Η διασφάλιση των προσωπικών δεδομένων των ασθενών είναι ο στόχος των 12 μέτρων του Ευρωπαϊκού κανονισμού με τα οποία πρέπει να συμμορφωθεί ολόκληρη η ιατρική κοινότητα. Έτσι, τα  νοσοκομεία, οι ιδιωτικές κλινικές,  τα διαγνωστικά κέντρα, οι ασφαλιστικές εταιρείες αλλά και οι πάροχοί τους, όπως οι  εταιρείες κλινικών μελετών, health app developers κ.α., καλούνται να προσαρμόζουν τον τρόπο λειτουργίας τους στα μέτρα που αφορούν την Προστασία των Προσωπικών Δεδομένων (Data Protection). Πρόκειται για τον  Ευρωπαϊκό Κανονισμό 679/2016, Εuropean Data Protection Regulation)- γνωστός πλέον ως GDPR o οποίος θα ισχύει με την ίδια μορφή σε όλα τα κράτη-μέλη.

Ειδικότερα:
1. Ο GDPR ισχύει ανεξάρτητα αν η επεξεργασία λαβαίνει χώρα εντός EU ή όχι, αρκεί να αφορά Ευρωπαίους πολίτες.
2.Υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία απειλούνται με διοικητικά πρόστιμα που φθάνουν μέχρι 20 εκ. ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου τζίρου εργασιών του προηγούμενου οικονομικού έτους, καθώς και με περαιτέρω αποζημίωση στα υποκείμενα των δεδομένων.
3.Ενδυνάμωση δικαιωμάτων του υποκειμένου υπό προϋποθέσεις και με προηγούμενη συγκατάθεσή του.
4.Προτάσσεται η έννοια της ανωνυμοποίησης ή ψευδωανωνυμοποίησης των δεδομένων από τις φαρμακευτικές εταιρείες.
5.Νέα κατηγορία ευαίσθητων προσωπικών δεδομένων: γενετικά και βιομετρικά δεδομένα με ειδικές προβλέψεις περί συγκατάθεσης του υποκειμένου.
6.Νέες διατάξεις για την έρευνα και αρχειοθέτηση ευαίσθητων προσωπικών δεδομένων
7.Νέος ρόλος στις εταιρείες του χώρου της υγείας: Yπεύθυνος Προστασίας Προσωπικών Δεδομένων-Data Protection Officer (DPO)
8.Oι εταιρείες αυτές πρέπει να λάβουν όλα εκείνα τα τεχνικά και οργανωτικά μέτρα, ώστε τα δεδομένα που επεξεργάζονται να προστατεύονται ήδη από το σχεδιασμό τους (Privacy by design) και εξ ορισμού (Privacy by default).
9.Οι φαρμακευτικές/ιατρικές εταιρείες θα πρέπει να διενεργούν πριν την επεξεργασία προσωπικών δεδομένων, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας (DataProtection Impact Assessments-DPIAs)
10.Τυχόν γνωστοποιήσεις παραβιάσεων των δεδομένων εκ μέρους των υπευθύνων επεξεργασίας στην εποπτική αρχή,  πρέπει να πραγματοποείται εντός 72 ωρών.
11.Οι εταιρείες πρέπει να είναι καθόλα έτοιμες μέχρι τις 25/5/2018, ημερομηνία έναρξης ισχύος του GDPR!