·
Kliiniline dokumentatsioon
Tervishoiu
Praktika juhataja / Admin
GDPR õigused kliiniliste andmete parandamiseks või kustutamiseks
Mida GDPR tegelikult nõuab, kui patsiendid taotlevad oma kliiniliste andmete parandamist või kustutamist, ja millal tervishoiuasutused võivad keelduda

Kliinilised andmed asuvad konkureerivate õiguslike kohustuste ristumispunktis. Üldine andmekaitsemäärus (GDPR) annab patsientidele olulised õigused nende isikuandmete üle, sealhulgas õiguse nõuda ebatäpse teabe parandamist ja teatud asjaoludel kustutamist. Kuid kliiniline dokumentatsioon eksisteerib põhjustel, mis ulatuvad kaugelt üle andmehalduse: see toetab patsientide ohutust, kutsealast vastutust ja õiguslikku kaitstavust. Kui patsient esitab taotluse parandada või eemaldada kanne oma kliinilisest andmestikust, ei ole kohaldatavad reeglid lihtsad ja tagajärjed vale vastuse andmisest kummaski suunas võivad olla tõsised. See artikkel selgitab, mida GDPR-i järgimine tervishoius tegelikult nõuab sellistes olukordades, millised erandid kehtivad ja mida kliinilised administraatorid peavad praktikas tegema.
Kaks GDPR-i õigust, mis käivitavad parandamis- ja kustutamistaotlused
Kaks GDPR-i artiklit on otseselt asjakohased, kui patsient vaidlustab oma kliinilise andmestiku sisu.
Artikkel 16 annab õiguse parandamisele. See annab andmesubjektile õiguse nõuda, et vastutav töötleja parandaks ebatäpsed isikuandmed ja täiendaks mittetäielikke andmeid, sealhulgas täiendava avalduse abil. Parandamine võib toimuda andmete otsese muutmise, osalise või täieliku kustutamise või teabe lisamise teel mittetäieliku andmestiku täiendamiseks.
Artikkel 17 annab õiguse kustutamisele, mida mõnikord nimetatakse õiguseks olla unustatud. See nõuab vastutavatelt töötlejatelt isikuandmete kustutamist ilma põhjendamatu viivituseta konkreetsetes olukordades, näiteks kui andmeid ei ole enam vaja eesmärgil, milleks need koguti, või kui andmesubjekt võtab nõusoleku tagasi ja muud õiguslikku alust ei kohaldata.
Kumbki õigus ei ole absoluutne. Tervishoiu kontekstis on mõlemad õigused allutatud olulistele ja hästi määratletud piirangutele. Nagu Iiri andmekaitsevolinik otseselt väidab: need õigused kehtivad harva isikuandmete kohta nagu meditsiinilised arvamused, diagnoosid ja kliinilised ravimärkmed. Selle mõistmiseks on vaja vaadata erandeid üksikasjalikult.
Millal GDPR-i õigus kustutamisele ei kehti kliiniliste andmete kohta
Artikkel 17 sisaldab selgesõnalisi erandeid, mis on otseselt kohaldatavad tervishoiule. Artikli 17(3) kohaselt ei kehti õigus kustutamisele, kui töötlemine on vajalik:
ELi või liikmesriigi õigusest tuleneva juriidilise kohustuse täitmiseks
Rahvatervise valdkonnas avalikes huvides artikli 9(2)(i) alusel
Avalikes huvides arhiveerimise eesmärkidel, teaduslikuks või ajalooliseks uurimistööks või statistilistel eesmärkidel
Õigusnõuete esitamiseks, teostamiseks või kaitsmiseks
Praktikas on kõige sagedamini kohaldatav erand kliinilistes tingimustes õiguslik kohustus säilitada andmeid. Tervishoiuorganisatsioonid ELi liikmesriikides on allutatud seadusega kehtestatud minimaalsele säilitusperioodile. Näiteks Inglismaal nõuab NHS England Records Management Code of Practice täiskasvanud patsientide andmete säilitamist vähemalt kaheksa aastat pärast viimast kannet. Üldarstiabi andmeid tuleb säilitada kümme aastat pärast patsiendi surma vastavalt kehtivatele NHS-i juhistele, kuigi säilitusperioodid võivad andmestiku tüübi järgi erineda. Samaväärsed kohustused eksisteerivad ELi liikmesriikides, kuigi konkreetsed perioodid erinevad jurisdiktsiooni järgi.
Kui kehtib seadusest tulenev säilitamiskohustus, võib kustutamistaotluse seaduslikult tagasi lükata. Organisatsioon ei ole kohustatud andmestikku kustutama lihtsalt seetõttu, et patsient on seda taotlenud. Kohustus on taotlusele vastata, selgitada kohaldatavat erandit ja teavitada patsienti tema õigusest esitada kaebus asjakohasele järelevalveasutusele.
Regulatiivne kontekst on siin samuti asjakohane: GDPR-i kustutamisõigused on aktiivse regulatiivse järelevalve all, kusjuures karistused mittevastavuse eest ulatuvad kuni 20 miljoni euroni või 4 protsendini globaalsest aastakäibest artikli 83(5) alusel. See näitab, et kustutamisõigused tervishoius on aktiivse regulatiivse järelevalve all ja et nii põhjendamatud keeldumised kui ka põhjendamatud kustutamised kannavad endas tegelikku riski.
Mida parandamine tegelikult tähendab kliinilises kontekstis
Parandamine artikli 16 alusel kehtib andmete kohta, mis on faktiliselt ebatäpsed. Patsiendi vale sünnikuupäev, valesti kirjutatud nimi või ekslikult salvestatud aadress on selged parandamise kandidaadid. Need on objektiivsed vead ja nende parandamine on nii nõutav kui ka lihtne.
Keerulisem olukord tekib siis, kui patsient vaidlustab kliinilise hinnangu, nagu diagnoos, dokumenteeritud hinnang või kliiniku salvestatud arvamus nende esitluse või käitumise kohta. Need kanded ei ole automaatselt ebatäpsed GDPR-i alusel lihtsalt seetõttu, et patsient nendega ei nõustu.
BMA juhised tervishoiuandmetele juurdepääsu kohta on selles küsimuses selgesõnalised: patsiendid võivad taotleda teabe parandamist, mida nad peavad ebatäpseks, kuid tervishoiutöötaja ei ole kohustatud patsiendi arvamusega nõustuma. Nad peavad tagama, et märkmed näitavad patsiendi seisukohta. Kliiniku dokumenteeritud kutsealane hinnang kajastab tema hinnangut ajal, mil see tehti. Selle hinnanguga mittenõustumine ei tee andmestikku faktiliselt valeks GDPR-i mõttes.
Kui patsient usub, et andmestik on pigem mittetäielik kui ebatäpne, kinnitab Iiri andmekaitsevolinik, et patsient võib taotleda täiendava avalduse lisamist andmestiku täiendamiseks. See on oluline õigus, kuid see erineb õigusest nõuda algse kande eemaldamist või ülekirjutamist.
Auditi jälje kohustus: mida tuleb salvestada, kui kanne muutub
Kui kliinilise andmestiku kannet parandatakse või kommenteeritakse, ei ole auditi jälg valikuline. See on põhiline vastavusnõue nii GDPR-i kui ka kutsealaste dokumenteerimisstandardite alusel.
Piisav auditi jälg andmestiku muudatuse jaoks peab sisaldama:
Algset kannet, mis peab jääma nähtavaks ja muutmata
Kuupäeva ja kellaaega mis tahes muudatuse kohta
Isiku identiteeti, kes muudatuse teeb
Põhjust muudatuse jaoks, selgelt dokumenteerituna
BMA juhised väidavad, et andmestike muudatusi saab teha tingimusel, et muudatused tehakse viisil, mis näitab, miks muudatus tehti, nii et on selge, et andmestikke ei ole manipuleeritud. Juhised kinnitavad ka, et teavet saab kuvamisest eemaldada, kuid auditi jälg hoiab alati andmestiku täielikuna.
Tehnilisest vaatenurgast peavad auditi jäljed olema manipuleerimiskindlad, et toimida usaldusväärsete tõenditena regulatiivsete uurimiste või kohtumenetluste ajal. Iga logikanne peaks hõlmama kasutaja identiteeti, ajatemplit ja teostatud tegevust. Algse kande ülekirjutamine või kustutamine, mitte selle kommenteerimine, loob nii GDPR-i vastavuse riski kui ka kutsealase vastutuse riski. Kui andmestikku on muudetud ilma nähtava auditi jäljeta, võib olla võimatu tõendada, et muudatus oli seaduslik, mitte katse teavet varjata.
Kuidas käsitleda parandamistaotlust ilma algset kannet muutmata
Standardne kliiniline lähenemisviis kehtivale parandamistaotlusele on lisada dateeritud lisandus või kommentaar algse kande kõrvale, mitte seda redigeerida ega eemaldada. See meetod rahuldab GDPR-i täpsuspõhimõtet, säilitades samal ajal algse andmestiku terviklikkuse.
Korrektselt koostatud kommentaar peaks sisaldama:
Kuupäeva, mil kommentaar lisati
Selle lisaja nime ja rolli
Selget avaldust selle kohta, mida parandatakse või lisatakse ja miks
Vajaduse korral märkust, et muudatus järgneb patsiendi taotlusele artikli 16 GDPR alusel
Kui patsient on vaidlustanud kliinilise hinnangu, mitte faktilist viga, peaks kommentaar salvestama patsiendi seisukohta, viitamata sellele, et algne kliiniline kanne oli vale. Näiteks: „Patsient on taotlenud märkida, et ta vaidlustab ülaltoodud hinnangu. Nende seisukoht on salvestatud vastavalt nende õigusele lisada täiendav avaldus artikli 16 GDPR alusel."
See lähenemisviis tähendab, et andmestik jääb täielikuks, algne kanne säilitatakse kliinilistel ja õiguslikel eesmärkidel ning patsiendi õigust oma perspektiivi dokumenteerimisele austatakse. See loob ka selge paberijälje mis tahes järgnevaks regulatiivseks läbivaatamiseks.
Andmekaitseametniku ja Caldicott Guardiani roll
Mitte iga parandamis- või kustutamistaotlust ei ole vaja eskaleerida, kuid on oluline teada, millal kaasata spetsialistlikke rolle.
GDPR-i alusel on tervishoiuorganisatsioonid, kes töötlevad erilist kategooriat andmeid, mis hõlmab kõiki tervishoiuandmeid, kohustatud määrama andmekaitseametniku. Andmekaitseametnik peab olema kaasatud igas olukorras, kus vastus andmesubjekti taotlusele on õiguslikult ebakindel, kus väljastatakse keeldumine või kus taotlus hõlmab võimalikku täpsuspõhimõtte rikkumist, mis võib mõjutada patsiendi ohutust.
National Health Service'is ja Ühendkuningriigi tervishoiuasutustes mängib Caldicott Guardian seotud, kuid erinevat rolli: nad vastutavad patsiendi teabe konfidentsiaalsuse kaitsmise ja asjakohase teabevahetuse toetamise eest. Kui parandamis- või kustutamistaotlus tekitab küsimusi andmestiku sisu avalikustamise või muutmise kliinilise asjakohasuse kohta, tuleks Caldicott Guardianiga konsulteerida koos andmekaitseametnikuga.
Rutiinsete taotluste puhul, nagu ilmse faktilise vea, näiteks vale aadressi parandamine, saab praktikajuht või vanem kliiniline administraator tavaliselt vastust otse käsitleda, tingimusel et muudatus järgib õiget auditi jälje protseduuri. Kõige puhul, mis hõlmab vaidlustatud kliinilist kannet, keeldumist kustutada või taotlust, mis puudutab tundlikke diagnoose või kaitseteabe, on andmekaitseametnikule eskaleerimine asjakohane samm.
Patsientidele vastamine: tähtajad, vorming ja mida öelda, kui keeldute
GDPR seab andmesubjekti taotlustele vastamiseks kindla tähtaja. Vastus tuleb esitada ühe kuu jooksul pärast taotluse saamist. Keerukatel juhtudel võib seda perioodi pikendada veel kahe kuu võrra, kuid ainult siis, kui andmesubjekti teavitatakse pikendamisest ja selle põhjustest algse ühe kuu jooksul. Ilma sellise teavitamiseta jääb ühe kuu tähtaeg kindlaks.
Vaikus või viivitus on iseenesest vastavuse ebaõnnestumine. Tähtaja jooksul vastamata jätmine käsitletakse põhjenduseta keeldumisena ja patsient võib esitada kaebuse otse asjakohasele järelevalveasutusele.
Taotlusest keeldumisel, olgu see siis kustutamise või parandamise kohta, peab vastus:
Olema lihtsas, arusaadavas keeles, mitte õiguslik standardtekst
Selgelt tuvastama konkreetse erandi või õigusliku aluse keeldumise jaoks
Teavitama patsienti tema õigusest esitada kaebus riiklikule järelevalveasutusele, näiteks Information Commissioner's Office Ühendkuningriigis, Data Protection Commission Iirimaal või Commission Nationale de l'Informatique et des Libertés Prantsusmaal
Teavitama patsienti tema õigusest taotleda kohtulikku kaitset
Enne mis tahes taotlusele reageerimist peab vastutav töötleja kinnitama, et taotleja on andmesubjekt ise või keegi, kellel on volitused tema nimel tegutseda. See kontrollimise samm on eriti oluline tervishoius, kus andmestikud sisaldavad väga tundlikku teavet.
Kuidas parandamis- ja kustutamiskohustused erinevad ELi liikmesriikides
GDPR seab baastaseme, kuid see lubab selgesõnaliselt liikmesriikidel kehtestada tervishoiuandmete töötlemiseks täiendavaid tingimusi. Artikkel 9(4) lubab liikmesriikidel säilitada või kehtestada täiendavaid tingimusi, sealhulgas piiranguid, seoses geneetiliste andmete, biomeetriliste andmete või tervishoiuandmete töötlemisega.
See tähendab, et kliinilised administraatorid, kes töötavad erinevates ELi jurisdiktsioonides, võivad kokku puutuda erinevustega:
Säilitusperioodid: Riiklik õigus määrab minimaalse säilitusgraafiku ja need erinevad oluliselt. Saksamaal, Prantsusmaal, Iirimaal ja Madalmaades on igaühel oma seaduslikud raamistikud, mis reguleerivad, kui kaua erinevaid kliiniliste andmete kategooriaid tuleb säilitada.
Muutmise protseduurid: Mõnel liikmesriigil on konkreetsed protseduurilised nõuded selle kohta, kuidas tervishoiuandmete muudatusi tuleb dokumenteerida või patsientidele teatada.
Patsientide õiguste laiendused: Teatud jurisdiktsioonid on laiendanud patsientide õigusi üle GDPR-i baastaseme tervishoiuandmete kontekstis.
Selles artiklis kirjeldatud GDPR-i raamistik kehtib kogu ELis, kuid see ei asenda kohalikku õigusnõu. Kliinilised administraatorid, kes tegutsevad mis tahes konkreetses liikmesriigis, peaksid kontrollima kohaldatavaid riiklikke juhiseid, mille on tavaliselt välja andnud riiklik andmekaitseasutus või asjakohane tervishoiuministeeriumi, enne kui vastavad taotlustele, mis võivad hõlmata kohalikku õigust.
Praktiline otsustusraamistik kliinilistele administraatoritele
Kui saabub andmesubjekti taotlus kliinilise andmestiku kohta, pakub järgmine otsustustee struktureeritud lähtepunkti. See ei ole asendus õigusnõule keerukatel juhtudel, kuid see hõlmab enamikku stsenaariumeid, millega kliiniline administraator kokku puutub.
Samm 1: Tuvastage taotluse tüüp
Kas patsient taotleb faktilise vea parandamist (artikkel 16), mittetäieliku andmestiku täiendamist (artikkel 16) või andmestiku kustutamist (artikkel 17)? Kohaldatavad reeglid erinevad.
Samm 2: Kontrollige taotleja identiteeti
Kinnitage, et taotlus on andmesubjektilt või volitatud esindajalt enne mis tahes tegevuse võtmist või mis tahes teabe jagamist.
Samm 3: Kontrollige kohaldatavaid erandeid
Kustutamistaotluste puhul: kas kehtib seadusest tulenev säilitamiskohustus? Kas andmeid on vaja rahvatervise eesmärkidel, õigusnõuete jaoks või arhiveerimiseks? Kui jah, võib taotlusest keelduda. Parandamistaotluste puhul: kas vaidlustatud andmed on faktiliselt ebatäpsed või on see kliiniline hinnang, millega patsient ei nõustu? Kui viimane, ei pea algset kannet muutma, kuid patsiendi seisukoht tuleks salvestada täiendava avaldusena.
Samm 4: Määrake asjakohane tegevus
Faktiline viga: parandage kanne auditi jäljega muudatuse abil
Mittetäielik andmestik: lisage dateeritud täiendav avaldus
Vaidlustatud kliiniline hinnang: lisage kommentaar, mis salvestab patsiendi seisukohta, muutmata algset kannet
Kustutamistaotlus, millele kehtib säilitamise erand: valmistage ette keeldumise vastus, viidates kohaldatavale õiguslikule alusele
Samm 5: Dokumenteerige otsus
Salvestage, milline taotlus saadi, milline otsus tehti, millist erandit või õiguslikku alust kohaldati ja kes oli otsuse tegemisel kaasatud. See dokumentatsioon on ise osa organisatsiooni GDPR-i vastutuskohustusest.
Samm 6: Vastake tähtaja jooksul
Saatke kirjalik vastus ühe kuu jooksul. Kui taotlusest keeldutakse, lisage konkreetne õiguslik alus, patsiendi õigus esitada kaebus järelevalveasutusele ja nende õigus kohtulikule kaitsele. Kasutage kogu aeg lihtsat keelt.
Samm 7: Eskaleerige, kui vaidlustatud või ebakindel
Kui patsient vaidlustab keeldumise, kui taotlus hõlmab tundlikke teabe kategooriaid nagu kaitse- või vaimse tervise andmed või kui on tõeline õiguslik ebakindlus kohaldatava erandi kohta, eskaleerige andmekaitseametnikule. NHS-i asutustes konsulteerige Caldicott Guardianiga, kui on kaasatud patsiendi konfidentsiaalsus.
Üks oluline piirang, mida tunnistada: ülaltoodud raamistik kajastab GDPR-i baastaseme ja üldisi kliinilise dokumenteerimise standardeid. See ei arvesta iga riikliku erinevusega ja see ei käsitle kustutamise tehnilist keerukust kaasaegsetes kliinilistes süsteemides, eriti kui andmestikke kopeeritakse varukoopiates, arhiivides ja kolmandate osapoolte töötlejate juures. Kontrollitava andmete kustutamise rakendamine krüpteeritud kliiniliste andmekogumite üle jääb tehniliselt keeruliseks ja kustutamiskohustused laienevad varukoopiatele ja arhiveeritud koopiatele, mida hoiavad töötlejad. Kui kustutamine on õiguslikult nõutav, peavad infotehnoloogia ja teabe juhtimise meeskonnad olema kaasatud, et tagada selle täielik läbiviimine.
Korduma kippuvad küsimused
▶ Kas patsientidel on õigus kustutada oma kliinilised andmed GDPR-i alusel
Enamikul juhtudel mitte. Üldise andmekaitsemääruse artikkel 17 annab õiguse kustutamisele, kuid see õigus ei kehti, kui eksisteerib õiguslik kohustus andmeid säilitada. Tervishoiuorganisatsioonid ELi liikmesriikides on allutatud seadusega kehtestatud minimaalsele säilitusperioodile. Näiteks Inglismaal nõuab NHS England täiskasvanud patsientide andmete säilitamist vähemalt kaheksa aastat pärast viimast kannet. Kui selline kohustus kehtib, võib kustutamistaotluse seaduslikult tagasi lükata, tingimusel et organisatsioon vastab kirjalikult, selgitab erandit ja teavitab patsienti tema õigusest esitada kaebus asjakohasele järelevalveasutusele.
▶ Kas patsient võib taotleda kliinilise diagnoosi parandamist, millega ta ei nõustu
Patsient võib taotleda parandamist, kuid kliiniku ei ole kohustatud muutma dokumenteeritud kutsealast hinnangut lihtsalt seetõttu, et patsient seda vaidlustab. Õigus parandamisele artikli 16 alusel kehtib faktiliselt ebatäpsetele andmetele, nagu vale sünnikuupäev või valesti kirjutatud nimi. Kliiniline diagnoos või hinnang kajastab kliiniku kutsealast arvamust ajal, mil see salvestati. Selle arvamusega mittenõustumine ei tee kannet ebatäpseks GDPR-i alusel. Kui patsient vaidlustab kliinilise hinnangu, on asjakohane vastus lisada täiendav avaldus, mis salvestab patsiendi seisukohta, muutmata algset kannet.
▶ Mida peab auditi jälg sisaldama, kui kliinilist andmestikku muudetakse
Kui kliinilise andmestiku kannet parandatakse või kommenteeritakse, peab auditi jälg sisaldama nelja asja: algset kannet, mis peab jääma nähtavaks ja muutmata, muudatuse kuupäeva ja kellaaega, muudatuse tegija identiteeti ja muudatuse põhjust. Algse kande ülekirjutamine või kustutamine, mitte selle kommenteerimine, loob nii GDPR-i vastavuse riski kui ka kutsealase vastutuse riski. Kui andmestikku on muudetud ilma nähtava auditi jäljeta, võib olla võimatu tõendada, et muudatus oli seaduslik.
▶ Kuidas peaks kliiniline administraator käsitlema parandamistaotlust ilma algset kannet muutmata
Standardne lähenemisviis on lisada dateeritud lisandus või kommentaar algse kande kõrvale. Korrektselt koostatud kommentaar peaks sisaldama kuupäeva, mil see lisati, selle lisaja nime ja rolli, selget avaldust selle kohta, mida parandatakse või lisatakse ja miks, ning vajaduse korral märkust, et muudatus järgneb patsiendi taotlusele artikli 16 GDPR alusel. Kui patsient on vaidlustanud kliinilise hinnangu, mitte faktilist viga, peaks kommentaar salvestama patsiendi seisukohta, viitamata sellele, et algne kanne oli vale.
▶ Milline on tähtaeg patsiendi parandamis- või kustutamistaotlusele vastamiseks
GDPR nõuab vastust ühe kuu jooksul pärast taotluse saamist. Keerukatel juhtudel võib seda perioodi pikendada veel kahe kuu võrra, kuid ainult siis, kui patsienti teavitatakse pikendamisest ja selle põhjustest algse ühe kuu jooksul. Vaikus või viivitus on iseenesest vastavuse ebaõnnestumine. Tähtaja jooksul vastamata jätmine käsitletakse põhjenduseta keeldumisena ja patsient võib esitada kaebuse otse asjakohasele järelevalveasutusele.
▶ Mida peab keeldumiskiri sisaldama, kui patsiendi kustutamis- või parandamistaotlusest keeldutakse
Keeldumise vastus peab olema kirjutatud lihtsas, arusaadavas keeles. See peab selgelt tuvastama konkreetse erandi või õigusliku aluse keeldumise jaoks, teavitama patsienti tema õigusest esitada kaebus riiklikule järelevalveasutusele, nagu Information Commissioner's Office Ühendkuningriigis, Data Protection Commission Iirimaal või Commission Nationale de l'Informatique et des Libertés Prantsusmaal, ja teavitama patsienti tema õigusest taotleda kohtulikku kaitset. Õiguslik standardtekst ei ole piisav. Patsient peab suutma mõista, miks taotlusest keelduti ja mida nad saavad edasi teha.
▶ Millal peaks andmekaitseametnik olema kaasatud kliinilise andmestiku taotluse käsitlemisel
Tervishoiuorganisatsioonid, kes töötlevad tervishoiuandmeid, on GDPR-i alusel kohustatud määrama andmekaitseametniku. Andmekaitseametnik peab olema kaasatud, kui vastus taotlusele on õiguslikult ebakindel, kui väljastatakse keeldumine või kui taotlus hõlmab võimalikku täpsuspõhimõtte rikkumist, mis võib mõjutada patsiendi ohutust. Rutiinseid taotlusi, nagu ilmse faktilise vea, näiteks vale aadressi parandamine, saab tavaliselt käsitleda praktikajuht või vanem kliiniline administraator, tingimusel et muudatus järgib õiget auditi jälje protseduuri. Kõik, mis hõlmab vaidlustatud kliinilist kannet, keeldumist kustutada või tundlikku teavet nagu kaitse- või vaimse tervise andmed, tuleks eskaleerida andmekaitseametnikule.
▶ Kas GDPR-i parandamis- ja kustutamisreeglid erinevad ELi liikmesriikides
GDPR seab baastaseme, kuid see lubab selgesõnaliselt liikmesriikidel kehtestada tervishoiuandmete töötlemiseks täiendavaid tingimusi artikli 9(4) alusel. See tähendab, et kliinilised administraatorid, kes töötavad erinevates ELi jurisdiktsioonides, võivad kokku puutuda erinevustega seadusest tulenevates säilitusperioodides, muutmise protseduurides ja patsientide õigustes, mis ulatuvad üle GDPR-i baastaseme. Saksamaal, Prantsusmaal, Iirimaal ja Madalmaades on igaühel oma seaduslikud raamistikud, mis reguleerivad, kui kaua erinevaid kliiniliste andmete kategooriaid tuleb säilitada. Kliinilised administraatorid, kes tegutsevad mis tahes konkreetses liikmesriigis, peaksid kontrollima kohaldatavaid riiklikke juhiseid, mille on tavaliselt välja andnud riiklik andmekaitseasutus või asjakohane tervishoiuministeeriumi, enne kui vastavad taotlustele, mis võivad hõlmata kohalikku õigust.
▶ Kas GDPR-i õigus kustutamisele laieneb kliiniliste andmete varukoopiatele ja arhiveeritud koopiatele
Jah. Kui kustutamine on õiguslikult nõutav, laieneb kohustus varukoopiatele ja arhiveeritud koopiatele, mida hoiavad töötlejad, mitte ainult esmastele andmetele. Kontrollitava andmete kustutamise rakendamine krüpteeritud kliiniliste andmekogumite üle on tehniliselt keeruline, eriti kui andmestikke kopeeritakse varukoopiates, arhiivides ja kolmandate osapoolte töötlejate juures. Kui kustutamine on õiguslikult nõutav, peavad infotehnoloogia ja teabe juhtimise meeskonnad olema kaasatud, et tagada selle täielik läbiviimine.
▶ Mis on vahe õigusel parandamisele ja õigusel lisada täiendav avaldus
Õigus parandamisele artikli 16 GDPR alusel hõlmab faktiliselt ebatäpsete andmete parandamist ja mittetäielike andmete täiendamist. Kui patsient usub, et andmestik on pigem mittetäielik kui ebatäpne, võib ta taotleda täiendava avalduse lisamist andmestiku täiendamiseks. See on oluline õigus, kuid see erineb õigusest nõuda algse kande eemaldamist või ülekirjutamist. Iiri andmekaitsevolinik kinnitab seda erinevust otseselt: täiendav avaldus asub algse kande kõrval, mitte ei asenda seda.