logo für Print

EU Datenschutzgrundverordnung DSGVO ab 25. Mai verbindlich (18. April 2018)

Relevante gesetzliche und regulatorische Anforderungen sind neu integraler Bestandteil der ISO 13485:2016. Das betrifft auch den Datenschutz. Dieser Blog gibt einen groben Überblick über wesentliche Konzepte und Forderungen der EU Datenschutzgrundverordnung DSGVO (engl.: General Data Protection Regulation“ (GDPR)) mit Blick auf Medizinprodukte. Haben Sie sich als Medizinproduktehersteller schon mit der DSGVO beschäftigt? Sind Sie ausreichend vorbereitet? Wenn nicht, läuft Ihnen die Zeit allmählich davon. Die Verordnung wurde am 25. Mai 2016 veröffentlicht. Anforderungen sind daher ohne weitere Übergangsfrist ab dem 25.Mai 2018 einzuhalten. Das kann Auswirkungen auf die Entwicklung von Medizinprodukten haben.

Welches Ziel verfolgt die Datenschutzgrundverordnung?

Das Ziel ist, innerhalb der EU einen einheitlichen und erhöhten Datenschutz sicherzustellen sowie den freien Datenverkehr. Dazu erhöht die EU die Anforderungen und sieht bei Verstössen Geldbussen bis 4% vom Umsatz oder bis 20 Mio. EUR vor! Gleichzeitig werden die Rechte der Bürger gestärkt.

Wer ist betroffen?

Betroffen sind alle Unternehmen, die Daten von Personen aus der EU verarbeiten. Besonders schutzwürdig sind beispielsweise genetische Daten, biometrische Daten und ganz allgemein Gesundheitsdaten. Aktuell wird das Schweizer Datenschutzgesetz (DSG) überarbeitet. Es wird erwartet, dass analog Daten von Personen aus der Schweiz geschützt werden müssen. Spätestens dann sind nahezu alle Unternehmen in der Schweiz betroffen.

Welche Grundsätze und Prinzipien gelten?

Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn eine der folgenden Bedingungen erfüllt sind:

  • Die betroffene Person hat Zustimmung gegeben (zweckgebundene Daten)
  • Die Datenverarbeitung ist für die Erfüllung eines Vertrages mit dieser Person notwendig
  • Der Datenverarbeiter ist gesetzlich zur Verarbeitung verpflichtet
  • Die Datenverarbeitung schützt lebenswichtige Interessen dieser oder anderer Personen (Bsp.: ansteckende Krankheiten)

Es gelten Datenminimierung, Zweckbindung, Richtigkeit, zeitliche Speicherlimits, Rechenschaftsplicht, Integrität und Vertraulichkeit. Die DSGVO definiert Rollen (Verantwortlicher, Auftragsverarbeiter, betroffene Personen, Datenschutzbeauftragte) und regelt auf rund 88 Seiten deren Rechte und Pflichten.

Was müssen Unternehmen in der Schweiz tun?

Priorität hat, dass die Unternehmen analysieren, was bei Ihnen an Daten wie verarbeitet wird. Dann braucht es einen Aktionsplan, um allfällige Lücken zu schliessen. Die wichtigsten Punkte sind:

  • Datenschutzerklärungen konform zur DSGVO gestalten!
  • Verträge mit Service-Providern aktualisieren!
  • Betroffene Mitarbeiter, z. B. Entwickler, schulen!
  • Dokumentationen, die den Datenschutz und die IT-Sicherheit betreffen, ergänzen (z. B. Arbeitsanweisungen für Entwicklung, Support, Ausserbetriebnahme, Post-Market-Surveillance)
  • Risikomanagement anpassen; für bestimmte Fälle sind Datenschutzfolgeabschätzungen zu erstellen!
  • Produkte und Prozesse müssen so gestaltet sein, dass u. a. folgende Systemanforderungen erfüllt werden:

o    Datensätze einzelner Personen können gezielt gelöscht werden

o    Datenexport möglich in verarbeitbarem Format ggf. mit Erläuterungen

o    Gewährleistung der IT-Sicherheit der Produkte

o    Anforderungen an die IT-Sicherheit (siehe z. B. Normenfamilie UL 2900, FDA Cybersecurity Guidances)

 

Noch ist Zeit. Kommen Sie zu uns. HELVETING berät und hilft Unternehmen, die neuen Anforderungen umzusetzen und Wettbewerbsnachteile zu vermeiden.