Nel maggio 2018 è entrato in vigore il Regolamento UE 2016/679 sulla protezione dei dati personali ("GDPR"), che determinerà significativi obblighi e responsabilità per le organizzazioni sanitarie.
A differenza delle normative sulla privacy, più puntualmente esplicitate nei dettagli, il regolamento definisce dei principi di più ampia portata, in accordo ai quali le singole strutture dovranno definire, implementare e gestire un proprio completo sistema di misure -non solo tecnologiche, ma anche e soprattutto organizzative- secondo cui trattare le informazioni personali gestite.
Le particolarità dell'ambito sanitario – sia per le esigenze e caratteristiche dell'attività stessa dal punto di vista degli aspetti clinici ed organizzativi, che sotto il profilo delle esigenze di interazione fra diversi attori sul territorio- costituiscono, per le strutture sanitarie, uno dei principali fattori di complessità nella definizione ed implementazione del proprio sistema -organizzativo e tecnico- secondo gli obblighi previsti dal Regolamento.
Per facilitare l'individuazione di criteri uniformi con cui declinare i principi generali stabiliti dal regolamento secondo le peculiarità organizzative, cliniche e sociali del contesto sanitario, il Laboratorio ALTEMS sui sistemi informativi sanitari e l'"Italian Community" dell'Healthcare Information and Management Systems Society (HIMSS) hanno promosso una iniziativa di collaborazione fra associazioni ed aziende sanitarie, associazioni professionali e di cittadini finalizzata alla definizione di un "codice di condotta" per la sanità.