Datenschutz

Gesundheitsdaten und Datenschutz: Herausforderungen der DSGVO

16. September 2022

doctor blog

Inhaltsverzeichnis

Ärzte im Operationssaal
Der Einsatz von Big-Data und neuen Technologien im Gesundheitssektor hat die Art und Weise, wie Gesundheitsdaten genutzt, abgerufen, analysiert und zwischen Angehörigen der Gesundheitsberufe und Einzelpersonen ausgetauscht werden, erheblich verändert. Organisationen, die mit Gesundheitsdaten umgehen und diese neuen Techniken und Praktiken anwenden, müssen einen hohen Standard an Sicherheit und Datenschutz einhalten.

Seid dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) der Europäischen Kommission. Sie wird in allen Mitgliedstaaten der Europäischen Union unmittelbar angewendet. Die EU-Mitgliedstaaten können weitere Bedingungen, einschließlich Einschränkungen, in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beibehalten oder einführen.

Gesundheitsdaten nach der DSGVO

In der derzeitigen Datenschutzrichtlinie werden Gesundheitsdaten als eine besondere Kategorie personenbezogener Daten oder sensibler personenbezogener Daten behandelt. Es wird jedoch nicht definiert, was unter „Gesundheitsdaten“ zu verstehen ist. Das Fehlen einer Definition kann zu Unsicherheiten hinsichtlich der Einstufung bestimmter Daten als Gesundheitsdaten führen. Dies führt dazu, dass Gesundheitsdaten fälschlicherweise als gewöhnliche personenbezogene Daten behandelt werden könnten.

Die Datenschutz-Grundverordnung führt hilfsweise eine Definition des Begriffs „Gesundheitsdaten“ ein und stellt klar, dass dieser „Daten über die Gesundheit, d. h. Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, die Aufschluss über den Gesundheitszustand dieser Person geben“, umfasst. Die Verordnung geht davon aus, dass Gesundheitsdaten Informationen über die Person umfassen können, die bei der Anmeldung oder der Erbringung von Gesundheitsdienstleistungen erhoben werden. Informationen, die aus der Untersuchung oder Prüfung eines Körperteils, einschließlich genetischer Daten und biologischer Proben, gewonnen wurden oder alle Informationen über beispielsweise eine Krankheit, ein Krankheitsrisiko (d. h. Daten über den potenziellen künftigen Gesundheitszustand einer Person), eine Behinderung, die Krankengeschichte oder die klinische Behandlung des physiologischen Zustands einer Person, unabhängig von ihrer Ursache.

Da die Datenverarbeiter:innen nun rechtlich verpflichtet sind, Aufzeichnungen über ihre Verarbeitungstätigkeiten zu führen, werden sie diese Klarstellung begrüßen, da sie ihnen dabei helfen wird, festzustellen, ob die von ihnen erhobenen Daten Gesundheitsdaten darstellen, um ihre Aufzeichnungen angemessen zu dokumentieren.

Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

Die DSGVO behandelt auch Gesundheitsdaten als eine „besondere Kategorie“ personenbezogener Daten nah Art. 9 DSGVO, die aufgrund ihrer Art als sensibel gelten. Die Verarbeitung ist verboten, es sei denn, es gelten Ausnahmen wie die ausdrückliche Einwilligung der betroffenen Person, die Verarbeitung ist für im öffentlichen Interesse liegende Archivierungszwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Die Einholung der Einwilligung der betroffenen Person ist nach wie vor die häufigste Ausnahme, auf die sich Organisationen, die Gesundheitsdaten verarbeiten, berufen können, vorausgesetzt, sie wurde ausdrücklich erteilt und der Zweck der Verarbeitung der Daten wurde ausdrücklich festgelegt. Wenn sich Organisationen auf eine Einwilligung berufen, sollten sie sicherstellen, dass die Einwilligung mit der neuen Datenschutz-Grundverordnung übereinstimmt.

Grundsatz der Zweckbindung

Die Datenschutz-Grundverordnung stellt klar, dass Gesundheitsdaten für gesundheitsbezogene Zwecke nur dann verarbeitet werden sollten, wenn dies zur Erreichung dieser Zwecke im Interesse natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Dieser Grundsatz der Zweckbindung ist mit der Einwilligung der betroffenen Person zu verknüpfen. Wenn Unternehmen Big-Data- und Analysetechniken einsetzen und eine große Menge an Daten verarbeiten, besteht die Sorge, dass sie die Daten für andere Zwecke verwenden (z. B. Profiling oder Marketingaktivitäten), was Risiken für die betroffenen Personen mit sich bringt, insbesondere wenn ungenaue Schlussfolgerungen in Bezug auf ihre Gesundheit gezogen werden. Organisationen sollten sicherstellen, dass sie einen klaren, kompatiblen und rechtmäßigen Zweck definieren, um einen Missbrauch der Daten der betroffenen Personen zu verhindern.

Umsetzung durch TOMs

Die Sicherheit der Daten ist sowohl für Organisationen, die personenbezogene Daten verarbeiten, als auch für Einzelpersonen, die ihre Privatsphäre geschützt wissen wollen, ein wichtiges Anliegen. Unabhängig davon, ob Gesundheitsdaten über tragbare Geräte, mobile Anwendungen, Cloud-Funktionen oder Datenbanken erhoben, gespeichert oder abgerufen werden, kann ihr Missbrauch irreversible Folgen für die betroffene Person haben.

Nach der DSGVO müssen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten. Die Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Worauf sollten Sie achten!

Organisationen, die Gesundheitsdaten verarbeiten, sollten Folgendes beachten:

  • ob Sie sich mit der Definition der Datenschutz-Grundverordnung eindeutig identifizieren können, um sie in ihren Unterlagen angemessen zu dokumentieren.
  • Überprüfung der Gründe, auf die sie sich bei der Verarbeitung von Gesundheitsdaten stützen, um zu beurteilen, ob sie die Anforderungen der DSGVO erfüllen.
  • In Fällen, in denen die Verarbeitungen wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen, sollten sie eine Datenschutz-Folgenabschätzung durchführen.

Organisationen stehen unter dem Druck, sich zu verändern, um bessere Pflegeergebnisse und Patientenerfahrungen bei geringeren Kosten zu erzielen. Die Tatsache, dass die DSGVO den Datenverarbeitern nun direkte rechtliche Verpflichtungen auferlegt, bedeutet, dass für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die ihren Verpflichtungen nicht nachkommen, den hohen Sanktionen ausgesetzt sind. Die Herausforderung für sie besteht darin, das Sicherheitsrisiko zu begrenzen und gleichzeitig die Einhaltung der Datenschutz-Grundverordnung nachzuweisen.

Gerne unterstützen wir Sie bei der Umsetzung sowie Beratung zu Einhaltung des datenschutzkonformen Umgangs Ihrer Patientendaten.

Suche
Weitere Artikel
GPT_auf_der_eigenen_Website
Wie Sie Ihr OpenAI GPT auf Ihrer Website hosten

Du möchtest dein eigenes OpenAI GPT auf deiner Website hosten, um kreative und intelligente Inhalte zu generieren? In diesem Blogbeitrag erfährst du, wie du das mit wenigen Schritten schaffst. Lerne, wie du das GPT-Modell installierst, konfigurierst und anpasst, um deine Website zu einem echten Hingucker zu machen. Ob du Texte, Bilder, Musik oder Code erzeugen willst, mit OpenAI GPT ist fast alles möglich.

Evolution der künstlichen Intelligenz
Evolution der KI (engl. AI)

Die KI ist eine spannende und wichtige Domäne, die unsere Vergangenheit, Gegenwart und Zukunft prägt. In diesem Beitrag erfährst du, wie die KI von den antiken Philosophen bis zu den modernen Wissenschaftlern und Ingenieuren entstanden ist, wie sie sich von den symbolischen bis zu den sub-symbolischen Methoden entwickelt hat, wie sie sich von der AGI bis zur ASI weiterentwickeln könnte und wie sie sich von den Suchmaschinen bis zur Ethik auswirkt.