Der Schutz von Patientendaten

Transkript

1 Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht Gerald Spyra, LL.M. Kanzlei Spyra

2 Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert auf die IT-Compliance im Gesundheitswesen Externer betrieblicher Datenschutzbeauftragter

3 Status Quo Betreiber / Anwender setzen immer mehr (vernetzte) IT- bzw. Software-Medizinprodukte ein, um: etwaige Ressourcenengpässe zu kompensieren und um die Patientenbehandlung zu unterstützen. Diese Medizinprodukte werden immer komplexer, vernetzter und digitaler. Die Patientenbehandlung wird immer datenzentrierter.

4 (IT-) Medizinprodukte und Patientendaten (IT-) bzw. Software-Medizinprodukte müssen, um ordnungsgemäß funktionieren zu können, Patientendaten erheben und verarbeiten. Von der ordnungsgemäßen Datenverarbeitung hängt oftmals die Gesundheit bzw. Leben des Patienten ab. Ein Hersteller muss deshalb dafür Sorge tragen, dass sein Produkt sicher ist.

5 Sicherheit vs. Sicherheit bei (IT-) Medizinprodukten Sicherheit lässt sich unterschiedlich interpretieren. Im englischsprachigen Raum wird u.a. zwischen: Safety (Funktionsfähigkeit) und Security (Informations- bzw. Datensicherheit) unterschieden. Bei der Herstellung von Medizinprodukten wird der Aspekt der Security oftmals nicht ausreichend berücksichtigt.

6 Feststellung der FDA (2013 / 2014) Die FDA stellte fest, dass viele vernetzte Medizinprodukte anfällig gegen Cyberangriffe sind (fehlende bzw. unzureichende Security). Ein Cyberangriff kann u.a. die: Vertraulichkeit, Verfügbarkeit und Integrität von Patientendaten beeinträchtigen. Er kann deshalb auch Auswirkungen auf die Funktionsweise ( Safety ) des Medizinproduktes haben.

7 Schutz von Patientendaten im Medizinprodukterecht (1) Von der Verfügbarkeit und Richtigkeit der Patientendaten hängt oftmals die ordnungsgemäße Funktionalität des Medizinproduktes und damit die Gesundheit bzw. das Leben des Patienten ab. Safety ist deshalb gerade bei (vernetzten) Software- Medizinprodukten ohne Security (oftmals) nicht möglich! Security sollte deshalb immer auch im Produktlebenszyklus eines Software-Medizinproduktes mit berücksichtigt werden.

8 Schutz von Patientendaten im Medizinprodukterecht (2) Pflicht zum sicheren Herstellen, lässt sich durchaus auch als Pflicht zum Schutz von Patientendaten interpretieren (Security). Die einschlägigen Regelungen des Medizinprodukterechts sehen jedoch derzeit keine explizite Pflicht zur Beachtung von Security bzw. zum Schutz von Patientendaten vor. Vielmehr gilt nach 2 Abs. 4 MPG: die Rechtsvorschriften über Geheimhaltung und Datenschutz bleiben unberührt.

9 Die Geheimhaltung / das Patientengeheimnis Standesrechtliche Verpflichtung des behandelnden Arztes. Erfasst alle Informationen, die im Zusammenhang mit der Behandlung des Patienten stehen bzw. dem Arzt im Rahmen der Behandlung mitgeteilt oder dem Arzt bekannt werden. Dient dem Schutz des Vertrauensverhältnisses zwischen Arzt und Patient. Verpflichtet (nur) den Geheimnisträger und seine berufsmäßig tätigen Gehilfen zur Verschwiegenheit.

10 Das Datenschutzrecht Die sog. verantwortliche Stelle ist zur Wahrung des Datenschutzes verpflichtet. Patientendaten stellen oftmals besondere Arten von personenbezogenen Daten dar. Die Erhebung, Verarbeitung oder Nutzung dieser Daten ist aufgrund ihrer Sensibilität nur unter strengen Voraussetzungen möglich. Es existiert ein schwer überschaubarer Dschungel an gesetzlichen Vorschriften, den es zu beachten gilt.

11 Datenschutz-Compliance des Medizinprodukte-Herstellers Für seine eigenen Daten ist Hersteller immer (voll) verantwortlich (verantwortliche Stelle). Für Patientendaten ist er nur verantwortlich, soweit er die Möglichkeit hat, von diesen Kenntnis zu nehmen. Im Rahmen der Auftragsdatenverarbeitung ist er ggü. dem Betreiber weisungsgebunden und muss darauf achten, dass er sich bzw. seine Mitarbeiter, compliant verhalten.

12 Dilemma bei Medizinprodukten (1) Dem Hersteller obliegt keine (unmittelbare) gesetzliche Verpflichtung, Patientendaten zu schützen, wenn er auf diese nicht zugreifen kann. Betreiber / Anwender befindet sich deshalb in einem Dilemma. Er ist voll verantwortlich, kann aber wegen anderer, einschlägiger (gesetzlicher) Vorschriften seine Pflichten nicht vollumfänglich wahrnehmen.

13 Dilemma bei Medizinprodukten (2) Betreiber / Anwender sind ferner aufgrund der Komplexität der Produkte mit der Einhaltung der Regeln zum Datenschutz bzw. Patientengeheimnis zunehmend überfordert. Sie sind deshalb immer mehr darauf angewiesen, dass das Medizinprodukt sie bei der Erfüllung der gesetzlichen Aufgaben unterstützt. Privacy- bzw. Security by Design wird deshalb immer wichtiger.

14 Was bringt die Zukunft? Gesetzgeber wird den Betreiber immer mehr dazu verpflichten, sichere Produkte einzusetzen. Geplante EU-Datenschutzverordnung soll verantwortliche Stellen (Betreiber/ Anwender) verpflichten, nur noch Produkte mit Privacy by Design einzusetzen. (Erwägungsgrund 61 bzw. Art. 23 der EU-DSVO ) Auch das geplante IT-Sicherheitsgesetz wird die Betreiber von kritischen Infrastrukturen verpflichten, sichere Technik einzusetzen.

15 FAZIT Safety ohne Security ist bei (vernetzten) Software-Medizinprodukten praktisch nicht möglich. Hersteller sollten eng mit Betreibern / Anwendern zusammenarbeiten, um dem Dilemma und den (neuen) Gefährdungen gemeinsam zu begegnen. Es empfiehlt sich schon heute dringend, Security bzw. Privacy in Produkten zu implementieren. In Zukunft wird dieses eine grundsätzliche Anforderung des Marktes sein! Es bleibt spannend!

16 Gibt es noch Fragen? Gerald Spyra, LL.M. Rechtsanwalt, externer Datenschutzbeauftragter Kanzlei Spyra Annastr Köln Vielen Dank für Ihr Interesse!