Na rynku istnieje wiele podmiotów, które twierdzą wprost lub intensywnie „sugerują” istnienie obowiązku ustanawiania administratora bezpieczeństwa informacji. Takiego obowiązku oczywiście nie ma i przesądza o tym definitywnie art. 36a ustawy o ochronie danych osobowych.

Na gruncie prawa europejskiego szykują się zmiany w zakresie ochrony danych osobowych. Szczególnie istotne będzie wejście w życie 25 maja 2018 r. rozporządzenia PE i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Akt ten przewiduje pewne zmiany w zakresie procedur przetwarzania danych głównie w zakresie rejestracji dokonywanych czynności. Będzie to dotyczyło wszelkich „medycznych” baz danych albowiem zbiory te zawierają dane „wrażliwe” (stanowi o tym odpowiednio art. 30, art. 9 ust. 2 pkt h, art. 9 ust. 3).

Rejestrowanie przetwarzania ma polegać na wpisaniu jakich danych używaliśmy, czyich i jaki był ku temu powód. Będzie to osobny dokument, rodzaj spisu w którym znajdować się będzie dowód na to, że korzystaliśmy ze zbioru (bazy danych) i jego rekordów (poszczególnych wpisów).

Co do administratora bezpieczeństwa informacji, zgodnie z nomenklaturą rozporządzenia będzie on nazywany inspektorem ochrony danych. Obligatoryjnie podmiot taki będzie wyznaczany, gdy przetwarzanie następuje w podmiocie lub organie publicznym. Oprócz tego obowiązek powołania inspektora będzie spoczywał na podmiotach których główna działalność polega na przetwarzaniu danych na dużą skalę (art. 37 ust. 1). W praktyce szybko powstanie problem co jest podmiotem prywatnym a co publicznym. Tu również należy sięgnąć do prawa unijnego. Dyrektywa 2004/17/WE PE i Rady z dnia 31 marca 2004 r. w art. 1 ust. 9 mówi, że podmiotem publicznym jest podmiot (a) ustanowiony w szczególnym celu zaspokajania potrzeb w interesie ogólnym, które nie mają charakteru przemysłowego ani handlowego, (b) posiadający osobowość prawną oraz  (c) finansowany w przeważającej części przez państwo, jednostki samorządu terytorialnego lub inne podmioty prawa publicznego; albo taki, którego zarząd podlega nadzorowi ze strony tych podmiotów; albo taki, w którym ponad połowa członków organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez państwo, jednostki samorządu terytorialnego lub inne podmioty prawa publicznego. Jeżeli taka lub podobna definicja znajdzie zastosowanie do nowego rozporządzenia do w zasadzie każdy szpital będzie musiał ustanowić inspektora.

Nie ma w tym miejscu sensu wypisywać jakie są obowiązki osoby sprawującej takie stanowisko. Długą listę wymienia art. 39 rozporządzenia. Wystarczy poprzestać na stwierdzeniu, że inspektor będzie miał więcej obowiązków od ABI.

Do wejścia w życie de facto nowego prawa co do bezpieczeństwa informacji pozostało ponad półtora roku. Zmiany będą wywoływały jednak szereg problemów. Do tej pory administracja informacją w małych podmiotach leczniczych ograniczała się do zamykania szafek na dokumenty i pilnowaniem, aby biurko po wyjściu z pracy było puste.

Nadciągają zmiany w zakresie funkcjonowania POZ. Ministerstwo zdrowia stawia szczególnie silny akcent na informatyzację dokumentacji medycznej, co prędzej czy później czeka każdy nawet najmniejszy podmiot leczniczy.

Czynniki wymuszają zmiany w przychodniach. Potrzeba profesjonalizacji przetwarzania danych w zakresie sprzętu i procedur szybko wymuszą nowe podejście sposobu działania przychodni w zakresie zadań niedotyczących bezpośrednio procesu leczniczego. Opracowanie procedur na gruncie naszej ustawie o ochronie danych stanowi „wstęp” do europejskiego standardu przetwarzania danych osobowych.