V rámci GDPR majú zdravotnícke zariadenia nasledovné povinnosti:
- prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku spracovania osobných údajov – napr. zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania osobných údajov;
- zabezpečiť proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu;
- pravidelne testovať účinnosť technických a organizačných opatrení;
- bez zbytočného odkladu oznámiť dotknutej osobe (pacientovi) porušenie ochrany osobných údajov;
- oznámiť Úradu na ochranu osobných údajov SR porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.