7 Schritte zur DSGVO - Eine Anleitung für die MedTech Industrie

7 Schritte zur DSGVO – Ein Fahrplan für die MedTech Industrie

  • 1. March 2018

Diese Roadmap zur DSGVO-Konformität beschreibt einen möglichen Weg, wie die DSGVO in die Prozesslandschaft von Medizinprodukten implementiert werden kann. Dieser Leitfaden könnte Ihnen helfen, alle notwendigen Schritte bis zum 25. Mai 2018, dem Tag, an dem die DSGVO ratifiziert wird, durchzuführen. Diese Roadmap gibt der Medizinprodukteindustrie spezifische Anleitungen und verwendet daher vertraute Begriffe für die Industrie

1. Plan

Wie bei einem neuen Produktentwicklungsprojekt, für das ein Design- und Entwicklungsplan (DDP) erstellt werden sollte, sollte ein Plan erstellt werden, wie die DSGVO in das Qualitätsmanagementsystem und die Prozesslandschaft implementiert werden kann. Am Ende sollte es ein Prozess unter dem Management-Handbuch sein, eingebettet in alle Aspekte des Unternehmens und der dazugehörigen Prozesse. Der Plan sollte beschreiben, wie die DSGVO umgesetzt wird und könnte Kapitel enthalten, wie:

  • Umfang
  • Anwendbarkeit
  • Benutzergruppen und Benutzung-Umgebungen
  • Definition von persönlichen Daten
  • Definition von Profilerstellung
  • Schnittstellen
  • Zeitplanung
  • Team
  • Lieferbestandteile

Als geschultes / erfahrenes medizintechnisches Industrieunternehmen können Sie die Ähnlichkeit zu einem DDP erkennen, da sich die wichtigsten Planungsschritte ebenfalls in diesem Plan widerspiegeln. Die DSGVO kann und sollte daher als Projekt behandelt werden.

2. Daten-Landschaft

Sobald der Plan erstellt und das Projektteam gebildet ist, kann mit der Daten-Landschaft begonnen werden. Dies ist im Grunde eine Analyse der Datennutzung im Unternehmen. Die Daten-Landschaft-Analyse kann mit einem oder mehreren Teams durchgeführt werden, sollte jedoch mindestens einen Vertreter pro Abteilung umfassen. Damit ist sichergestellt, dass alle Aspekte der Datenerhebung, -nutzung und -verarbeitung berücksichtigt werden. Die Daten-Landschaft sollte so dokumentiert werden, dass sie die personenbezogenen Datenquellen, die Speicherung (einschliesslich Sicherung und Archivierung), die Verarbeitung, die Kommunikation, das Teilen und Löschen auflistet. Dazu ist es wichtig, die Bereiche Mitarbeiter, Kunden, Produkte und Dienstleistungen zu bewerten. Alle diese Bereiche sollten in die Daten-Landschaft einbezogen werden.

3. Risikobewertung

Ein risikobasierter Ansatz ist für die DSGVO in gleicher Weise wichtig wie für eine neue Produktentwicklung und könnte nutzungsbezogene Risiken, Produkt- und / oder Service-Design-Risiken und Prozessrisiken umfassen. Da die DSGVO Privacy by Design verlangt, sollten alle Produkte und Dienstleistungen so gestaltet sein, dass diese Aspekte berücksichtigt werden. Die Risikomitigierung definiert dann die Inputs für den Datenschutzprozess und könnte die Aspekte der Equipment, Produkte und Dienstleistungen, den Gebrauch und die rechtlichen Aspekte anderer Vorschriften wie der MDR beinhalten. Als möglicher Ansatz und ähnlich dem Schaden für den Patienten könnte die Risikobewertung für die DSGVO eine Datenverletzung als das schlimmste Ereignis behandeln.

4. Prozess-Design

Das Risikoergebnis kann als Prozess-Input zusammen mit den Workflows für die Datenverarbeitung pro Produkt, Service oder Geschäftsprozess verwendet werden. Denken Sie daran, Mitarbeiterdaten in den Prozess einzubeziehen und nicht nur auf Kundendaten zu fokussieren. Wichtig ist, die Schnittstellen zu anderen Vorschriften zu reflektieren, da dort fehleranfällige Bereiche existieren. Beachten Sie auch das “Recht auf Vergessen”, das in den Prozess als definierte Datenlöschzeitpunkte pro Produkt, Service oder Geschäftsprozess aufgenommen werden sollte. Denken Sie auch daran, dass einige Daten für einen längeren Zeitraum aufbewahrt werden müssen, da diese gemäss anderen Vorschriften erforderlich sind, z.B.  MDR.

5. Prozess-Verifikation

Prozess-verifikation ist immer eine gute Idee, um vor der Marktbelieferung oder im Falle von Service oder Geschäftsprozessen, die Life-Schaltung, den Prozess zu prüfen. In diesem Fall könnte eine Designqualifikation (DQ) des neuen Prozesses pro Abteilung durchgeführt werden, um nach Fehlern und Lücken zu suchen, wenn diese auf reale Daten angewendet werden.

6. Prozess-Validierung

Die Prozessvalidierung in diesem Zusammenhang kann analog der Designvalidierung von Medizinprodukten verstanden werden, i.e. Verwenden des neu erzeugten Prozesses innerhalb einer simulierten Nutzungsumgebung oder in ICT-Begriffen in einer Sandbox. Das Ergebnis der Validierung sollte mit der DSGVO hinsichtlich Konformität verglichen werden. Dies könnte über eine interne Prüfung oder ein Audit durch eine unabhängige Stelle erfolgen. Damit wird der Prozess im Audit-Modus gegen die DSGVO beurteilt. Alle daraus resultierenden Aufgaben könnten analog zum CAPA-Prozess behandelt und dokumentiert werden.

7. Mitarbeiter schulen

Der letzte Schritt im vorgeschlagenen DSGVO-Prozess ist die Schulung der Mitarbeiter. Obwohl dies ein offensichtlicher Schritt ist, wird es oft nicht richtig gemacht. Trainings sollten in Trainingsaufzeichnungen dokumentiert und auf der Grundlage der Kritikalität auf ihre Wirksamkeit hin überprüft werden. Kritikalität kann aus der Risikobewertung und aus den Stellenbeschreibungen der Mitarbeiter abgeleitet werden. Ein Mitarbeiter, der mit persönlichen Daten in einem kritischen Bereich arbeitet, könnte spezifischer geschult werden als ein Mitarbeiter, der nur mit Gerätedaten zu tun hat.