Jak bezpieczne są nasze dane dotyczące zdrowia?
Opublikowany: 2022-10-30Krótkie wprowadzenie:
Ochrona danych odgrywa kluczową rolę w szczególności w branży opieki zdrowotnej, ponieważ dane dotyczące zdrowia są szczególnie wrażliwymi danymi, które muszą być kompleksowo chronione. Wraz z rozwojem eHealth, czyli usług związanych ze zdrowiem za pomocą urządzeń mobilnych (mHealth), przetwarzanie danych dotyczących zdrowia zyskuje na znaczeniu. Deweloperzy produktów i aplikacji cyfrowych powinni wziąć pod uwagę te wymagania dotyczące ochrony danych na wczesnym etapie, aby produkty nie musiały być później modyfikowane, co jest czasochłonne i można uniknąć wysokich kosztów.
Definicja „danych zdrowotnych”
Zgodnie z RODO (art. 4 nr 15) „dane zdrowotne” to dane osobowe „dotyczące zdrowia fizycznego lub psychicznego osoby fizycznej, w tym świadczenia usług opieki zdrowotnej i ujawniające informacje o jej stanie zdrowia” . Dane te obejmują przede wszystkim dane osobowe, które pozwalają na wyciągnięcie bezpośrednich wniosków na temat stanu zdrowia danej osoby (np. informacje o ustaleniach medycznych, diagnozach, wynikach badań laboratoryjnych itp.), niezależnie od tego, skąd te dane pochodzą, m.in. H. czy zostały pobrane od lekarza, farmaceuty lub innego pracownika służby zdrowia, ubezpieczyciela zdrowotnego lub z wykorzystaniem m-zdrowia.
Ponadto takie dane mogą być uwzględnione i uznane za związane ze zdrowiem, które tylko pośrednio lub w połączeniu z innymi danymi pozwalają na wyciągnięcie wniosków na temat stanu zdrowia danej osoby (np. informacje o wadze, nawykach żywieniowych, wizytach w opiece zdrowotnej lub pokrewnych urządzenia, stosowanie leków itp.).
Wymagania dotyczące postępowania z danymi dotyczącymi zdrowia
Podobnie jak federalna ustawa o ochronie danych (nowa), RODO zezwala na przetwarzanie danych osobowych należących do określonych kategorii, w tym danych dotyczących zdrowia, tylko za ważną zgodą osoby, której dane dotyczą lub na podstawie jednego z wyjątków od ogólnego zestawu zasad w art. 9 ust. 2 ogólnego rozporządzenia o ochronie danych. Dlatego szczególnie wrażliwe dane mogą być przetwarzane wyłącznie pod ścisłymi ograniczeniami. Dlatego ważne jest, aby pilnie unikać incydentów związanych z ochroną danych.
W szczególności RODO wymaga odpowiedniego poziomu ochrony zgodnie z art. 32 RODO dla danych osobowych objętych przetwarzaniem. Jeżeli te dane osobowe są danymi dotyczącymi zdrowia, wzrastają wymagania dotyczące środków prowadzących do odpowiedniego poziomu ochrony tego rodzaju danych. Podczas przetwarzania danych dotyczących zdrowia zwykle stosuje się pewne środki techniczne z dziedziny szyfrowania. Na przykład dane często nie są przechowywane w postaci zwykłego tekstu w aplikacjach, a jedynie „zaszyfrowane” – czyli pseudonimizowane.
Czym jest m-zdrowie?
Mobilne aplikacje zdrowotne lub aplikacje m-zdrowia można zdefiniować jako aplikacje, które gromadzą dane osobowe dotyczące zdrowia fizycznego lub psychicznego danej osoby, w tym świadczenie usług zdrowotnych, które dostarczają informacji o stanie zdrowia i zaleceniach dotyczących zdrowej diety i stylu życia. mHealth obejmuje również technologie, które mierzą parametry życiowe, takie jak tętno, poziom glukozy we krwi, ciśnienie krwi, temperatura ciała i aktywność mózgu, a także dane fizjologiczne, dane dotyczące stylu życia, codzienne czynności i dane środowiskowe.
Wytyczne dotyczące ochrony danych zdrowotnych
Poważnym wyzwaniem są wymogi dotyczące ochrony danych dla twórców i dostawców cyfrowych produktów zdrowotnych. Wytyczne dotyczące ochrony danych zdrowotnych mają zatem na celu zapewnienie twórcom i dostawcom cyfrowych produktów zdrowotnych, takich jak aplikacje mobilne, wprowadzenia i wsparcia. Przedstawia zarówno ogólne wymagania dotyczące ochrony danych, jak i przepisy dotyczące obszarów specjalnych, takich jak twórcy aplikacji.
Ponadto organy ochrony danych wydały wytyczne dotyczące wymogów w zakresie ochrony danych dla twórców aplikacji i dostawców aplikacji, które dotyczą w szczególności aplikacji mobilnych przetwarzających dane wrażliwe. W szczególności władze wymagają piaskownicy i innych opcji szyfrowania podczas przetwarzania danych dotyczących pacjentów i zdrowia.
Przeczytaj także: Tak działa obserwacja raka za pośrednictwem aplikacji
Wymagania dotyczące aplikacji
Aplikacje są uważane za ważną i podstawową część m-zdrowia. Zasadniczo do aplikacji zdrowotnych mają zastosowanie te same wymogi dotyczące ochrony danych, co w przypadku każdego innego przetwarzania danych dotyczących zdrowia. Ponadto firmy, które chcą rozwijać lub oferować aplikacje z dziedziny e-zdrowia (lub m-zdrowia), powinny wziąć pod uwagę pewne szczególne cechy ochrony danych. Przetwarzanie danych w kontekście aplikacji zdrowotnych musi spełniać następujące wymagania:
- Musi zawsze opierać się na odpowiedniej podstawie prawnej (art. 6 i 9 RODO);
- Jeśli chodzi o zgodę, należy ją uzyskać przed rozpoczęciem odpowiedniego przetwarzania danych, w tym kontekście najlepiej przed pobraniem aplikacji;
- W przypadku kilku użytkowników urządzenia mobilnego zgodę na przetwarzanie danych można uzyskać poprzez zintegrowanie rozwiązania technicznego. Umożliwia to uzyskanie zgody kilku użytkowników.
- Do przetwarzania danych dotyczących nieletnich wymagana jest zgoda osoby sprawującej władzę rodzicielską.
- Szczególna ostrożność jest wymagana, gdy tylko aplikacja uzyskuje dostęp do danych o lokalizacji (dalsze informacje w „Przewodniku orientacyjnym dzielnicy Dusseldorf” );
- Jeśli zachowanie użytkownika ma być mierzone lub śledzone w aplikacji, obowiązują ogólne wymagania dotyczące legalności.
- Ochrona danych już w fazie projektowania/domyślna ochrona danych powinna być brana pod uwagę przede wszystkim podczas programowania aplikacji.
- W przypadku cyfrowej aplikacji medycznej (DiGA) należy przestrzegać specjalnych wymagań DiGAV lub BfArM.
Reklamy w m-zdrowiu
Zasadniczo możesz również korzystać z reklam w aplikacji mHealth pod następującymi warunkami:
- Wyświetlanie reklam musi być wyraźnie zatwierdzone przez użytkownika przed zainstalowaniem aplikacji.
- Jeśli aplikacja korzysta z reklamy kontekstowej, która jest wyświetlana użytkownikowi aplikacji bez udostępniania danych osobowych stronom trzecim (np. sieci reklamowej) i bez przetwarzania danych dotyczących zdrowia użytkownika, użytkownik musi mieć możliwość wyświetlenia kontekstu Odrzuć reklamę przed przetwarzaniem danych.
- Jeśli reklama jest dostarczana przez stronę trzecią lub jeśli dane dotyczące zdrowia są przetwarzane w celu ukierunkowania reklamy, przed instalacją należy uzyskać wyraźną i odrębną zgodę.
Ponadto w stosownych przypadkach należy wziąć pod uwagę przepisy krajowe i przepisy UE dotyczące marketingu internetowego, aby uniknąć naruszeń ochrony danych.
Wniosek
Dziedzina aplikacji m-zdrowia szybko się rozwija wraz z rosnącym wykorzystaniem takich aplikacji. Dlatego też w najbliższym czasie nastąpią drastyczne zmiany prawne w tej branży. Dlatego ważne jest, aby przygotować się na zgodność z rozporządzeniem o ochronie danych i odpowiednimi przepisami krajowymi oraz wziąć pod uwagę pomocnicze wytyczne i procedury. Pomoże to uniknąć wysokich grzywien, takich jak grzywny B. za wyciek danych zdrowotnych.