第5讲《新英格兰医学杂志》:风水变了 - 论欧盟新版“数据保护规定 (GDPR)”实施
-第5讲-
原创作者:石丘玲
最近与临床医生、医院管理者以及医疗数据产业界在数据安全和归属权问题上讨论颇多,感触也颇深。想起去年欧盟新版数据保护规定(General Data Protection Regulation,GDPR)上线时《新英格兰医学杂志》(NEJM)的一篇评论,作者Dr. Charlotte J. Haug是一位临床医生兼研究者,也是NEJM国际编委。文中Dr. Haug从临床科研工作者、患者、医疗行业管理者以及业界等多个角度对医疗相关数据安全管理进行了深入有趣的解读。
新版GDPR要点 – 数据归还至个人
数据归属权在个人(如患者),任何公司/医院/研究机构/研究者需要得到个人比现有知情同意书更为具体的“同意”才能使用数据,并且个人有权利随时终止他人使用其数据。比如:患者参加临床试验的知情同意书只授权试验主要结果分析(primary analysis),二次分析以及与其它机构共享数据需要患者签署新的知情同意。患者对EHR的所有权包括:
- 查看、获得、更改以及销毁数据
- 了解如何储存使用及其原因
- 哪些数据被管理部门或公共卫生数据库所用及最终目的
欧盟范围内违反GDPR者,将被课以其全球年收入4% 或2千万欧元(取最高值)的罚款。
Dr. Haug对数据采集使用者的三条应对建议
1. 鸵鸟政策,装作没有这个GDPR,尽力让患者相信数据在你这里是安全的,把一切可能的官司扼杀在摇篮里。
- 目前大多数公司(如Facebook等)采用的策略。
2. 不在欧洲干了,到新世界去!
- 生意少了一块,而且某些地方(如中国)将有比欧盟更严格的GDPR。
3. 老老实实照着GDPR说的做。(Dr Haug 力荐)
- 需要“privacy by design”, 改变目前健康数据由业界/医院/研究者采集保管的常规,患者本人保管数据并决定是否让他人使用。区块链(blockchain)和云技术可使这种新型数据存储使用模式变成现实。
作者感言:
- 医疗数据需要严格管理,“知情同意书”也需合理合法,患者签字不代表可以为所欲为。
- 任何人都可以采集、囤积以及买卖医疗数据的现状亟需改变。
- 欧盟GDPR略为“纸上谈兵”,医学研究专业性高,多数患者难以分辨数据使用目的,易被忽悠。
