Договір зберігання та обробки медданих: практичний чек-лист
- Digital Lawyer
- 4 лист.
- Читати 1 хв
Таблиця ролей і відповідальності:
Роль | Хто зазвичай | Відповідальність |
|---|---|---|
Контролер | Клініка | Цілі/засоби обробки, правові підстави, інформування |
Обробник | ІТ-постачальник/MIS | Технічні/організаційні заходи, безпека, субобробники |
Спільні контролери | Партнери (рідко) | Розмежування відповідальності, інформування суб’єктів |
Чек-лист для договору (DPA):
Категорії даних (медичні, ідентифікаційні), строки зберігання.
Доступи: ролі, логування, принцип найменших привілеїв.
Інциденти: SLA повідомлення (напр., 24–72 год), план реагування.
Бекапи та локація зберігання (країна/ЦОД), шифрування.
Субобробники: погодження, перелік, аудит.
Права пацієнтів: доступ/виправлення/видалення (процедури і строки).
Часті запитання
Як довго зберігати записи консультацій?
Встановіть строк у політиці + технічне авто-видалення.
Що робити при витоку?
Негайно активувати IR-план, сповістити за SLA, задокументувати кроки.
Чи потрібна DPIA?
Так, якщо високий ризик: масштабні меддані, нові технології, міждержавні потоки.
DPA (Договір зберігання та обробки медданих) — це інструкція безпеки; без неї жодна цифрова медицина не є керованою.
Коментарі