对待外国患者的美国医疗服务提供者可能希望仔细查看他们的隐私政策，以确保他们遵守新的欧盟数据保护规定。

5月25日宣布执行欧盟的“一般数据保护条例”（GDPR），这是一套旨在加强和协调欧盟公民的记录保护并加强其数据隐私管理的规则。法规保护各种形式的电子数据，包括基本身份信息，健康和遗传数据以及生物识别信息。

违反GDPR的处罚很陡。无论是违规行为还是数据泄露，违规行为都可能导致供应商高达年度总收入的4%。

专家们说，知道在欧盟患者医疗护理期间何时以及如何触发法规是至关重要的。波士顿的一位隐私和数据安全律师Cynthia J. Larose说，治疗一个需要美国非计划性治疗的休假的欧盟患者不太可能让医生接受GDPR。

“一般来说，GDPR不应该影响美国医生，他们可能会偶然地在欧洲患者在美国就诊，”Larose女士在接受采访时说道......如果欧盟患者向美国医疗保健提供者提出治疗，那么GDPR并不适用于美国医疗保健提供者拥有的她的个人资料 - HIPAA适用。虽然[GDPR]确实具有域外影响力，但您必须在欧盟采取一些措施来适用GDPR。“

但是其他一些可能会出现问题的情景，例如美国研究欧盟患者的美国研究人员，美国医生为欧盟患者提供远程医疗护理以及医生在患者返回本国后继续在美国接受治疗后继续监测欧盟患者。

根据美国国际贸易委员会2015年的报告，每年约有200,000名国际访客飞往美国进行健康治疗，其中约25%来自欧洲。

在欧盟广告医疗服务是美国医生可以服从GDPR的另一种方式。例如，如果一家医疗机构或医院在欧盟的网站或其他材料上出售其专业护理服务，这可能属于GDPR范围，据安全专家称。

“如果你为欧盟患者提供广告服务，然后他们决定获得此类服务，那么可能会触发GDPR，因为数据主体位于欧盟，并且你正在向他们提供服务，”Elaine C. Zacharakis Loumbas说。健康和安全法律律师在芝加哥。 “它变得非常具体。”

专注于GDPR合规性的安全公司Arrakis Consulting的高级研究员John Barchie说，可能受GDPR影响的医疗服务提供者应该将注意力集中在三个方面：透明度，同意和数据最小化。

与HIPAA一样，GDPR要求医疗保健提供者向患者披露有关他们的数据在何处以及如何使用的信息。 Barchie先生指出，在美国，患者同意书通常可能包含两到三种患者数据的潜在用途，如营销和医学研究。 GDPR指出，每个患者数据的潜在使用需要自己的独立同意书，他说。

“假设您是专门从事糖尿病的诊所，并且您习惯于将数据提交给一个通用数据库以收集有关糖尿病的信息，”Barchie先生说。 “在GDPR下你不能这样做。你必须有一个单独的同意书。所以一个人同意提供你的糖尿病服务，一个同意书可能是市场上的[患者]，以及一个关于数据库的单独同意书。“

GDPR还需要最小化存储在多个系统内的个人数据副本。 Barchie先生说，在美国，在多个地方存在多个人的数据副本并不罕见，这从IT角度来看是有意义的。然而，GDPR要求数据维护者将他们维护的副本数量限制为最必要的信息。

“[在GDPR下]，你应该只发送你需要的特定进程的数据，”他说。 “例如，[地址]，用户名和患者ID。如果您只需要患者身份证号码，则不应发送患者姓名和地址。您最大限度地减少了要发送的数据量。“

与美国的法规相比，GDPR下的违规通知更为严格。根据HIPAA，受保实体必须在发现违规事件后不迟于60天内通知美国卫生与公众服务部，并在没有不合理延误的情况下通知患者数据泄露。 GDPR要求受影响的实体“通知监管机构”，并且在可行的情况下不迟于72小时后才意识到[违约]。“（GDPR监管机构依赖受影响的欧盟国家）。

如果确定个人数据泄露“很可能导致个人权利和自由的高风险”，则必须努力就受影响的数据主体就“个人数据泄露”进行沟通，“没有不适当的延迟”，根据规则。

如果不确定您的做法是否可能属于GDPR，专家建议与法律顾问，GDPR专家或风险管理团队讨论此问题。