו- SAP בחברות פארמה ומדיקל

    מהי ולידציה למערכות ERP פריוריטי? מערכת ERP היא מערכת ממוחשבת לתכנון משאבי הארגון והיא נמצאת בשימוש כמעט בכל העסקים והארגונים הבינוניים והגדולים בעולם, אך גם בשימוש של חברות קטנות [...]

    חשיבות ה- Data integrity בחברות תרופות

    חשיבות ה- Data integrity בחברות תרופות אמינות ושלמות הנתונים, או במונח הלועזי Data integrity מאפשרת הן לחברה והן לגופי הרגולציה אשר מבצעים ביקורות איכות ו-GMP תקופתיות, להבין שהנתונים שנוצרו [...]

    6 העקרונות החשובים ביותר בסטריליזציה באוטוקלב

    6 העקרונות החשובים ביותר בסטרליזציה באוטוקלב אמנם, מכשירי האוטוקלב התעשייתים ומערכות ה- SIP נחשבים מאוד בטוחים ומבוקרים, אך התנהלות לא נכונה או חוסר הבנה של העקרונות המרכזיים בעיקור באמצעות [...]

    השימוש במערכות רובוטיות לניתוחים

    השימוש במערכות רובוטיות לניתוחים מהו תקן ISO 27799? 27799 ISO הינו תקן לאבטחת מערכות מידע רפואי בתחום הבריאות. תקן 27799 ISO מהווה מסמך הרחבה בינלאומי, אשר בא להוסיף על [...]

    קרא עוד

    צור קשר

      צור קשר