Mit 25. Mai 2018 endet die Umsetzungsfrist für die neue Datenschutz-Grundverordnung (DSGVO) der EU, welche den Schutz natürliche Personen betreffende, personenbezogene Daten auf Grundrechtsebene verankert. In diesem Artikel wollen wir Ihnen einige der grundlegenden Inhalte der DSGVO sowie die Auswirkungen im Bereich der Medizintechnik bzw. -produkte näherbringen.
Die neue DSGVO deckt zahlreiche Themen im Bereich IT Security, Organisation und Recht ab, wobei alle Teile einen wesentlichen Aspekt eines nachhaltigen Datenschutz-Managementsystem darstellen. Die folgenden Schwerpunkte sollten im Zuge einer erfolgreichen Umsetzung beachtet werden:
In den folgenden Abschnitten werden zwei Abschnitte der Verordnung, die einen Einfluss auf das Gesundheitswesen ausüben, näher beleuchtet.
Die Verordnung definiert „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ (EU-DSGVO, Artikel 9 (1)) als „personenbezogene Daten besonderer Kategorie“. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, außer eine der folgenden Ausnahmen ist anwendbar:
Vor allem im Gesundheitsbereich ergeben sich dadurch zahlreiche Herausforderungen, die nur gelöst werden können, wenn alle in der Leistungserbringung beteiligte Personen und Systeme entsprechend der DSGVO operieren. Darüber hinaus ist bei der Verarbeitung von Gesundheitsdaten auf die Rechtsgrundlage dieser Verarbeitung und die Etablierung geeigneter Maßnahmen zum Schutz der Daten zu achten.
Privacy by Design bedeutet, dass Datenschutzvorschriften bereits bei der Entwicklung neuer Applikationen, Prozesse oder Technologien berücksichtigt werden.
Unter Privacy by Default versteht man den umfassenden Schutz der Personendaten durch bereits getroffene Vor-Einstellungen. Das heißt, dass Standard-Einstellungen möglichst datenschutzfreundlich gewählt werden sollen. Ein Beispiel dazu ist das “Opt-In-Prinzip“ zur Datenerhebung. So sollte die Zustimmung zur Verarbeitung aktiv und „händisch“ durch den Betroffenen gesetzt werden und nicht vom System vorausgewählt sein. Beispiel dafür wäre das aktive Akzeptieren der Datenschutzbestimmungen bei der Absendung von Gesundheitsdaten. Zusammenfassend lässt sich sagen, dass die Verordnung einige Herausforderungen mit sich bringt, allerdings auch als Chance für einen geregelten und sicheren Datenaustausch innerhalb der EU zu sehen ist.
Gemeinsam mit unserem Kooperationspartner VACE ENGINEERING GMBH bieten wir ein mehrtägiges Praxisseminar zu diesem Thema an. Nähere Informationen zu den Inhalten und zur Anmeldung erhalten Sie unter diesem Link
Dieser Blog-Artikel wurde in Zusammenarbeit mit unserem Kooperationspartner VACE ENGINEERING GMBH verfasst. Kontaktieren Sie uns, falls sich zu diesem Thema weiterführende Fragen ergeben (office@rnb-consulting.at). Gerne unterstützen wir Sie bei der Umsetzung der EU-DSGVO im Kontext der Entwicklung von Medizinprodukten.