Jurídico e conformidade

No LinkHMS, estamos empenhados em manter os mais elevados padrões de conformidade legal e de proteção de dados para garantir a segurança e a privacidade dos nossos utilizadores.

Normas de conformidade

 

O LinkHMS funciona de acordo com normas de proteção de dados e de cuidados de saúde reconhecidas internacionalmente, incluindo:

HIPAA (Health Insurance Portability and Accountability Act): garante a confidencialidade, integridade e segurança das informações de saúde.

Controlo de acesso

  • Cada utilizador tem um ID único atribuído para controlar o seu acesso e atividade no sistema
  • Os procedimentos de acesso de emergência estabelecidos facilitaram o acesso aos DCC em situações de emergência.
  • Foram implementadas funcionalidades de encerramento automático para impedir o acesso não autorizado após períodos de inatividade.
  • As PHI são encriptadas em repouso e em trânsito para proteger os dados contra o acesso não autorizado.
 

Controlos de auditoria

  • Foram criados mecanismos de registo para registar o acesso e as modificações das ISP.
  • Monitorização e análise regulares dos registos de auditoria para detetar e responder a acessos não autorizados ou anomalias.
 

Controlos de integridade

  • Os mecanismos implementados asseguram que as informações médicas pessoais não são indevidamente alteradas ou destruídas, utilizando somas de verificação, funções de hash ou assinaturas digitais.
  • As técnicas de validação de dados aplicadas impedem a introdução de dados incorrectos ou maliciosos.
 

Segurança da transmissão

  • Utilizou protocolos de encriptação seguros (por exemplo, TLS) para proteger os DCC durante a transmissão eletrónica através de redes.
  • Os controlos de integridade aplicados garantem que os dados transmitidos não são alterados durante a transmissão, utilizando assinaturas digitais ou algoritmos de hashing seguros.
 

Autenticação

  • A autenticação de dois factores implementada aumenta a segurança dos logins dos utilizadores, assegurando que apenas os utilizadores autorizados podem aceder a PHI.
  • A aplicação de políticas de palavras-passe fortes, incluindo requisitos de complexidade e alterações regulares, garante um controlo de acesso robusto.
 

Controlos de dispositivos e suportes

  • Implementou políticas e procedimentos para garantir a eliminação segura de PHI armazenados em suportes físicos, como discos rígidos, unidades USB ou registos em papel.
  • Os procedimentos estabelecidos limpam de forma segura as PHI dos suportes antes da sua reutilização ou reaproveitamento.
  • Os dados encriptados em dispositivos portáteis e suportes amovíveis protegem contra o acesso não autorizado em caso de perda ou roubo.
 

Salvaguarda de dados e recuperação de desastres

  • Cópia de segurança dos dados: Efetuar regularmente cópias de segurança das PHI para garantir que os dados podem ser restaurados em caso de perda ou corrupção de dados.
  • Plano de recuperação de desastres: Implementar um plano de recuperação de desastres que inclua procedimentos para restaurar o acesso aos DCC em caso de emergência ou falha do sistema.
 

Minimização e retenção de dados

  • Recolhidos e armazenados apenas os DCC mínimos necessários para o fim a que se destinam.
  • As políticas estabelecidas de retenção e eliminação de dados garantem que os DCC são retidos apenas quando necessário.
 

Práticas de desenvolvimento seguro

  • Seguiu normas de codificação seguras para evitar vulnerabilidades como a injeção de SQL, XSS e CSRF.
  • Efectuou avaliações de segurança regulares, incluindo análises de vulnerabilidades e testes de penetração, para identificar e reduzir os riscos de segurança.
 

Acordos de Associados Comerciais (BAAs)

  • Todos os prestadores de serviços terceiros que acedem a PHI assinaram um Acordo de Associação Comercial (BAA), que define as suas responsabilidades ao abrigo da HIPAA.
  • Avaliou e monitorizou regularmente a conformidade de fornecedores terceiros com os requisitos de segurança HIPAA para garantir o cumprimento das normas.
 

Formação e sensibilização

  • A formação regular garante que os funcionários compreendem a conformidade com a HIPAA e a importância de proteger as PHI.
  • Formação dos funcionários sobre resposta a incidentes e preparação para lidar com violações de segurança que envolvam PHI.
 

Notificação de violações e resposta a incidentes

  • Implementou sistemas de monitorização para detetar potenciais incidentes de segurança ou violações de dados que envolvam PHI.
  • Os procedimentos estabelecidos garantem a notificação atempada dos indivíduos afectados, do Department of Health and Human Services (HHS) e de outras entidades em caso de violação de PHI.
 

Medidas de segurança física

  • Garantir que os controlos de acesso às instalações restringem o acesso físico às instalações que armazenam PHI apenas a pessoal autorizado.
  • Implementou salvaguardas físicas e técnicas para estações de trabalho para evitar o acesso não autorizado a PHI.

RGPD (Regulamento Geral sobre a Proteção de Dados): protege os dados pessoais e a privacidade na União Europeia.

Encriptação de dados

  • Encriptados: Todos os dados pessoais, armazenados em servidores, bases de dados e dispositivos de armazenamento, utilizando algoritmos robustos (por exemplo, AES-256), permaneceram protegidos.
  • Transmissão protegida por TLS: Os dados transmitidos entre sistemas mantêm a integridade e a confidencialidade.
 

Controlos de acesso

  • Acesso restrito com base na função: O acesso aos dados pessoais, limitado com base nas funções do utilizador, garantiu que os funcionários só acedem aos dados necessários.
  • Autenticação verificada multi-fator: São necessárias várias formas de verificação (por exemplo, palavras-passe, biometria) para aceder a dados sensíveis.
  • Tempo limite gerido pela sessão: Implementou o tempo limite automático da sessão e a reautenticação em caso de inatividade prolongada.
 

Anonimização e pseudonimização

  • Dados anónimos: Os identificadores pessoais, removidos ou modificados, impediram a identificação direta ou indireta de indivíduos.
  • Informação pseudonimizada: Informações identificáveis substituídas por pseudónimos ou tokens encriptados, minimizando os riscos de privacidade e permitindo a utilização dos dados.
 

Auditorias de segurança regulares

  • Vulnerabilidades avaliadas regularmente: Os pontos fracos da segurança são identificados e corrigidos através de avaliações regulares.
  • Sistemas testados quanto à penetração: Simulações de ciberataques testaram a resiliência do sistema.
  • Actividades continuamente monitorizadas: Sistemas de deteção e prevenção de intrusões monitorizados quanto a actividades suspeitas.
 

Minimização e retenção de dados

  • Recolha de dados minimizada: Apenas foi recolhida a quantidade mínima de dados pessoais necessária para fins específicos.
  • Políticas de retenção definidas: São definidos períodos de retenção de dados e são implementados mecanismos automatizados para a eliminação segura de dados.
 

Notificação e resposta a violações de dados

  • Plano de resposta a incidentes documentado: Procedimentos estabelecidos para identificar, comunicar e mitigar violações de dados.
  • Protocolos de notificação: Capacidade de notificar as autoridades e as pessoas afectadas no prazo de 72 horas após a descoberta de uma violação.
 

Cópia de segurança e recuperação de desastres

  • Cópia de segurança regular dos dados: As cópias de segurança dos dados pessoais são efectuadas regularmente e armazenadas de forma segura com encriptação.
  • Recuperação de desastres testada: Os planos de recuperação de desastres são testados regularmente quanto à integridade e disponibilidade dos dados durante falhas ou ataques.
 

Integridade e exatidão dos dados

  • Exatidão dos dados validados: As verificações de validação de dados são implementadas para garantir a exatidão.
  • Registos auditados: Os registos de auditoria são mantidos para controlar o acesso, as modificações e as transferências para efeitos de responsabilização.
 

Privacidade desde a conceção e por defeito

  • Projectos com avaliação da privacidade: Os novos projectos que envolvem dados pessoais foram submetidos a avaliações de impacto sobre a privacidade (PIA) para reduzir os riscos.
  • Definições de privacidade predefinidas: Os sistemas utilizaram como predefinição as definições de privacidade mais elevadas (por exemplo, aceitar a partilha de dados).
 

Formação regular dos trabalhadores

  • Funcionários permanentemente sensibilizados para a segurança: Formação regular sobre os requisitos do RGPD e as melhores práticas para os funcionários.
  • Respostas simuladas de phishing: As respostas dos funcionários são testadas regularmente com ataques de phishing simulados...

CCPA (California Consumer Privacy Act): concede direitos aos residentes da Califórnia relativamente às suas informações pessoais.

Controlos de acesso aos dados

  • Controlo de acesso com base em funções: O acesso às informações pessoais é restringido com base nas funções do utilizador, garantindo que apenas o pessoal autorizado acede a dados específicos.
  • Autenticação multi-fator: O acesso a dados sensíveis exigia múltiplas formas de verificação (palavras-passe, biometria, tokens de hardware).
 

Encriptação

  • Dados encriptados em repouso e em trânsito: São utilizados protocolos de encriptação fortes (AES-256 para armazenamento e TLS para transmissão) para proteger os dados dos consumidores contra acesso não autorizado ou violações.
 

Políticas de minimização e retenção de dados

  • Recolha de dados minimizada: Apenas são recolhidos os dados necessários para fins comerciais específicos.
  • Políticas de retenção definidas: Períodos de retenção claros definidos, com dados eliminados de forma segura que já não são necessários, em conformidade com a CCPA.
 

Registos de auditoria e monitorização

  • Acesso registado detalhado: Registos abrangentes mantidos para acesso, modificações, eliminações e transferências, fornecendo uma pista de auditoria clara.
  • Actividades continuamente monitorizadas: Sistemas em tempo real implementados para monitorizar tentativas de acesso não autorizado ou actividades suspeitas.
 

Controlos da privacidade e direitos dos consumidores

  • Mecanismos que permitem a auto-exclusão: Opções facilmente acessíveis para os consumidores optarem por não vender ou partilhar dados.
  • Pedidos de acesso aos dados desenvolvidos: Processos desenvolvidos para tratar os pedidos de acesso, eliminação ou divulgação de dados dos consumidores dentro dos prazos estabelecidos.
 

Auditorias de segurança regulares

  • Vulnerabilidades avaliadas regularmente: São realizadas avaliações regulares das vulnerabilidades para identificar lacunas na segurança e melhorar os controlos.
  • Segurança testada por penetração: São efectuados testes de penetração periódicos para avaliar a eficácia das medidas de segurança e identificar potenciais pontos fracos.
 

Procedimentos de eliminação de dados

  • Processos de eliminação automatizados: Processos automatizados criados para garantir a eliminação atempada dos dados dos consumidores mediante pedidos verificados, seguindo as diretrizes da CCPA.
  • Dados de cópia de segurança regularmente higienizados: Os dados de cópia de segurança são revistos e higienizados regularmente para garantir a conformidade com os pedidos de eliminação.
 

Resposta a incidentes e notificação de violações

  • Planos de resposta a incidentes: Planos abrangentes desenvolvidos para detetar, responder e mitigar violações de dados.
  • Estabelecimento de procedimentos de notificação de violações: Foram estabelecidos protocolos para notificar prontamente os consumidores afectados em caso de violação de dados, em conformidade com os requisitos da CCPA.
 

Formação regular dos trabalhadores

  • Funcionários sensibilizados para a CCPA: Sessões de formação regulares conduzidas para os funcionários sobre os requisitos da CCPA, as melhores práticas de privacidade de dados e o tratamento seguro dos dados dos consumidores.

Normas HL7/FHIR: facilitam o intercâmbio de dados entre sistemas de saúde, assegurando a interoperabilidade e a normalização.

Protocolos seguros de intercâmbio de dados

  • O HL7/FHIR normalizou o intercâmbio de dados estruturados, garantindo a interoperabilidade dos dados entre diferentes sistemas de saúde.
  • Protocolos de comunicação segura, como HTTPS e TLS, para dados em trânsito, para proteção contra o acesso não autorizado.
 

Validação de dados e controlos de integridade

  • Procedimentos de dados robustos e validados garantiram que os dados trocados estavam em conformidade com os formatos FHIR e as definições de esquema.
  • Os métodos de controlo da integridade, como as assinaturas digitais, verificam a autenticidade dos dados e impedem a sua adulteração.
 

Gestão do acesso

  • Mecanismos rigorosamente controlados, como o OAuth 2.0, autenticam e autorizam os utilizadores e as aplicações que acedem aos dados de saúde.
  • O SMART no quadro FHIR proporcionou um controlo de acesso seguro às API.
 

Registo e monitorização de auditorias

  • Os registos de auditoria registados de forma abrangente capturaram todas as trocas de dados, modificações e eventos de acesso.
  • Ferramentas de monitorização contínua detectaram e responderam a actividades suspeitas, garantindo a segurança e a conformidade dos dados.
 

Ensaios de interoperabilidade

  • A interoperabilidade regularmente testada com sistemas de saúde externos garantiu um intercâmbio de dados sem descontinuidades e a conformidade com os requisitos FHIR.
  • Os ambientes testados simularam cenários do mundo real e validaram a conformidade do sistema com as normas FHIR.
 

Controlos da privacidade e da segurança dos dados

  • Foram adoptadas técnicas de dados encriptados, tanto para os dados armazenados como para os transmitidos, a fim de cumprir os requisitos de privacidade e segurança.
  • Os métodos anónimos e pseudónimos protegiam as identidades dos doentes enquanto partilhavam dados para investigação ou análise.
 

Conformidade com o controlo de versões e as actualizações

  • Os sistemas actualizados regularmente permaneceram em conformidade com as especificações FHIR mais recentes e suportaram várias versões FHIR para facilitar transições suaves e a interoperabilidade.
 

Formação e sensibilização regulares do pessoal

  • A formação contínua proporcionou ao pessoal conhecimentos sobre as normas HL7/FHIR, o tratamento de dados e os protocolos de segurança para manter a sensibilização e a competência na gestão segura dos dados de saúde.

POPIA (Protection of Personal Information Act): regula a proteção de dados e a privacidade na África do Sul.

Encriptação de dados

  • Dados encriptados em trânsito e em repouso: Todos os dados pessoais, incluindo informações sensíveis, foram protegidos utilizando métodos de encriptação avançados, como o AES-256, garantindo que o acesso não autorizado ou as violações de dados fossem eficazmente mitigados.
  • Gestão segura das chaves de encriptação: Estabeleceu um processo de gestão de chaves de encriptação para controlar o acesso e impedir a desencriptação não autorizada de dados.
 

Controlo de acesso e autenticação

  • Controlos de acesso baseados em funções (RBAC): Acesso restrito a informações pessoais com base nas funções dos funcionários, garantindo que apenas o pessoal necessário tenha acesso a dados específicos.
  • Autenticação multi-fator (MFA): Protocolos implementados que requerem vários métodos de verificação, como palavras-passe e biometria, para aceder a dados sensíveis.
  • Revisão do acesso dos utilizadores: Realizou auditorias às permissões de acesso dos utilizadores para garantir que apenas os indivíduos autorizados tinham acesso a informações pessoais.
 

Políticas de minimização e retenção de dados

  • Recolha minimizada de dados: Recolhemos apenas a quantidade mínima de informações pessoais necessárias para fins específicos, de acordo com os requisitos da POPIA para a limitação da finalidade.
  • Calendários de retenção de dados automatizados: Criação de calendários para eliminar de forma segura ou tornar anónimas as informações pessoais quando estas já não forem necessárias.
  • Procedimentos abrangentes de eliminação de dados: Desenvolveu protocolos para garantir que todas as cópias de dados, incluindo cópias de segurança, fossem devidamente eliminadas quando os períodos de retenção expirassem.
 

Registo de auditorias e monitorização contínua

  • Registos de auditoria abrangentes: Manutenção de registos detalhados de todos os acessos, modificações e eliminações de informações pessoais, permitindo o acompanhamento das actividades de tratamento de dados e a identificação de potenciais incidentes de segurança.
  • Monitorização em tempo real: Utilizou ferramentas avançadas para detetar tentativas de acesso não autorizado, comportamentos anómalos e outras actividades suspeitas.
  • Alertas automatizados: Configure alertas para quaisquer actividades ou padrões de acesso invulgares, permitindo uma investigação e resposta rápidas.
 

Avaliações de segurança regulares

  • Vulnerabilidades avaliadas regularmente: Identificou pontos fracos na segurança dos dados através de avaliações e assegurou que fossem prontamente resolvidos.
  • Penetração testada periodicamente: Simulação de ciberataques para avaliar a resiliência das medidas de proteção de dados.
  • Auditorias de segurança: Utilizou auditores externos para verificar a conformidade com o POPIA e identificar lacunas nos controlos de segurança.
 

Plano de resposta a incidentes

  • Deteção e resposta a incidentes estabelecidos: Formou uma equipa dedicada e implementou um plano detalhado para detetar, responder e mitigar rapidamente as violações de dados ou incidentes de segurança.
  • Protocolos de notificação rápida de violações: Desenvolveu procedimentos para notificar a entidade reguladora da informação e as pessoas afectadas em caso de violação de dados, tal como exigido pelo POPIA.
 

Gestão dos direitos das pessoas em causa

  • Gestão de pedidos de acesso e correção de dados: Implementação de sistemas e processos para tratar os pedidos de acesso, correção ou eliminação das informações pessoais dos titulares dos dados.
  • Mecanismos de auto-exclusão fornecidos: Ofereceu ferramentas e processos para os indivíduos optarem por não participar no marketing direto e se oporem ao processamento dos seus dados.
 

Avaliações de impacto na privacidade (PIA)

  • PIAs regulares: Realização de avaliações para novos projectos, sistemas ou processos que envolvam informações pessoais para identificar e atenuar os riscos para a privacidade de forma proactiva.
  • Proteção de dados desde a conceção: Princípios de proteção de dados integrados na conceção e implementação de sistemas, aplicações e processos desde o início.
 

Segurança da transferência de dados

  • Métodos seguros de transferência de dados: Canais utilizados (por exemplo, VPNs, SFTP) para a transferência de dados pessoais, especialmente quando se partilham dados com terceiros ou além fronteiras.
  • Garantia da conformidade de terceiros: Verificou que os prestadores de serviços ou parceiros terceiros cumpriam normas de proteção de dados equivalentes e tinham acordos de processamento de dados em vigor.
 

Formação e sensibilização do pessoal

  • Programas de formação abrangentes: Proporcionou sessões regulares a todos os funcionários sobre os requisitos POPIA, princípios de privacidade, práticas de proteção de dados e salvaguarda de informações pessoais.
  • Formação em phishing e engenharia social: Realização de sessões para ajudar os funcionários a reconhecer e responder a tentativas de phishing e outros ataques de engenharia social que podem comprometer dados pessoais.

NITDA (Lei da Agência Nacional para o Desenvolvimento das Tecnologias da Informação): estabelece a regulamentação da proteção de dados na Nigéria.

Encriptação de dados

  • Encriptação de todos os dados pessoais e sensíveis em repouso e em trânsito utilizando protocolos de encriptação fortes como o AES-256, garantindo a proteção dos dados contra o acesso não autorizado e violações.
 

Controlos de acesso

  • O controlo de acesso baseado em funções (RBAC) é aplicado para limitar o acesso a dados pessoais com base nas funções do utilizador.
  • A autenticação multifactor (MFA) é implementada para melhorar a segurança, exigindo múltiplos métodos de verificação antes de conceder acesso a informações sensíveis.
 

Políticas de minimização e retenção de dados

  • Recolhemos e conservamos minimamente apenas os dados pessoais necessários para fins específicos e legais.
  • As políticas de retenção de dados estabelecidas garantiram a eliminação atempada e segura dos dados pessoais que já não são necessários.
 

Registo e monitorização de auditorias

  • São mantidos registos de auditoria pormenorizados para acompanhar todos os acessos, alterações, eliminações e transferências de dados pessoais, permitindo uma total transparência e responsabilidade.
  • São implementados sistemas de monitorização contínua para detetar e responder prontamente a acessos não autorizados ou actividades suspeitas.
 

Avaliações de segurança regulares

  • São efectuadas avaliações regulares da segurança, incluindo a verificação de vulnerabilidades e testes de penetração, para identificar e resolver potenciais deficiências do sistema.
  • Auditorias de segurança abrangentes envolveram auditores de terceiros para validar a conformidade com as normas da NDPR.
 

Plano de resposta a incidentes

  • Foi desenvolvido um plano abrangente de resposta a incidentes de RA que descreve as etapas para detetar, comunicar e atenuar prontamente as violações de dados ou os incidentes de segurança.
  • Foram estabelecidos protocolos de notificação de violações para informar as autoridades competentes e as pessoas afectadas, de acordo com os requisitos do RGPD.
 

Gestão dos direitos das pessoas em causa

  • Procedimentos Gerir os direitos dos titulares dos dados, incluindo o acesso, a correção e a eliminação de dados pessoais, com processos estabelecidos para tratar eficazmente as queixas e reclamações.
 

Segurança da transferência de dados

  • São assegurados métodos de transmissão seguros (por exemplo, VPN, HTTPS) para todas as transferências de dados pessoais, especialmente as que envolvem terceiros ou intercâmbios transfronteiriços.
  • A adesão a prestadores de serviços terceiros é verificada para garantir normas de proteção de dados semelhantes e a existência de acordos de tratamento de dados adequados.
 

Formação e sensibilização do pessoal

  • São realizadas sessões de formação regulares para todos os funcionários sobre os requisitos da RPDN, os princípios de privacidade e as melhores práticas de segurança para manter a conformidade e a sensibilização.
  • Foram desenvolvidos programas de formação específicos para reconhecer e prevenir ataques de engenharia social, como o phishing.
 

Privacidade desde a conceção e por defeito

  • A conceção integrada da privacidade de todos os sistemas, aplicações e processos garantiu que os princípios de proteção de dados fossem respeitados desde o início.
  • Sistemas e processos regularmente revistos e actualizados, em conformidade com a evolução dos requisitos do RPDN e das melhores práticas da indústria.

DPA (Data Protection Act): rege a utilização de dados pessoais em várias jurisdições.

Encriptação de dados

  • Encriptação de todos os dados pessoais utilizando algoritmos fortes, como o AES-256, para proteger contra o acesso não autorizado durante o armazenamento e a transmissão.
 

Controlos de acesso

  • Controlo de acesso baseado em funções (RBAC): Acesso restrito a dados pessoais através da atribuição de funções e privilégios com base em requisitos de trabalho.
  • Autenticação multi-fator (MFA): Utilizou a MFA para aceder a dados sensíveis, assegurando várias camadas de verificação.
 

Políticas de minimização e retenção de dados

  • Dados recolhidos minimamente para fins específicos e legítimos.
  • Calendários de retenção automatizados: Protocolos estabelecidos para remover dados quando já não são necessários, garantindo a conformidade com os princípios de retenção de dados.
 

Registo e monitorização de auditorias

  • Registos de auditoria abrangentes: Manutenção de registos detalhados de acesso, modificações e eliminações de dados para acompanhar as acções dos utilizadores e manter a responsabilidade.
  • Monitorização contínua: Sistemas implementados para detetar actividades suspeitas e responder prontamente a potenciais incidentes de segurança.
 

Avaliações de segurança regulares

  • Testes de vulnerabilidade e de penetração: Realização de avaliações regulares para identificar potenciais vulnerabilidades no sistema.
  • Auditorias de terceiros: Contratação de auditores externos para verificar se as práticas de proteção de dados cumprem as normas da DPA.
 

Plano de resposta a incidentes

  • Procedimentos de resposta a violações: Desenvolveu um plano para detetar, investigar e mitigar violações de dados.
  • Protocolos de notificação de violação: Procedimentos estabelecidos para notificar prontamente as pessoas afectadas e as autoridades competentes em caso de violação de dados, conforme exigido pela DPA.
 

Gestão dos direitos das pessoas em causa

  • Processos de direito de acesso, correção e eliminação: Implementação de procedimentos para tratar os pedidos de acesso, retificação ou eliminação dos dados por parte das pessoas.
  • Ferramentas de transparência: Forneceu mecanismos claros para as pessoas exercerem os seus direitos ao abrigo da DPA.
 

Segurança da transferência de dados

  • Protocolos de transferência seguros: Assegurar a transmissão segura de dados pessoais, nomeadamente através das fronteiras, utilizando canais encriptados como HTTPS ou VPN.
  • Acordos de proteção de dados de terceiros: Verificou que todos os fornecedores de serviços terceiros aderiram a normas de proteção de dados semelhantes, com acordos que definem as responsabilidades pela proteção de dados pessoais.
 

Formação e sensibilização do pessoal

  • Programas de formação contínua: Ministrou formação regular sobre os requisitos da DPA, princípios de proteção de dados e melhores práticas a todos os funcionários.
  • Sensibilização para incidentes: O pessoal recebeu formação sobre o reconhecimento de potenciais ameaças à segurança, tais como tentativas de phishing e outras tácticas de engenharia social.
 

Avaliações de impacto sobre a proteção de dados (DPIA)

  • Quadro de avaliação de riscos: Realização de DPIAs para novos projectos, sistemas ou processos que envolvam o tratamento de dados pessoais para avaliar os riscos e garantir a conformidade com os princípios de proteção de dados.
  • Privacidade desde a conceção: Integrar considerações de privacidade na conceção e desenvolvimento de todas as actividades de tratamento de dados.

Outros regulamentos locais aplicáveis: cumprimos as leis de proteção de dados aplicáveis em várias jurisdições.

Medidas de proteção de dados

 

No LinkHMS, empregamos uma abordagem de várias camadas para a segurança de dados, incluindo:

  • Salvaguardas administrativas: Formação regular do pessoal sobre políticas de privacidade, normas de proteção de dados e protocolos de resposta a violações. Aplicamos controlos de acesso rigorosos com base em funções, exigindo autenticação e autorização para o acesso aos dados.
  • Salvaguardas técnicas: Encriptação de dados em trânsito e em repouso utilizando protocolos padrão da indústria. Implementamos firewalls avançadas, sistemas de deteção de intrusão e práticas de codificação seguras para proteção contra ameaças cibernéticas. São efectuadas avaliações regulares de vulnerabilidade e testes de penetração para identificar e mitigar potenciais riscos.
  • Salvaguardas físicas: Instalações seguras com acesso restrito apenas a pessoal autorizado, vigilância 24 horas por dia, 7 dias por semana e centros de dados com controlos ambientais robustos. Todo o hardware e dispositivos de armazenamento são eliminados de forma segura, seguindo os protocolos de eliminação de dados.
  • Auditorias de segurança regulares: Monitorização contínua e auditorias anuais de terceiros para verificar a conformidade com as normas legais e regulamentares. Avaliamos e actualizamos continuamente as nossas medidas de segurança para nos adaptarmos a novas ameaças e mantermos um elevado nível de proteção.

Esta estratégia abrangente garante que todos os dados do utilizador estão protegidos contra o acesso não autorizado, a divulgação e a perda, em conformidade com os regulamentos internacionais e locais.

Protocolo de resposta a violações de dados

 

O LinkHMS tem um plano abrangente de resposta a violações de dados para identificar, avaliar e mitigar prontamente quaisquer incidentes de segurança. Na eventualidade de uma violação, as partes afectadas serão notificadas de acordo com os requisitos legais.

Acordos de tratamento de dados

 

Trabalhamos com processadores terceiros que cumprem os nossos elevados padrões de conformidade. Todas as actividades de processamento de dados são regidas por acordos que exigem a conformidade com a HIPAA, o RGPD e outras leis de proteção de dados aplicáveis.

Responsabilidades de conformidade do utilizador

 

Os utilizadores do LinkHMS são responsáveis por garantir que a sua utilização da plataforma está em conformidade com os requisitos legais e regulamentares aplicáveis, incluindo a obtenção do consentimento adequado dos doentes para o processamento de dados.

Fundamentos jurídicos para o tratamento de dados

 

Processamos dados pessoais com base no consentimento, obrigações legais, necessidade contratual e interesses comerciais legítimos, em conformidade com a legislação aplicável. Cada atividade de tratamento é submetida a uma avaliação jurídica para garantir a conformidade.

Controlo e auditoria

 

O LinkHMS efectua auditorias internas regulares para verificar a conformidade com as normas legais e requisitos regulamentares. Avaliamos continuamente os nossos processos e actualizamos as nossas políticas para nos alinharmos com os cenários legais em evolução.

Resolução de litígios

 

Quaisquer litígios relacionados com a conformidade e a proteção de dados serão resolvidos através de negociações amigáveis. Os litígios não resolvidos podem ser encaminhados para as autoridades reguladoras ou para os tribunais da jurisdição aplicável.

Actualizações das políticas jurídicas e de conformidade

 

O LinkHMS reserva-se o direito de atualizar as suas políticas Legais e de Conformidade para refletir alterações nas leis, regulamentos ou práticas comerciais. Os utilizadores serão notificados de quaisquer actualizações significativas através dos nossos canais oficiais.

Política de reembolso

 

Pode pedir um reembolso na nossa página Reembolsos. Os reembolsos podem ser solicitados no prazo de 24 horas após o pagamento, desde que o pagamento tenha sido efectuado por engano. Esforçamo-nos por processar os pedidos de reembolso o mais rapidamente possível e a nossa equipa analisará cada caso individualmente para garantir uma resolução justa. Inclua os detalhes do pagamento e o motivo do pedido de reembolso quando nos contactar para acelerar o processo.