«Ο GDPR είναι ευκαιρία για όλους»

Πολιτεία και επιχειρήσεις φαίνεται πως βρίσκονται σε έναν «αγώνα δρόμου», ενώ στον ΕΟΠΥΥ οι αρμόδιες υπηρεσίες έχουν ήδη αρχίσει τις διαδικασίες, με άξονα έργο που είναι σε εξέλιξη για την ανάλυση των ευπαθειών και την ακριβή απεικόνιση των διαθέσιμων δεδομένων, αλλά και την αλλαγή του Οργανογράμματος για την ένταξη τμήματος που θα αναλάβει, μεταξύ άλλων, τον ρόλο του DPO (Data Protection Officer).

Στον αντίποδα, ωστόσο, οι πάροχοι φαίνεται να κινούνται με διαφορετικές ταχύτητες. Οι μεγαλύτερες επιχειρήσεις στην Υγεία δείχνουν να προσαρμόζονται ταχύτερα, με αρκετές μικρομεσαίες να ανησυχούν κυρίως για τον διαθέσιμο χρόνο. Όπως εξηγεί όμως στο PhB ο προϊστάμενος της Γενικής Διεύθυνσης Οργάνωσης και Σχεδιασμού Αγοράς Υπηρεσιών Υγείας του ΕΟΠΥΥ Γ. Αγγούρης, είναι ανάγκη, αρχικά, να δει ο οποιοσδήποτε φορέας πόσο μακριά είναι από την εφαρμογή του Κανόνα, για να καταλάβει τι απαιτείται.

Σε κάθε περίπτωση όμως, κατά τον κύριο Αγγούρη, είναι ευκαιρία για όλους να αναλύσουν, να αποτυπώσουν και να απλουστεύσουν το εσωτερικό τους περιβάλλον.

Πώς επηρεάζει ο νέος κανονισμός τον ΕΟΠΥΥ;

Το πρώτο πράγμα που θα πρέπει να γίνει είναι μια ανάλυση τυχόν παθογενειών που μπορεί να έχει ο Οργανισμός στις λειτουργίες του, οι οποίες επηρεάζουν την τήρηση δεδομένων προσωπικού χαρακτήρα, είτε έντυπα είτε ηλεκτρονικά. Προκειμένου, καταρχήν, να ανιχνευθεί τυχόν πρόβλημα, έχουμε σε εξέλιξη έργο το οποίο θα διατρέξει όλες τις λειτουργίες του Οργανισμού και όπου φυλάσσονται δεδομένα προσωπικού χαρακτήρα –σε οποιαδήποτε μορφή–, θα αποτυπωθούν πού βρίσκονται. Στην πραγματικότητα, θα πρέπει για τα δεδομένα που αφορούν σε φυσικό ή νομικό πρόσωπο να έχουμε μια πλήρη και λεπτομερή απεικόνιση, ότι δηλαδή είναι σε ένα ή περισσότερα σημεία τηρούμενα, έτσι ώστε σε δεύτερο χρόνο να εξετάσουμε αν αυτά χρειάζονται νομιμοποίηση ή οποιοδήποτε άλλο χαρακτηριστικό επιβάλλεται από τον ευρωπαϊκό κανονισμό να υλοποιηθεί. Αυτό είναι το πρώτο.

Στη συνέχεια, αφού γίνει αυτή η αποτύπωση του Οργανισμού, θα πρέπει να ακολουθήσει μια διαδικασία για τα δεδομένα αυτά, όπου θα συγκεντρωθούν, ει δυνατόν, σε ένα σημείο, ώστε να είμαστε σε θέση να μιλάμε για μοναδικά τηρούμενη πληροφορία, και να εφαρμοστούν πάνω τους χαρακτηριστικά τα οποία επιβάλλει ο Κανονισμός, όπως για παράδειγμα το δικαίωμα στη λήθη ή οτιδήποτε άλλο επιβάλλεται.

Όσον αφορά αυτήν τη ρήτρα λήθης που προβλέπει ο GDPR, θα υπάρχει, δηλαδή, δυνατότητα και για την περίπτωση φορέων όπως ο ΕΟΠΥΥ;

Το νομικό πλαίσιο το ανιχνεύουμε τώρα, ως προς το τι μπορεί να σημαίνει λήθη για έναν Οργανισμό σαν τον ΕΟΠΥΥ, που επεξεργάζεται δεδομένα Υγείας. Αν μιλάμε για δεδομένα προσωπικού χαρακτήρα, τα οποία αφορούν αποτελέσματα εξέτασης που δεν αφορά την περίπτωση του ΕΟΠΥΥ όμως, γιατί εμείς δεν τηρούμε τέτοια πληροφορία, αυτό θα μπορούσε να είναι θέμα λήθης. Στοιχεία άλλα που μπορεί να προξενούν οικονομικές δαπάνες ναι μεν μπορεί να αφορούν τη λήθη όσον αφορά στον ασφαλισμένο τον ίδιο, αλλά σαν κίνηση του Οργανισμού, επειδή είναι λογιστικό σημείο και οικονομικό, προφανώς, και δεν μπορεί να είναι σε λήθη, γιατί επηρεάζει οικονομικά αποτελέσματα. Οπότε, αυτό το σημείο δεν μπορεί να σβήσει στο διάστημα που επιβάλλεται από τον Νόμο. Μπορεί να σβήσει κατά το μέρος, αν θέλετε, που αφορά στον ασφαλισμένο, αν είναι συγκεκριμένο ή όχι, και πάλι υπό συνθήκη, γιατί αυτά μπορεί να συνοδεύονται και από νομικές παρενέργειες.

Το νομικό πλαίσιο τώρα διαμορφώνεται;

Τώρα διαμορφώνεται. Τώρα –αν θέλετε– βγαίνει κανονιστικά, για να δούμε πώς θα εφαρμοστεί.

Αυτό είναι από τη μεριά του ΕΟΠΥΥ, με τους παρόχους όμως τι γίνεται; Πώς επηρεάζονται; Τι πρέπει να κάνουν;

Αν υποθέσουμε ότι ΕΟΠΥΥ και πάροχοι είναι δύο συγκοινωνούντα δοχεία, τα δεδομένα που τηρούν οι πάροχοι στον δικό τους Οργανισμό, φορέα ή επιχείρηση αφορούν στους ίδιους, αυτούς καθαυτούς. Εμείς δεν μπορούμε να υπεισέλθουμε και να πούμε αν αυτός τηρεί τα δεδομένα τα νομιμοποιημένα ή με τι καθεστώς. Εμείς είμαστε υπεύθυνοι από τη στιγμή που τα δεδομένα μπαίνουν στον ΕΟΠΥΥ και από εκεί και πέρα. Σε κάθε περίπτωση, η διαδικασία επικοινωνίας μας και μεταφοράς δεδομένων από αυτούς προς εμάς και το αντίστροφο θα πρέπει να γίνεται υπό καθεστώς ασφάλειας.

Καθεστώς ασφαλούς μετάδοσης δεδομένων υπάρχει και τώρα, έτσι κι αλλιώς. Δεν είναι ότι τα τώρα τα δεδομένα είναι στον αέρα, χωρίς καμιά ασφάλεια. Για αυτό και δεν έχουμε καμία υποκλοπή δεδομένων καταγεγραμμένη, ή να ελεγχόμαστε για κάτι τέτοιο. Σε δεύτερο χρόνο όμως, και με τον Κανονισμό, σίγουρα τα χαρακτηριστικά ασφαλείας θα μεταβληθούν και σίγουρα θα γίνουν πιο σφιχτά. Το ποια ακριβώς θα είναι αυτά θα προκύψει μέσα από την ανανέωση που γίνεται αυτή τη στιγμή μέσω του έργου που είναι σε εν εξελίξει διαγωνιστική διαδικασία, για να βγάλουμε ακριβώς τις προδιαγραφές του, δεν θα είναι σίγουρα κάτι που θα φέρει αναστάτωση στην αγορά και θα δυσκολέψει τη ζωή των παρόχων μας.

Δεν απαιτείται όμως και μια προσαρμογή, δεν συνοδεύεται και από κόστος; Ποια είναι η δική σας εικόνα;

Κόστος θα έχει. Αν μιλάμε για τη μεταφορά δεδομένων, δεν θα έχει μεγάλο κόστος. Υπάρχουν τεχνικές οι οποίες δεν κοστίζουν ποσά που θα επηρεάσουν, αν θέλετε, τη λειτουργία και την ευρωστία της επιχείρησης, ούτε θα αυξήσουν σοβαρά το λειτουργικό τους κόστος, αλλά δεν θα είναι μηδέν. Είναι απίθανο να είναι μηδέν. Σε κάθε περίπτωση, μπορεί να είναι αν μιλάμε για ένα σύστημα που μπορεί να έχει ένας πάροχος το οποίο είναι πολύ εξελιγμένο. Θα μπορούσε να αγγίζει το μηδέν ή να είναι πολύ λίγες οι προσαρμογές του και δεν θα φέρουν καμία ιδιαίτερη διαφορά.

Σε άλλους μπορεί να είναι μεγαλύτερες. Είναι και θέμα τού τι έχει ο «απέναντι». Θα είναι μοναδική η λύση; Εμείς θα κοιτάξουμε να μην είναι μία η λύση, για να μην οδηγήσουμε σε κάποια συγκεκριμένη προμήθεια ή, αν θέλετε, προσαρμογή τους παρόχους, αλλά ένα σετ λύσεων, όπου να μπορεί να επιλέξει ο καθένας τι από αυτά θα τον εξυπηρετήσει καλύτερα να προμηθευτεί, για να ταυτιστεί με εμάς.

Τη δίνει τη δυνατότητα αυτή, δηλαδή, ο Κανονισμός; Την ευελιξία στην επιλογή για τον κάθε φορέα;

Ο Οργανισμός δίνει πρότυπα και λέει ότι «εγώ θέλω να μου έχεις μια ασφαλή μετάδοση πληροφορίας». Το πώς θα γίνει αυτό και με τι ακριβώς λογισμικό θα γίνει και ποια διαδικασία, αυτό, δεν θα έρθει κανένας Κανονισμός να σου πει ότι θα χρησιμοποιήσεις το τάδε λογισμικό, τον τάδε προμηθευτή, κατασκευαστή. Αυτό δεν θα το κάνει, όπως κανένας Κανονισμός δεν το κάνει. Δεν γίνεται αυτό. 

Οι πολίτες επηρεάζονται από όλη αυτήν την ιστορία και σε ποιο επίπεδο;

Οι πολίτες σαφώς και επηρεάζονται, και είναι προς το συμφέρον τους αυτή η εξέλιξη. Ο πολίτης, αυτή τη στιγμή, παράγει δεδομένα και στο κομμάτι της Υγείας και φορολογικά και ασφαλιστικά και τραπεζικά, αν θέλετε, τα οποία σε κάποιον βαθμό θεωρούμε ότι μπορούν να έρθουν στην κατοχή μιας διαφορετικής εταιρείας ή να δεχθούμε τηλέφωνα σπίτι ή να παίρνουμε mail ή SMS και να δεχόμαστε διαφημιστικά μηνύματα. Κάτι τέτοιες συμπεριφορές στον νέο Κανονισμό είναι απόλυτα κατακριτέες αν δεν υπάρχει συναίνεση για τη χρήση των δεδομένων από τον πολίτη. Άρα, αυτή η διαδικασία εκκαθάρισης που γίνεται τώρα σαφώς και θα μειωθεί, αν δεν εξαλειφθεί τελείως.

Από την άλλη μεριά, κανένας μας δεν θέλει –είτε Οργανισμός είτε πάροχος– να οδηγήσουμε τον πολίτη στο άλλο άκρο. Όχι στο να διαθέτει τα δεδομένα του, στο να υπογράφει συμφωνητικά δυσνόητα πολλές φορές, τα οποία κι αυτός δεν θα μπορεί να ερμηνεύσει και θα οδηγηθεί σε μη ερμηνεύσιμες καταστάσεις από τον ίδιο.

Ο ΕΟΠΥΥ όμως, σε αυτό το σημείο, είναι σε πάρα πολύ καλό βαθμό ετοιμότητας, γιατί έχει καταγεγραμμένες και συγκεντρωμένες σε ένα σημείο όλες τις κινήσεις όλων των πολιτών από το 2012 μέχρι και σήμερα, οι οποίες είναι προσβάσιμες στον κάθε πολίτη μέσω του ασφαλιστικού φακέλου. Άρα, λοιπόν, το δικαίωμα στη λήθη ή στην πρόσβαση στην εικόνα που έχει ο ΕΟΠΥΥ για τον κάθε πολίτη, αυτό είναι σε λειτουργία από τον ΕΟΠΥΥ.

Έτσι κι αλλιώς, είναι και προαπαιτούμενο του Κανονισμού να είναι πολύ σαφής η αίτηση συγκατάθεσης και της λήθης, αντιστοίχως. Θα δημιουργηθεί κάτι από τον ΕΟΠΥΥ ως πρότυπο;

Θα δημιουργηθεί, βεβαίως. Και υπάρχει ένα πρωτόλειο –όχι στο πλαίσιο του Κανονισμού, στο πλαίσιο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα–, σύμφωνα με το οποίο, μέσα από την υπηρεσία του φακέλου ασφάλισης υγείας (ΦΑΥ), συναινεί ή όχι ο ασφαλισμένος. Εδώ θα πάμε σε μια νέα μορφή έκδοσης του συμφωνητικού, προκειμένου να έχουμε μια συναίνεση ή όχι στο πλαίσιο του Κανονισμού.

Θα τροποποιηθεί, προφανώς, το κείμενο, για να είναι αντίστοιχο, και μέσα από εκεί θα μπορεί να συναινεί ή όχι στην οποιαδήποτε διάθεση των δεδομένων του, η οποία, από πλευράς ΕΟΠΥΥ, θα είναι σίγουρα εξαιρετικά σφιχτή.

Εμείς δεν είμαστε εμπορικός Οργανισμός, και ούτε πρόκειται να γίνουμε, προκειμένου να δώσουμε δεδομένα οποιασδήποτε μορφής, ακόμα κι αν αυτά αποτελούν ερευνητικό στόχο ή εξυπηρετούν ερευνητικό σκοπό, όπου αν δοθούν δεδομένα –γιατί υπάρχει διαδικασία και γι’ αυτό–, θα δοθούν με κάποια τυποποιημένη διαδικασία.

Για την τήρηση του Κανονισμού ποιος θα είναι υπεύθυνος;

Προβλέπεται ειδικός ρόλος μέσα σε επιχειρήσεις που είναι πάνω από 250 εργαζομένους, δηλαδή και για εμάς, ο DPO (Data Protection Officer). Εμείς έχουμε προβλέψει στο νέο οργανόγραμμα, που είναι υπό υλοποίηση, ότι θα υπάρχει ειδικό τμήμα, αρμοδιότητα του οποίου θα είναι κι αυτή η λειτουργία. Οπότε, σε πρώτο χρόνο, το αντίστοιχο τμήμα, το οποίο είναι ανεξάρτητο, τελεί υπό τον πρόεδρο και ελέγχεται από αυτόν.

Και θα είναι υπεύθυνο να ελέγχει τη λειτουργία και του Οργανισμού και, σε κάποιο επίπεδο, και των παρόχων, μιας και είστε συγκοινωνούντα δοχεία, όπως είπατε;

Θα ελέγχει τη διαδικασία του Οργανισμού σε πρώτο χρόνο και ό,τι αφορά στον Κανονισμό, και όχι μόνο –γιατί η διαδικασία του εσωτερικού ελέγχου είναι κάτι που δεν αφορά μόνο τον Κανονισμό του GDPR. Όσον αφορά στους παρόχους, μόλις βγει το κανονιστικό πλαίσιο και ο νόμος έχει αποσαφηνιστεί τελείως, μια δράση που θα μπορούσε να γίνει ενδεχομένως –γιατί ενδεχόμενα εξετάζουμε– θα είναι να έχουμε τροποποιήσεις συμβάσεων με βάση τους Κανονισμούς, αν αυτό απαιτηθεί –μπορεί και να μην απαιτηθεί κιόλας.

Εμείς δεν μπορούμε να μπούμε στην εσωτερική λειτουργία της οποιαδήποτε επιχείρησης. Δεν υπάρχει τέτοιο ενδεχόμενο. Πώς να μπούμε; Μπορούμε να δούμε μέχρι την πόρτα μας και να εξασφαλίσουμε μέχρι εκεί. Ή αν θέλετε και μέχρι την πόρτα τους και να δούμε και τον μεταξύ μας ηλεκτρονικό δρόμο να είναι ασφαλής. Τώρα, το τι κάνει μέσα εμείς δεν μπορούμε να το ελέγξουμε.

Είναι ρεαλιστικό να έχει τεθεί σε ισχύ ο Κανονισμός μέχρι τα τέλη Μαΐου, που είναι και η ευρωπαϊκή πρόβλεψη;

Ο ΕΟΠΥΥ μέχρι κάπου τον πέμπτο μήνα, δεν θέλω να ακουμπήσουμε τον έκτο… Θέλω να είμαστε εμπρόθεσμοι, για αυτό και στην προκήρυξη –για την ανάλυση ευπαθειών– που έχουμε σε εξέλιξη τώρα, επειδή έχουμε διάφορες δράσεις μέσα, έχουμε προσδιορίσει χρονικά τις πρώτες δράσεις που θα παραδοθούν να είναι αυτές που αφορούν τον Κανονισμό GDPR, ώστε να προλάβουμε να είμαστε κοντά σε αυτήν την προθεσμία. Τώρα, μπορεί να είμαστε απολύτως, μπορεί να έχουμε μια ελάχιστη καθυστέρηση, αλλά δεν θα έχουμε μεγάλη καθυστέρηση, από όσα γνωρίζουμε μέχρι στιγμής.

Τι πιστεύετε ότι μπορεί να προσφέρει ο GDPR;

Σε όλες τις παρουσιάσεις που έχω κάνει, λέω ότι ο νόμος αυτός, ο Κανονισμός, θα μας βοηθήσει όλους να μάθουμε το εσωτερικό μας περιβάλλον. Το εσωτερικό περιβάλλον της κάθε επιχείρησης, σίγουρα, στην εξέλιξή του, «γεννάει» κενά ή επικαλύψεις. Τα κενά και οι επικαλύψεις δημιουργούν πρόσθετα κόστη, γιατί παράγουν δυσλειτουργίες.

Το GDPR, για να εφαρμοστεί σε έναν καλό βαθμό, το βοηθάει πολύ ένα ISO, μια πιστοποίηση. Άρα, τι σημαίνει; Ότι είναι ευκαιρία το περιβάλλον το εσωτερικό όλων μας να αναλυθεί, να αποτυπωθεί και να απλουστευτεί. Και να ικανοποιήσει συνθήκες ISO, να πάρει ένα πιστοποιητικό ISO, για να ξέρουμε ότι είναι κανονικοποιημένο, και στη συνέχεια να έρθει σαν GDPR και να πάρει και μια πιστοποίηση για τα προσωπικά δεδομένα.

Είναι ευκαιρία αυτό το πράγμα να γίνει τώρα. Οι ελληνικές επιχειρήσεις, ειδικά οι μεσαίες –οι μεγάλοι το κάνουν αναγκαστικά–, αποφεύγουν τις πιστοποιήσεις, γιατί τις θεωρούν αξεσουάρ. Δεν είναι. Βοηθάει πάρα πολύ.

 Σας έχουν μεταφέρει κάποιο μεγαλύτερο προβληματισμό; Κάποια ανησυχία;

Ανησυχία χρονική, βεβαίως, υπάρχει. Όλοι λένε: «Θα προλάβουμε»; Να προλάβουμε να κάνουμε τι; Το ερώτημα είναι να προλάβουμε όσον αφορά στην εφαρμογή του. Αλλά για να δούμε την εφαρμογή του και να είμαστε εντάξει όλοι, πρέπει να δούμε τι απαιτείται. Για να είμαστε εντάξει, θα πρέπει να δούμε το πρόβλημα και πόσο μακριά είμαστε από τη λύση του. Άμα δεν το ξέρουμε αυτό, δεν μπορούμε να απαντήσουμε και στο ερώτημα αν θα είμαστε εντάξει.

Άρα, το πρώτο πράγμα που θα έπρεπε να κάνουμε όλοι μας, ο καθένας σαν νομικό πρόσωπο, είναι να δούμε πόσο μακριά είμαστε από την εφαρμογή του, το οποίο δεν είναι ίδιο για όλους μας. Ο καθένας διαφέρει. Οπότε μόλις γνωρίσουμε αυτό –τις ευπάθειες που λέγαμε νωρίτερα–, τότε θα καταλάβουμε και κατά πόσο θα είμαστε on time ή όχι.

Κάποιοι έχουν φόβο για αυτό. Και, μάλιστα, από τις ερωτήσεις, είδα ότι έχουν φόβο και ανησυχία οι μικροί πάροχοι, τα φυσικά πρόσωπα. Είδαμε, δηλαδή, φυσικά πρόσωπα που είχαν ανησυχία, μήπως… Εντάξει, εκεί έχουμε το φυσικό πρόσωπο, το σύνθετο δεδομένο που μπορεί να τηρήσει σαν προσωπικό του αρχείο ή μέσα από τη δραστηριότητά του, σαφώς, είναι πιο οριοθετημένο από μια κλινική, που έχει άλλο εύρος δραστηριότητας. Αυτοί εύκολα θα προσαρμοστούν, και γίνονται δράσεις από πάρα πολλούς προμηθευτές τέτοιων υπηρεσιών GDPR, για να προσαρμοστούν εύκολα και με μικρό κόστος.

Πηγή: virus.com.gr / PhB