Dans quelle mesure nos données de santé sont-elles sécurisées ?

Brève présentation :

La protection des données joue un rôle central dans le secteur de la santé en particulier, car les données de santé sont des données particulièrement sensibles qui doivent être protégées de manière exhaustive. Avec le développement de la e-santé, c'est-à-dire des services liés à la santé avec des appareils mobiles (mHealth), le traitement des données de santé gagne en importance. Les développeurs de produits et d'applications numériques doivent tenir compte de ces exigences en matière de protection des données à un stade précoce afin que les produits n'aient pas à être modifiés ultérieurement, ce qui prend du temps et permet d'éviter des coûts élevés.

Définition des « données de santé »

Selon le RGPD (art. 4 n° 15), les « données de santé » sont des données à caractère personnel « relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de services de soins de santé, et révélant des informations sur son état de santé » . Ces données comprennent principalement des données personnelles qui permettent de tirer des conclusions directes sur l'état de santé d'une personne (par exemple, des informations sur les résultats médicaux, les diagnostics, les résultats de laboratoire, etc.), quelle que soit l'origine de ces données, i. H. qu'ils aient été collectés auprès d'un médecin, d'un pharmacien ou d'un autre professionnel de la santé, d'un assureur maladie ou via l'utilisation de mHealth.

En outre, de telles données peuvent être incluses et considérées comme liées à la santé qui ne permettent qu'indirectement ou en combinaison avec d'autres données de tirer des conclusions sur l'état de santé d'un individu (par exemple, des informations sur le poids, les habitudes alimentaires, les visites aux soins de santé ou des sanitaires, consommation de médicaments, etc .).

Exigences relatives au traitement des données de santé

Comme la loi fédérale sur la protection des données (nouvelle), le RGPD n'autorise le traitement des données personnelles relevant de certaines catégories, dont les données de santé, qu'avec le consentement valable de la personne concernée ou sur la base de l'une des exceptions à une règle générale à l'art. 9 alinéa 2 du Règlement général sur la protection des données. Les données particulièrement sensibles ne peuvent donc être traitées que sous de strictes restrictions. Il est donc important d'éviter de toute urgence les incidents liés à la protection des données.

Dans le détail, le RGPD exige un niveau de protection approprié conformément à l'art. 32 GDPR pour les données personnelles incluses dans le traitement. Si ces données personnelles sont des données de santé, les exigences relatives aux mesures conduisant à un niveau de protection approprié pour ce type de données augmentent. Certaines mesures techniques du domaine du cryptage sont généralement utilisées lors du traitement des données de santé. Par exemple, les données ne sont souvent pas stockées en texte brut dans les applications, mais uniquement « hachées » , c'est-à-dire pseudonymisées.

Qu'est-ce que la santé mobile ?

Les applications de santé mobile ou les applications mHealth peuvent être définies comme des applications qui collectent des données personnelles sur la santé physique ou mentale d'un individu, y compris la fourniture de services de santé qui fournissent des informations sur l'état de santé et des recommandations pour une alimentation et un mode de vie sains. mHealth comprend également des technologies qui mesurent des paramètres vitaux tels que la fréquence cardiaque, la glycémie, la pression artérielle, la température corporelle et l'activité cérébrale, ainsi que des données physiologiques, des données sur le mode de vie, les activités quotidiennes et des données environnementales.

Orientations sur la protection des données de santé

Les exigences en matière de protection des données pour les développeurs et les fournisseurs de produits de santé numériques représentent un défi majeur. Les orientations sur la protection des données de santé visent donc à fournir aux développeurs et aux fournisseurs de produits de santé numériques tels que les applications mobiles une introduction et une assistance. Il présente à la fois les exigences générales en matière de protection des données et les dispositions relatives à des domaines particuliers, tels que les développeurs d'applications.

En outre, les autorités de protection des données ont publié des orientations sur les exigences en matière de protection des données pour les développeurs d'applications et les fournisseurs d'applications, qui visent spécifiquement les applications mobiles qui traitent des données sensibles. Les autorités, en particulier, exigent le sandboxing et d'autres options de cryptage lors du traitement des données des patients et de la santé.

Lire aussi : Voici comment fonctionne le suivi du cancer via APP

Exigences pour les applications

Les applications sont considérées comme une partie importante et élémentaire de mHealth. En principe, les mêmes exigences en matière de protection des données s'appliquent aux applications de santé qu'à tout autre traitement de données de santé. De plus, les entreprises qui souhaitent développer ou proposer des applications dans le domaine de la e-santé (ou m-santé) doivent tenir compte de certaines particularités en matière de protection des données. Le traitement des données dans le cadre des applications de santé doit répondre aux exigences suivantes :

• Elle doit toujours reposer sur une base juridique appropriée (art. 6 et 9 RGPD) ;
• Si le consentement est impliqué, il doit être obtenu avant le début du traitement des données respectives, dans ce contexte de préférence avant le téléchargement de l'application ;
• S'il y a plusieurs utilisateurs de l'appareil mobile, le consentement au traitement des données peut être obtenu en intégrant une solution technique. Cela permet d'obtenir le consentement de plusieurs utilisateurs.
• Le consentement du titulaire de la responsabilité parentale est requis pour le traitement des données relatives aux mineurs.
• Une prudence particulière s'impose dès qu'une application accède aux données de localisation (plus d'informations dans le « Guide d'orientation du district de Düsseldorf » ) ;
• Si le comportement de l'utilisateur doit être mesuré ou suivi dans l'application, les exigences générales de légalité s'appliquent.
• La protection des données dès la conception/la protection des données par défaut doit être principalement prise en compte lors de la programmation des applications.
• S'il s'agit d'une application de santé numérique (DiGA), les exigences particulières de la DiGAV ou du BfArM doivent être respectées.

Publicités sur mHealth

En principe, vous pouvez également utiliser la publicité sur l'application mHealth dans les conditions suivantes :

• L'affichage de la publicité doit être clairement approuvé par l'utilisateur avant l'installation de l'application.
• Si l'application utilise de la publicité contextuelle, qui est présentée à l'utilisateur de l'application sans que les données personnelles ne soient partagées avec des tiers (par exemple, un réseau publicitaire) et sans que les données de santé de l'utilisateur ne soient traitées, l'utilisateur doit avoir la possibilité de voir les informations contextuelles Refuser la publicité avant que le traitement des données n'ait lieu.
• Si la publicité est diffusée par un tiers ou si les données de santé sont traitées pour cibler la publicité, vous devez obtenir un consentement explicite et séparé avant l'installation.

En outre, le cas échéant, les lois nationales et les réglementations de l'UE en matière de marketing en ligne doivent être prises en compte afin d'éviter les violations de la protection des données.

Conclusion

Le domaine des applications mHealth se développe rapidement avec l'utilisation croissante de ces applications. Par conséquent, il y aura également des changements juridiques drastiques dans cette industrie dans un proche avenir. Par conséquent, il est important d'être prêt à se conformer au règlement sur la protection des données et aux lois nationales applicables, et de tenir compte des lignes directrices et procédures d'accompagnement. Cela aidera à éviter de lourdes amendes telles que B. Amendes pour fuites de données de santé.