Obowiązek wykonania oceny ryzyka oraz oceny skutków dla czynności przetwarzania

Administrator danych (Zarząd Szpitala) ma obowiązek, przed wprowadzeniem nowego rodzaju przetwarzania, wykonania oceny ryzyka wynikającego z wprowadzenia takiego nowego przetwarzania, a jeżeli takie ryzyko dla danych istnieje, administrator danych ma obowiązek wykonać ocenę skutków dla planowanych czynności przetwarzania.

W szczególności dotyczy to wprowadzenia nowego sposobu lub zakresu przetwarzania danych medycznych na masową skalę, na przykład:

• zastosowania nowego oprogramowania, wprowadzenia przetwarzania opartego na AI;
• zastosowania nowych narzędzi medycznych, związanych ze zmianą sposobu przetwarzania danych;
• powierzenia przetwarzania firmom zewnętrznym, np. przetwarzania w chmurze;
• innych istotnych zmian, np. zastosowania sztucznej inteligencji.

Ocenę ryzyka i ewentualnie ocenę skutków dla planowanych czynności przetwarzania wykonuje osoba lub zespół wdrażający nowe rozwiązanie, wspólnie z Inspektorem Ochrony Danych.

Ze względu na masową integrację rozwiązań informatycznych ze sprzętem medycznym oraz powszechnym wdrażaniem nowych rozwiązań informatycznych wspierających procesy leczenia (roboty, praca zdalna, narzędzia AI, rozwiązania chmurowe, internet rzeczy IoT), kwestie wyboru odpowiednich technologii i wiarygodnych dostawców nabierają kluczowego znaczenia.

Dlatego Dział Informatyki musi być zaangażowany na każdym etapie rozważania i przygotowywania nowych rozwiązań, w tym już na etapie poszukiwania nowych rozwiązań.

Kwestie cybezpieczeństwa związane z nowymi rozwiązaniami nie mogą być traktowane drugoplanowo, aspekt bezpieczeństwa i spełnienia wymagań prawnych jest tak samo ważny jak kwestie finansowania i rozwój technologii medycznych.