Seid dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) der Europäischen Kommission. Sie wird in allen Mitgliedstaaten der Europäischen Union unmittelbar angewendet. Die EU-Mitgliedstaaten können weitere Bedingungen, einschließlich Einschränkungen, in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beibehalten oder einführen.
Gesundheitsdaten nach der DSGVO
In der derzeitigen Datenschutzrichtlinie werden Gesundheitsdaten als eine besondere Kategorie personenbezogener Daten oder sensibler personenbezogener Daten behandelt. Es wird jedoch nicht definiert, was unter „Gesundheitsdaten“ zu verstehen ist. Das Fehlen einer Definition kann zu Unsicherheiten hinsichtlich der Einstufung bestimmter Daten als Gesundheitsdaten führen. Dies führt dazu, dass Gesundheitsdaten fälschlicherweise als gewöhnliche personenbezogene Daten behandelt werden könnten.
Die Datenschutz-Grundverordnung führt hilfsweise eine Definition des Begriffs „Gesundheitsdaten“ ein und stellt klar, dass dieser „Daten über die Gesundheit, d. h. Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, die Aufschluss über den Gesundheitszustand dieser Person geben“, umfasst. Die Verordnung geht davon aus, dass Gesundheitsdaten Informationen über die Person umfassen können, die bei der Anmeldung oder der Erbringung von Gesundheitsdienstleistungen erhoben werden. Informationen, die aus der Untersuchung oder Prüfung eines Körperteils, einschließlich genetischer Daten und biologischer Proben, gewonnen wurden oder alle Informationen über beispielsweise eine Krankheit, ein Krankheitsrisiko (d. h. Daten über den potenziellen künftigen Gesundheitszustand einer Person), eine Behinderung, die Krankengeschichte oder die klinische Behandlung des physiologischen Zustands einer Person, unabhängig von ihrer Ursache.
Da die Datenverarbeiter:innen nun rechtlich verpflichtet sind, Aufzeichnungen über ihre Verarbeitungstätigkeiten zu führen, werden sie diese Klarstellung begrüßen, da sie ihnen dabei helfen wird, festzustellen, ob die von ihnen erhobenen Daten Gesundheitsdaten darstellen, um ihre Aufzeichnungen angemessen zu dokumentieren.
Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
Die DSGVO behandelt auch Gesundheitsdaten als eine „besondere Kategorie“ personenbezogener Daten nah Art. 9 DSGVO, die aufgrund ihrer Art als sensibel gelten. Die Verarbeitung ist verboten, es sei denn, es gelten Ausnahmen wie die ausdrückliche Einwilligung der betroffenen Person, die Verarbeitung ist für im öffentlichen Interesse liegende Archivierungszwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Die Einholung der Einwilligung der betroffenen Person ist nach wie vor die häufigste Ausnahme, auf die sich Organisationen, die Gesundheitsdaten verarbeiten, berufen können, vorausgesetzt, sie wurde ausdrücklich erteilt und der Zweck der Verarbeitung der Daten wurde ausdrücklich festgelegt. Wenn sich Organisationen auf eine Einwilligung berufen, sollten sie sicherstellen, dass die Einwilligung mit der neuen Datenschutz-Grundverordnung übereinstimmt.
Grundsatz der Zweckbindung
Die Datenschutz-Grundverordnung stellt klar, dass Gesundheitsdaten für gesundheitsbezogene Zwecke nur dann verarbeitet werden sollten, wenn dies zur Erreichung dieser Zwecke im Interesse natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Dieser Grundsatz der Zweckbindung ist mit der Einwilligung der betroffenen Person zu verknüpfen. Wenn Unternehmen Big-Data- und Analysetechniken einsetzen und eine große Menge an Daten verarbeiten, besteht die Sorge, dass sie die Daten für andere Zwecke verwenden (z. B. Profiling oder Marketingaktivitäten), was Risiken für die betroffenen Personen mit sich bringt, insbesondere wenn ungenaue Schlussfolgerungen in Bezug auf ihre Gesundheit gezogen werden. Organisationen sollten sicherstellen, dass sie einen klaren, kompatiblen und rechtmäßigen Zweck definieren, um einen Missbrauch der Daten der betroffenen Personen zu verhindern.
Umsetzung durch TOMs
Die Sicherheit der Daten ist sowohl für Organisationen, die personenbezogene Daten verarbeiten, als auch für Einzelpersonen, die ihre Privatsphäre geschützt wissen wollen, ein wichtiges Anliegen. Unabhängig davon, ob Gesundheitsdaten über tragbare Geräte, mobile Anwendungen, Cloud-Funktionen oder Datenbanken erhoben, gespeichert oder abgerufen werden, kann ihr Missbrauch irreversible Folgen für die betroffene Person haben.
Nach der DSGVO müssen sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten. Die Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Worauf sollten Sie achten!
Organisationen, die Gesundheitsdaten verarbeiten, sollten Folgendes beachten:
- ob Sie sich mit der Definition der Datenschutz-Grundverordnung eindeutig identifizieren können, um sie in ihren Unterlagen angemessen zu dokumentieren.
- Überprüfung der Gründe, auf die sie sich bei der Verarbeitung von Gesundheitsdaten stützen, um zu beurteilen, ob sie die Anforderungen der DSGVO erfüllen.
- In Fällen, in denen die Verarbeitungen wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen, sollten sie eine Datenschutz-Folgenabschätzung durchführen.
Organisationen stehen unter dem Druck, sich zu verändern, um bessere Pflegeergebnisse und Patientenerfahrungen bei geringeren Kosten zu erzielen. Die Tatsache, dass die DSGVO den Datenverarbeitern nun direkte rechtliche Verpflichtungen auferlegt, bedeutet, dass für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die ihren Verpflichtungen nicht nachkommen, den hohen Sanktionen ausgesetzt sind. Die Herausforderung für sie besteht darin, das Sicherheitsrisiko zu begrenzen und gleichzeitig die Einhaltung der Datenschutz-Grundverordnung nachzuweisen.
Gerne unterstützen wir Sie bei der Umsetzung sowie Beratung zu Einhaltung des datenschutzkonformen Umgangs Ihrer Patientendaten.