信息治理和数据保护政策

发布日期:2014年9月

内容

  1. 介绍
  2. 保障资料的目的及原则
  3. 范围
  4. 定义
  5. GDPR—发生了什么变化?
  6. 职责与责任
  7. 维持有效信息治理的程序
  8. 根据《2018年数据保护法》和《2018年通用数据保护条例》的要求,保持机密性的流程
  9. 监控遵守此政策的过程
  10. 相关政策、程序及参考资料

介绍

临床开元体育有限开元体育(本开元体育)认识到可靠信息的重要性及其对开元体育目标的贡献,该目标是开元体育提供获得最高质量的精神健康门诊护理的机会。临床开元体育致力于运营强有力的信息治理安排,以确保其以安全和有效的方式使用数据。本机构始终关注客户的保密权利,并力求将个人可识别资料丢失或滥用的风险降至最低。

临床开元体育委员会认识到,根据《2018年数据保护法》和《通用数据保护条例》,其有责任维护其处理的所有个人身份数据的安全性和保密性,并制定了确保实现这一目标的程序。临床开元体育在处理与个人有关的信息时,力求以透明和负责任的方式开展工作。

保障资料的目的及原则

信息治理(IG)政策规定了开元体育将如何确保有效、高效、安全和合法地使用信息,以及开元体育将采取的步骤,以尽量减少其管理的机密数据的丢失/泄露。GDPR的原则是基于问责制的。组织应确保所有信息符合以下原则:

  • 这是合法、公平、透明的
  • 它被收集和保留用于特定目的
  • 这些信息是相关和准确的
  • 信息被安全保存
  • 个人权利得到尊重

范围

本政策涵盖所有格式(如纸质、电子)信息的使用和管理,包括信息的安全性、可用性、收集、处理、存储、通信和处置。

GDPR 2018的引入适用于整个欧盟,并影响任何向欧盟公民开元体育提供服务的非欧盟企业。

本政策适用于为开元体育工作或为开元体育开元体育提供服务的所有员工和承包商。

定义

本保单将使用以下条款:

  • 信息治理涉及组织以合法和安全的方式处理或处理信息的方式
  • 个人资料机构持有的有关使用其服务的个人的资料
  • 数据主体这是一个可以从记录的关于他们的信息中识别出来的个人,以及这些信息与谁相关
  • 数据控制器这是组织控制和管理其持有的信息的方式
  • 数据处理者这是代表组织管理、处理和存储数据的第三方组织。外包工资就是一个例子

根据GDPR,处理者有新的责任,其中包括数据控制器确保处理者在尽职调查和数据保护方面符合GDPR,并在必要时审计其流程。

GDPR—发生了什么变化?

2018年5月,GDPR生效,影响所有欧洲国家或为欧洲公民开元体育提供服务的国家。这些变化将影响:

  • 同意
  • 范围
  • 问责制
  • 孩子们
  • 权利
  • 处理器
  • 违反
  • 罚款

同意

这涉及到组织有明确的信息和积极的选择加入,而不是假设选择加入。对信息的同意必须在不损害的情况下记录下来,个人可以随时撤回同意。

范围

如上所述

问责制

组织必须证明合规性并记录所有加工活动。所有操作都应由数据控制器和处理程序记录。

孩子们

所有与儿童的沟通必须有儿童友好的信息。必须有监护人的同意(如适用)并附有年龄证明。

权利

这涉及到个人的知情权和访问权。个人将有权删除数据(除非法律要求),并有权移动或转移数据。向该个人开元体育提供个人资料不会收取任何登录入口。

数据处理器

数据控制者必须确保任何数据处理者符合GDPR,并应在任何合同协议或条款中与具体责任一起记录。根据GDPR,处理者有新的责任。

数据处理者必须执行GDPR尽职调查和数据保护。在审查处理的合法性时应考虑以下因素:

  • 资料当事人已同意为一个或多个特定目的处理他或她的个人资料;
  • 为履行数据主体为当事人的合同,或为在订立合同前应数据主体的要求采取步骤,处理是必要的;
  • 为了履行控制者所承担的法律义务,处理是必要的;
  • 为了保护数据主体或其他自然人的切身利益,有必要进行处理;
  • 为履行为公众利益而执行的任务或为行使赋予控制者的官方权力而进行的处理是必要的;
  • 处理对于控制者或第三方追求的合法利益是必要的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,特别是当数据主体是儿童时。

第5.8段(5.8.3)点和(5.8.5)点所述处理的基础,对于履行为公共利益或行使赋予控制者的官方权力而执行的任务是必要的。

违规及罚款

任何违规行为都需要通知数据主体并至少记录下来。需要向监管机构发出通知。要求通知的例子包括意外删除个人资料或个人资料被未经授权的人士故意或以其他方式看到而缺乏私隐。其他违规行为包括数据保留和处理方面的错误。

任何违规行为的罚款最高可达全球营业额的4%,即2000万欧元。

职责与责任

首席执行官

CEO对开元体育治理的所有要素负有最终责任,包括开元体育内部的信息治理。首席执行官将与员工、治理和风险顾问以及外部签约专家合作,确保临床开元体育采取一切合理步骤,开发和实施有效保护开元体育聘用的患者、员工和临床医生机密数据的系统和流程。

资料保障主任

首席执行官是数据保护官,可通过以下地址与临床开元体育联系:Unit 6 Chaldicott Barns, Tokes Lane, Semley, SP7 9AW。如有必要,他们将寻求数据保护专家的指导,以确保遵守GDPR。作为合规过程的一部分,应该有一个审计数据系统和政策的方案。

本政策记录了临床开元体育的数据保护方法,并为员工开元体育提供了内部指导。新员工将在入职培训中接受有关合规和数据保护的培训。

通过开元体育开元体育提供临床服务的所有员工和开元体育

所有为开元体育工作的员工和通过开元体育开元体育提供患者服务的开元体育必须遵守本政策,对信息风险保持警惕;积极地对他们所负责的要素进行风险评估,并识别(通过评估或由于事件)超出其控制范围的任何风险并将其升级,以便将风险降低到可接受的水平。

维持有效信息治理的程序

会议及法律遵从

  • 开元体育根据《2018年数据保护法》和《2018年通用数据保护条例》的要求注册持有个人数据。法律合规要求见上文
  • 考虑到2018年GDPR的变化,对临床开元体育的隐私政策进行了审查和重写。这些信息可以在临床开元体育网站上访问,我们鼓励临床开元体育服务的所有潜在用户阅读隐私政策并接受其条款
  • 所有临床员工和临床开元体育员工都已被告知临床开元体育根据GDPR所做的数据更改,以及这些更改可能如何改变(如果有的话)我们与客户沟通的方式
  • 开元体育将通过定期分析数据、记录和系统变更来确保数字合规性
  • 当涉及到数据处理者时,开元体育是否会通过审计和合同条款来确保合规
  • 开元体育将与客户、开元体育、员工和承包商有关的所有可识别的个人信息视为机密,并将确保数据以安全的方式保存(例如,将纸质数据锁在文件柜中,并将数据保存在开元体育计算机的安全服务器上(而不是硬盘驱动器上))。
  • 当数据主体可识别的数据由开元体育持有时,这些数据将被视为机密,并且只有在“需要知道的基础上”才能访问,以开元体育提供开元体育的服务或进行开元体育提供这些服务所需的行政程序
  • 如果法定机构和/或开元体育服务的购买者要求,开元体育将全力配合对其信息安全实践的任何官方审计
  • 开元体育将所有与员工/承包商有关的可识别的个人信息视为机密信息,除非国家问责制和公开政策另有要求或欺诈调查需要。
  • 在法律上,开元体育为其记录或以纸张形式持有数据的数据主体有权要求开元体育开元体育提供有关其持有的信息的详细信息、删除或转移这些信息。开元体育必须根据《数据保护法》和《2018年通用数据保护条例》的安排作出回应

信息安全

本开元体育将保持有效的安全安排,以便通过以下途径获取和管理机密信息

  • 在任命员工到开元体育之前进行全面的人力资源检查
  • 员工隐私政策,概述开元体育对其数据的使用和保留
  • 要求为开元体育工作的所有员工和签约临床医生签发并接受与保密有关的书面个人责任声明。
  • 严格执行对开元体育持有的所有电子数据/材料使用个人访问密码的系统,并在故意违反数据安全的情况下采取纪律处分/丧失合同权利(临床开元体育)
  • 临床开元体育使用行业标准的数据管理产品Clinic Office version 5 b[2],它开元体育提供了行业级别的个人信息安全性
  • 所有记录将以电子方式保存在外部托管的web访问,密码控制的服务器上,并且不会对患者的个人信息/财务信息进行纸质记录
  • 患者发票的财务管理通过外部托管的基于web的安全开元体育提供商处理;“世界上支付”
  • 当保存纸质记录时,例如投诉信件,这些记录总是保存在一个上锁的文件柜里,并且在“需要知道”的基础上限制访问
  • 开元体育将通过合规性审计确保其使用的所有数据处理器符合GDPR 2018。

参考文献

  1. 在正式审计的情况下,例如由信息专员进行的审计,将始终给予充分的合作。如果潜在供应商希望进行他们自己的信息治理审计,这将仅限于对系统和流程的审计,并且机密数据(数据主体或财务数据)不会受到外部检查
  2. www.pioneersoftware.co.uk
  3. www.online.worldpay.com 

数据主体的权利

您有权要求:

  • 免费查阅我们所持有的有关您的个人资料;但是,我们有权拒绝毫无根据或过分的要求。(见7.4)
  • 更正不正确、过期或不完整的个人资料
  • 我们不再为直接营销目的而持有您的个人资料
  • 在您撤回同意后,我们停止对您的个人数据进行任何基于同意的处理

如果您希望我们停止持有您的数据,对我们持有的数据有疑问,或者希望将数据转移给其他医生,请发送电子邮件:[email protected]或致电0203 326 9160。

如果我们选择不处理您的请求,我们将解释拒绝的理由。您有权向监管机构(ICO)投诉此拒绝。

为了保护您的信息的机密性,我们会要求您在处理您的任何请求之前验证您的身份。如果您要求其他人代表您提交请求,我们将要求他们证明他们已获得您的许可。

资料当事人查阅资料的权利

《2018年数据保护法》(DPA)规定了对活着的人的健康记录的访问。DPA并不局限于NHS机构持有的健康记录。它同样适用于私营卫生部门和卫生专业人员的私人执业记录。它也适用于持有与其雇员的身体或精神健康有关的信息的雇主,如果该记录是由健康专业人员或代表健康专业人员为照顾雇员而制作的。该法案适用于英国全境。根据本指南中解释的条件,个人有权申请查阅健康记录,无论这些记录是何时编制的。

这些包括:

  • 有能力的成人患者
  • 从法律上讲,英格兰、威尔士和北爱尔兰没有自动推定16岁以下的人的行为能力,未满16岁的人必须证明他们对拟议的内容有足够的理解。然而,一般期望12岁或以上的儿童有能力同意或不同意公布其健康记录中的信息。如果在适当的保健专业人员看来,儿童不能理解查阅申请的性质,作为记录持有人的临床开元体育是否有权拒绝查阅
  • 如果不违背有能力的孩子的意愿,父母可以查阅孩子的记录。如果不止一人负有父母责任,每个人都可以独立行使探视权。对于与母亲同住的孩子,如果父亲申请查看孩子的记录,则没有义务通知孩子的母亲已经寻求查看记录。孩子被正式收养的,养父母是孩子的法定父母,自动承担父母责任。在某些情况下,父母以外的人承担父母责任,例如通过指定监护人或根据法院的命令。地方当局承担父母的责任(与父母共同承担),而儿童则是照料或监督命令的对象。如果对同意或不同意访问的人是否负有父母责任有疑问,应寻求法律意见
  • 当患者缺乏精神能力时,临床开元体育可能需要与任何被授权做出代理决定的个人共享信息。英格兰和威尔士的《精神能力法》和《无行为能力成年人(苏格兰)法》都包含提名个人代表无行为能力成年人作出健康和福利决定的权力。英格兰和威尔士的保护法院,以及苏格兰的治安法庭,也可以任命代表来做这件事。这可能需要查阅无行为能力人医疗记录的相关部分,除非临床开元体育能够证明这样做不符合患者的最佳利益。这些个人也可以被要求同意访问第三方记录的请求。在没有被指定的个人的情况下,如果符合患者的最佳利益,则应批准获取与无行为能力成年人有关的信息的请求。在所有情况下,只会开元体育提供有关的资料
  • 如果警方没有法院命令或搜查令,他们可以根据《个人隐私法》第29条要求自愿披露病人的健康记录。然而,尽管临床开元体育有权向警方披露这些记录,但他们没有义务这样做。在这种情况下,临床开元体育只能在患者同意的情况下披露信息,或者有压倒一切的公共利益。在为防止对公共健康、国家安全、个人或第三方的生命构成严重威胁,或为防止或侦查严重犯罪而必须披露的情况下,根据普通法为公共利益披露信息。这包括谋杀、过失杀人、强奸、叛国、绑架和虐待儿童或其他弱势群体等罪行。严重危害国家安全、社会公共秩序和严重欺诈的,也属于这一类
  • 临床合伙人向代表其病人行事的律师披露资料时,须确保获得病人的书面同意,如有疑问,亦须确认病人明白所披露资料的性质及范围。

任何资料当事人或获资料当事人授权的人士可要求索取其持有的任何个人资料的副本,本处将开元体育提供该等副本。自GDPR 2018以来,不需要任何登录入口。(见附录1。2和3的程序和模板)。

开元体育提供单据的唯一例外情况是:

  • 如果记录持有人认为披露可能对个人或他人造成伤害
  • 如果控制者证明他们无法识别数据主体。

如因信息披露发生争议,开元体育将寻求法律意见。

数据主体有权从控制者那里获得有关其个人数据是否正在被处理的确认,并且在这种情况下,有权访问个人数据和以下信息:

  • 处理的目的;
  • 有关的个人资料类别;
  • 个人资料已被披露或将被披露的收件人或收件人类别,特别是第三国或国际组织的收件人;
  • 在可能的情况下,个人资料将被存储的预期期限,或者,如果不可能,用于确定该期限的准则;
  • 存在要求控制者纠正或删除个人数据或限制处理与数据主体有关的个人数据或反对此类处理的权利;
  • 向监管机构提出申诉的权利;
  • 如个人资料并非向资料当事人收集,则有关其来源的任何现有资料;
  • 存在第22(1)和(4)条所述的自动决策,包括分析,至少在这些情况下,关于所涉及的逻辑的有意义的信息,以及这种处理对数据主体的重要性和设想的后果。

临床开元体育持有的个人资料不会转移到英国境外。

任何寻求访问非临床开元体育持有的临床记录的客户将被要求以书面形式向其临床医生提出请求,临床医生将负责回应该请求。

删除权(被遗忘权)

数据主体有权从控制者处获得与其相关的个人数据的删除,且不得无故拖延,控制者有义务删除个人数据,不得无故拖延,除非其他立法要求保留,且下列理由之一适用:

  • 就收集或以其他方式处理个人资料的目的而言,该等个人资料已不再是必需的;
  • 数据主体撤回同意,并且没有其他法律依据进行处理;
  • 数据主体反对处理,并且没有压倒一切的合法理由进行处理;
  • 个人资料被非法处理;
  • 为履行法律义务,必须删除个人资料;
  • 个人数据的收集与开元体育提供第8(1)条所述的信息社会服务有关。

响应与数据相关的事件

如果发生了实际或潜在的机密信息泄露事件,确定事件的人员必须通过事件报告程序向首席执行官报告。然后,首席执行官将负责调查,并根据需要召集专家协助调查。

如果开元体育遭遇安全漏洞(因盗窃、黑客攻击或其他方式导致数据丢失),首席执行官将根据《2018年数据保护法》和《2018年通用数据保护条例》的要求向信息专员报告该漏洞。

根据《2018年数据保护法》和《2018年通用数据保护条例》的要求,保持机密性的流程

资料保安及披露

所有为开元体育工作的员工/承包商都有责任确保:

  • 他们尽可能避免持有个人身份数据
  • 他们持有的任何个人资料都被安全地保存在一个有密码保护的电子系统中,或者锁在一个锁着的柜子里
  • 个人资料不会以口头或书面或其他方式透露给任何未经授权的第三方
  • 他们将尽一切合理的努力确保数据不会意外泄露

资料的保留

由于本开元体育关注临床服务的开元体育提供,本开元体育将根据处理法律披露所需的咨询时间,采用卫生署制定的数据保留建议。

  • 客户的个人身份数据将在最后一次联系后至少保留8年(或与收养有关的情况下的终身)。
  • 雇员的个人身份资料(例如与雇佣有关的资料等)
  • 签约通过合同开元体育提供服务的临床医生的个人识别信息(临床开元体育)合同安排结束后21年(鉴于临床工作属于精神健康领域,建议所有精神健康记录的保存期限为21年)
  • 只要个人/机构与本开元体育有专业关系,有关潜在承办商/承办商的个人身份资料及专业资料将予保留。如果签订了合同协议,这些信息将在交易结束后保留8年
  • 如果数据与采用案例相关,则需要终生保存客户信息。临床医生被要求在他们停止与临床开元体育合作时,通过记录交付将客户记录发送给临床开元体育总部

监控遵守此政策的过程

在考虑合规性时,需要考虑以下几点:

  • 用户的权利
  • 安全
  • 培训
  • 政策
  • 审查

将制订一项滚动审计方案,以确保储存和取用机密数据的当地系统的坚固性。这些审计的结果和任何行动计划将包括在首席执行官提交董事会的报告中。

如确有违反保密资料的情况,行政总裁会就调查结果(如有)及为尽量减少再次发生的风险而采取的措施作出报告。任何变更的效果都将由分析/审计进行监控。

有效地管理GDPR合规性将为临床开元体育客户和未来客户建立信任和信心。

如果数据主体认为与他或她有关的个人数据处理违反了本条例,则数据主体有权向信息专员办公室提出投诉。

合规管理将从以下方面开始:

  • 单一联络点-资料保障主任
  • 审核数据、系统和策略
  • 记录数据保护方法,确保政策到位
  • 员工的内部文件和指导
  • 培训员工
  • 保持合规性并保持更新

相关政策、程序及参考资料

  • 临床开元体育风险管理策略和政策
  • GDPR 2018
  • 信息专员网站:www.ico.org.uk
  • 事故报告政策

参考文献

  1. 2018年数据保护法和一般数据保护条例(GDPR)

今天就打电话给我们

0203 326 9160