DATENSCHUTZ - DSGVO

Der Anstieg der personalisierten Medizin sowie die Überwachung des Gesundheitszustands der Patienten hat eine neue Ära für die Medizinprodukteindustrie eingeläutet, in der die Erhebung von Daten und/oder deren Analyse entscheidend für die Behandlung oder Diagnose bestimmter Erkrankungen ist. Innerhalb dieses Prozesses gibt es mehrere persönliche Informationen, die auf dem Weg erfasst werden. Diese Daten, die von Medizinprodukteherstellern erhoben oder in deren Auftrag von ihren Unterauftragnehmern verwaltet werden, können in den Anwendungsbereich der Datenschutzgesetze fallen.

Die neue Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, definiert eindeutig, was als personenbezogene Daten angesehen werden könnte. Sie definiert auch die Anforderungen, die von allen beteiligten Parteien entweder bei der Verarbeitung personenbezogener Daten oder bei der Anwendung dieser Vorschrift erfüllt werden müssen. Anzumerken ist, dass personenbezogene Daten Folgendes umfassen, aber nicht darauf beschränkt sind: Name und Vorname; Privatanschrift; E-Mail-Adresse; Ausweisnummer; Standortdaten; IP-Adresse; Cookie-Kennung; Werbekennung eines Telefons; Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen.

Die Umsetzung der in der DSGVO enthaltenen Anforderungen könnte sich als mühsamer Prozess erweisen, wenn sie nicht gut geplant ist. Daher ist es für Hersteller von Medizinprodukten, deren Dienstleistungen unter diese Verordnung fallen, ratsam, ihre Fähigkeit zur Erfüllung der DSGVO-Anforderungen zu bewerten. Eine Nichteinhaltung dieser Vorschrift könnte sich negativ auf das Firmengeschäft auswirken, angefangen beim Verlust von Kunden bis hin zur Schließung. Diesbezüglich könnte Medidee den Herstellern von Medizinprodukten helfen, um:

  • Gap-Analyse des Unternehmensinformationssystems gegen die DSGVO durchzuführen
  • eine Risikoanalyse unter Berücksichtigung von Art und Beschaffenheit der verarbeiteten Daten durchzuführen
  • einen DSGVO-Aktionsplan zu definieren
  • die Menge der einzurichtenden Prozesse zu definieren
  • technische und organisatorische Maßnahmen zu definieren
  • die unterstützende Dokumentation zum Nachweis der Konformität zu erstellen
  • erforderliche Schulungen zu definieren und bereitzustellen
  • interne Audits und Lieferantenprüfungen durchzuführen