Celem ochrony danych osobowych jest zapewnienie ochrony prywatności osób fizycznych, a nie samych danych osobowych, jako takich, ale to właśnie dane osobowe stanowią instrument, za pomocą którego prawo publiczne chroni naszą prywatność. Od 25 maja 2018 roku placówki medyczne będą zobowiązane do stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Zasadniczą zmiana polega na tym, iż nowa regulacja odchodzi od obowiązków formalnych (np. zgłaszanie zbiorów danych) a kładzie nacisk na zagrożenia i szacowanie ryzyka . Analiza ryzyka polega na identyfikacji ryzyka wystąpienia niepożądanego czynnika (ujawnienie, przechwycenie itd.) określenie jego wielkości i zidentyfikowanie obszarów wymagających zabezpieczeń tak, aby ryzyko zminimalizować . Jednak podmioty lecznicze będą zobowiązane do wdrożenia wszelkich niezbędnych środków technicznych i organizacyjnych, w celu zapewnienie przetwarzania danych w sposób zgodny z rozporządzeniem, co wiązać się będzie z opracowaniem polityk bezpieczeństwa.
Nowe rozporządzenie, co do zasady, utrzymuje generalny zakaz przetwarzania danych wrażliwych, w tym danych medycznych, wprowadzając wyjątki, które jednostkom ochrony zdrowia na przetwarzanie danych medycznych osób fizycznych ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami zdrowotnymi. Ponadto rozporządzenie niezależnie od tego czy dotyczy danych zwykłych czy wrażliwych nie wymaga zgody pisemnej na przetwarzanie danych, może to być np. oświadczenie ustne lub wypełnienie okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych .