Velar por la privacidad es objetivo prioritario para 3Shape. Por ello queremos ayudarle en el cumplimiento en lo que a protección de datos se refiere, y en relación al uso de productos 3Shape.
Este documento tiene por objeto detallar cómo:
- Los productos 3Shape basados en la versión 1.6.2.X de Dental Desktop (comercializados a partir de Abril de 2018) y las versiones más recientes, ya contemplan el cumplimiento del RGPD por parte de colaboradores y clientes de 3Shape. El servicio 3Shape Communicate también cumple con el RGPD.
Esperamos que las respuestas a las siguientes preguntas más frecuentes le aclaren sus dudas y le ayuden a cumplir con el RGPD así como a resolver sus cuestiones relacionadas con la protección de datos personales.
¿Qué es RGPD?
- El RGPD responde a “Reglamento General de Protección de Datos” y se refiere a la privacidad de todos los ciudadanos de la UE y a la de cualquier otra persona cuyos datos personales se procesen en la UE/EEE. El RGPD incluye disposiciones sobre cómo las empresas públicas y privadas (incluidas las clínicas dentales) así como otras instituciones deben procesar la información de carácter personal. El RGPD introduce pocos requisitos nuevos en comparación con la anterior normativa europea sobre privacidad, pero incluye importantes multas monetarias por incumplimiento y conducta ilícita. El reglamento entró en vigor el 25 de Mayo de 2018.
¿En qué casos es necesario contemplar el cumplimiento del RGPD?
- En el caso de recopilar o procesar información de carácter personal en la UE o de ciudadanos de la UE, es necesario cumplir los requisitos legales de este reglamento.
Conviene familiarizarse con las disposiciones generales de la normativa. A continuación trataremos de exponer las distintas responsabilidades y cómo los productos de 3Shape colaboran para poder mantener la privacidad de los datos personales.
Cumplimiento con RGPD por parte del clínico y el laboratorio
¿Procesa 3Shape los datos de los pacientes de mi clínica?
- A menos que comparta sus casos a través del servicio 3Shape Communicate o 3Shape Lab Management Software (LMS), 3Shape no accede ni procesa los casos de los pacientes (consulte las secciones del producto correspondiente a continuación).
¿Qué responsabilidades tengo en relación a la protección de datos cuando utilizo los productos 3Shape?
- Si se trata de una clínica: Las clínicas son consideradas responsables del tratamiento de datos en el momento que recopilan y manejan los datos personales de los pacientes, tanto si éstos están en papel como si están en formato digital en los sistemas de gestión de la consulta o dentro de un producto 3Shape, como, por ejemplo, un TRIOS. El cumplimiento del RGPD es responsabilidad de la clínica. Existen también las garantías legales adecuadas para compartir los datos de los pacientes con, por ejemplo, un laboratorio dental u otros procesadores de datos.
- Si se trata de un laboratorio: Los laboratorios se consideran procesadores de datos cuando, en nombre de las clínicas, almacenan casos que contienen datos de carácter personal con el fin de realizar trabajos de restauración etc. El cumplimiento - incluido el de los periodos de conservación, etc. - es responsabilidad del laboratorio correspondiente.
¿Qué responsabilidades tiene 3Shape?
- Se considera que 3Shape es un procesador de datos en el momento que - en nombre de clínicas y laboratorios 3Shape transmite y almacena casos que contienen datos personales, por ejemplo, en 3Shape Communicate y/o 3Shape LMS. Para ver cómo 3Shape garantiza la confidencialidad, la integridad y la disponibilidad de los datos en Communicate y LMS, lea las secciones "Communicate" y "LMS" a continuación.
Consulte nuestra política de privacidad para obtener más información sobre las circunstancias en las que 3Shape se considera un controlador de datos.
¿Cómo ayuda Dental Desktop (a partir de la versión 1.6.1.0) a que mi clínica o laboratorio cumpla con el RGPD?
- En primer lugar, es importante destacar que ningún software en sí mismo puede dar cumplimiento. El cumplimiento siempre se centra en los flujos de trabajo y en los procesos en torno al software y a la configuración del mismo.
- Dicho esto, Desktop proporciona una serie de protecciones técnicas que mejoran la seguridad y la privacidad de la información:
- Por defecto, los casos de los pacientes siempre se almacenan localmente en su clínica o laboratorio. Sin embargo, si se instalan productos de 3Shape basados en Dental Desktop con una configuración multicliente en relación a un servidor ubicado fuera de la clínica o el laboratorio, hay que asegurarse de que éste también esté ubicado dentro de la UE para cumplir así con el RGPD.
- Los datos de los pacientes se encriptan en el disco duro y en la base de datos del software.
- Dental Desktop tiene un sistema de control de acceso incorporado. Se recomienda usar contraseñas seguras.
- Dental Desktop tiene un registro de accesos incorporado para fines de auditoría. Esto significa que puede comprobar el acceso y la actividad en torno a los datos personales almacenados en el sistema.
¿Cómo puedo cumplir mis obligaciones en materia de derechos del paciente?
- Derecho de acceso y portabilidad: Dental Desktop ofrece la posibilidad de exportar casos de pacientes. Tenga en cuenta que puede tener información sobre una persona más allá de los productos 3Shape. Esta información también podría ser objeto de solicitud de acceso del paciente.
- Derecho al olvido: Los pacientes y sus datos se pueden eliminar completamente de Dental Desktop.
¿Qué sucede si no utilizo la plataforma Dental Desktop para mis productos 3Shape?
- No se trata de un incumplimiento por defecto cuando se utiliza, por ejemplo, el software de TRIOS anterior al actual (TRIOS Classic). Sin embargo, deberá tener en cuenta otros elementos de protección técnica, como el control de acceso a su ordenador, etc.
- Si ha adquirido previamente un producto 3Shape que ahora está disponible en la plataforma Dental Desktop, le recomendamos hacer una actualización. Dispondrá de una mayor funcionalidad, un mejor rendimiento y unas protecciones en materia de seguridad más estrictas.
Cumplimiento de RGPD por Communicate y Lab Management Software
3SHAPE COMMUNICATE:
¿Qué es 3Shape Communicate?
- 3Shape Communicate es un software en la web que permite a los usuarios de 3Shape intercambiar casos de forma segura para la ejecución de pedidos de trabajo dentales entre profesionales de la odontología. Hay una serie de herramientas de gestión de casos asociadas, como un portal web y aplicaciones móviles para facilitar la gestión del flujo de trabajo.
¿Cómo pueden los usuarios acceder a Communicate?
- Para acceder a Communicate, todos los usuarios deben autentificarse proporcionando una dirección de correo electrónico y una contraseña. Las contraseñas deben tener al menos 8 caracteres y al menos 3 tipos de caracteres diferentes (por ejemplo, mayúsculas, minúsculas, dígitos, símbolos especiales). Para proteger la información personal, el símbolo (token) del usuario expirará automáticamente después de 15 minutos y se le pedirá que se conecte de nuevo. Se aplican políticas de seguridad adicionales, como la autentificación de los técnicos de servicio interno mediante dos factores, que requieran acceso directo al sistema para fines de mantenimiento.
¿A qué datos tienen acceso los usuarios autentificados?
- Para garantizar la seguridad y la protección de la información sanitaria electrónica del paciente (ePHI), los usuarios sólo pueden ver sus propios pedidos.
¿Cómo se transmiten los archivos a Communicate?
- Todos los subsistemas de Communicate utilizan el protocolo de transferencia de archivos https, a excepción de las versiones más antiguas del software 3Shape, que utilizan la API heredada con el protocolo de transferencia de archivos Net.tcp, que con el tiempo dejará de utilizarse.
¿Los archivos transmitidos desde y hacia Communicate están codificados?
- Sí, los datos transmitidos hacia y desde Communicate están encriptados con TLS1.2 AES_256 con el fín de asegurarse que cualquier dato interceptado durante el tránsito será ilegible. Este protocolo de transferencia también contiene una comprobación de integridad incorporada para garantizar que los datos no se modifican indebidamente durante la transmisión.
¿Cómo se almacenan los archivos transmitidos a través de Communicate?
- Ubicación: Communicate cuenta con 3 servidores en todo el mundo, cada uno de ellos situado en una región distinta geográficamente: uno en Irlanda, para la región de EMEA; otro en Estados Unidos, para América; y otro más en Hong Kong, para Asia y Oceanía. Todos los datos se almacenan en la región a la que pertenece el propietario de los datos. Los servidores de Communicate son propiedad de la empresa Microsoft Azure y están gestionados por ella. 3Shape ha firmado un acuerdo de colaboración empresarial con Microsoft, por el cual Microsoft se compromete a garantizar la seguridad y privacidad de los datos contenidos en sus instalaciones.
- Encriptado: Los datos se encriptan en reposo
¿Quién tiene acceso a los datos almacenados en Communicate?
- Además de sus propietarios, las únicas personas que tienen acceso a los datos almacenados en Communicate son los técnicos del servicio interno para el mantenimiento del sistema y un número selecto de especialistas de soporte para prestar asistencia al cliente. Los permisos de acceso son revisados continuamente por un administrador.
¿Communicate es sometido a auditoría para saber quién ha accedido a los datos almacenados en el servicio?
- Sí, ya que todos los usuarios del sistema (incluidos los especialistas de soporte técnico y los técnicos de servicio) tienen un identificador de cuenta único, con el que se registra cada vez que se accede a la información sanitaria personal. Cada registro consta de una entrada con el correo electrónico del usuario, el id. de pedido del caso al que se ha accedido y la hora de acceso.
¿Cuánto tiempo se almacenan los datos en Communicate?
- Los datos almacenados con Communicate se almacenan indefinidamente. Sin embargo, el propietario de los datos tiene la opción de eliminar los datos del caso en cualquier momento. Existe un mecanismo para eliminar casos a través del portal web de Communicate. Tenga en cuenta que para protegerse contra la eliminación accidental o no autorizada de pedidos, un pedido eliminado se conserva (aunque no es accesible) durante un periodo de gracia de 30 días.
¿Se hace una copia de seguridad de los datos almacenados en Communicate? ¿Con qué frecuencia?
- Se realiza copia de seguridad a diario de todos los datos de los casos almacenados en Communicate. Las copias de seguridad que se hacen a diario abarcan los últimos 14 días. Además, todos los datos de los casos se guardan utilizando un almacenamiento redundante que los protege contra la pérdida accidental de datos.
Communicate y HIPAA:
- Los elementos de protección de seguridad y privacidad mencionadas anteriormente se han implantado para garantizar la confidencialidad, integridad y disponibilidad de toda la información sanitaria personal electrónica (ePHI) creada, recibida, mantenida o transmitida por Communicate. Con este fin, 3Shape supervisa continuamente los elementos de protección y procedimientos para poder garantizar que protegen razonablemente contra todas las amenazas a la seguridad e integridad de la ePHI. Esto incluye, pero no se limita, los controles de acceso físico, la formación continua de los empleados y el mantenimiento de la auditoría de los registros de acceso.
3SHAPE LAB MANAGEMENT SOFTWARE (3SHAPE LMS):
¿Qué es 3Shape Lab Management Software?
- Lab Management Software (LMS) está diseñado para uso profesional en laboratorios dentales y es un software para la gestión de pedidos y datos, para la facturación y también sirve como interfaz con el sistema Communicate y las aplicaciones de 3Shape. Se ejecuta en un servidor hospedado en la plataforma Microsoft Azure.
¿Cómo pueden los usuarios acceder a Lab Management Software?
- Para acceder a 3Shape LMS, todos los usuarios deben autentificarse proporcionando una dirección de correo electrónico y una contraseña. La contraseña debe tener al menos 8 caracteres, mezcla de letras, números y símbolos. Para proteger la información personal, el símbolo (token) del usuario expirará automáticamente después de 15 minutos y se le pedirá que se conecte de nuevo. Se aplican políticas de seguridad adicionales, como la autentificación de los técnicos de servicio interno mediante dos factores, que requieran acceso directo al sistema para fines de mantenimiento.
¿A qué datos tienen acceso los usuarios autentificados?
- Para garantizar la seguridad y la protección de la información sanitaria electrónica del paciente (ePHI), los usuarios sólo pueden ver sus propios pedidos.
¿Cómo se transmiten los archivos a 3Shape Lab Management Software?
- Todos los subsistemas de LMS utilizan el protocolo de transferencia de archivos https.
¿Están cifrados los archivos que se transmiten hacia y desde 3Shape Lab Management Software?
- Sí, los datos transmitidos hacia y desde 3Shape LMS están cifrados con TLS1.2 AES_256 para garantizar que los datos interceptados durante el tránsito sean ilegibles. Este protocolo de transferencia también contiene una comprobación de integridad incorporada para garantizar que los datos no se modifican indebidamente durante la transmisión.
¿Cómo se almacenan los archivos transmitidos a través del 3Shape Lab Management Software?
- Ubicación: Todos los datos se almacenan en la nube de Azure. Los servidores de 3Shape LMS son propiedad de la empresa Microsoft Azure y están gestionados por ella. 3Shape ha firmado acuerdos de colaboración empresarial y de procesamiento de datos con Microsoft, por el cual Microsoft se compromete a garantizar la seguridad y privacidad de los datos contenidos en sus instalaciones.
- Cifrado: Los datos se cifran en reposo.
¿Quién tiene acceso a los datos almacenados en 3Shape Lab Management Software?
- Además de sus propietarios, las únicas personas que tienen acceso a los datos almacenados en 3Shape LMS son los técnicos del servicio interno para el mantenimiento del sistema y un número selecto de especialistas de soporte para prestar asistencia al cliente. Los permisos de acceso son revisados continuamente por un administrador.
¿Cuánto tiempo se almacenan los datos en 3Shape Lab Management Software?
- Los datos almacenados con 3Shape LMS se almacenan indefinidamente. Sin embargo, el propietario de los datos tiene la opción de eliminar los datos del caso desde LMS en cualquier momento. Tenga en cuenta que para protegerse contra la eliminación accidental o no autorizada de pedidos, un pedido anulado se conserva (aunque no es accesible) durante un periodo de gracia de 30 días.
¿Se realiza una copia de seguridad de los datos almacenados en 3Shape Lab Management Software? ¿Con qué frecuencia?
- Se realiza copia de seguridad a diario de todos los datos de los casos almacenados en 3Shape LMS. Las copias de seguridad que se hacen a diario abarcan los últimos 14 días. Además, todos los datos de los casos se guardan utilizando un almacenamiento redundante que los protege contra la pérdida accidental de datos.
Si tiene alguna pregunta adicional, póngase en contacto con nosotros en [email protected].