DSGVO

DSGVO – Ein weiteres Tier im Regulierungs-Jungel

  • 23. January 2018

Frohes neues Jahr und Willkommen im Dschungel.

Haben Sie sich schon einmal gefragt, was das neue Jahr für die Schweizer MedTech- und Pharmaindustrie bringen wird? Nun, werfen wir einen Blick auf den Europäischen Rat. Da wurden uns noch einige Geschenke unter den Baum gelegt.

Beginnen wir mit der berühmt-berüchtigten Medizinprodukteverordnung (MDR). Obwohl die EU die Medizinrichtlinie auf eine Verordnung aktualisiert hat, ist noch nicht klar, wie die MDR in schweizerisches, nationales Recht umgesetzt wird. Swissmedic hat erste Leitlinien zur Vorbereitung auf die MDR veröffentlicht, aber es fehlen klare Leitlinien für die Implementierung in das Schweizer Recht. Die MDR schränkt mehrere Teile der aktuellen Medizinrichtlinie ein, um den risikobasierten Ansatz stärker in den Fokus zu rücken und somit die Themen Qualitäts- und Compliance-Kontrolle zu betonen, indem eine “für die Einhaltung von Vorschriften verantwortliche Person (PRRC)” gefordert wird,  Produkte, die auf den Markt gebracht werden, unterliegen  einem strengeren Prüfprozess und die Verpflichtung, klinische Studien durchzuführen, wird erweitert, um nur einige zu nennen. Zusammen mit der MDR wurde der Standard des Qualitätssystems, i.e. ISO 13485, ebenfalls auf die Version 2016 aktualisiert. Daher müssen Hersteller von Medizinprodukten und pharmazeutische Unternehmen, die Kombinationsprodukte vermarkten, bis 2019 nicht nur ihr Qualitätssystem auf die neueste Version aktualisieren, sondern bis 2020 eine erneute Zertifizierung für ihre Produkte im Rahmen der MDR anstreben.

Es gibt noch ein anderes Geschenk

Einmal tief durchatmen, es wartet noch ein anderes Geschenk auf uns. Die Datenschutz-Grundverordnung (DSGVO oder GDPR), die bis zum 25. Mai 2018 ratifiziert und in der EU verpflichtend ist, gilt auch als extraterritoriale Verordnung. Daher müssen alle Schweizer und andere nicht-EU-Unternehmen, die mit personenbezogenen Daten von EU-Mitgliedern umgehen, der DSGVO folgen. Bei der Verarbeitung personenbezogener Daten liegt der Schwerpunkt auf Privatsphäre und Datenschutz und die DSGVO ist relativ klar in Bezug auf personenbezogene Daten, die neben den offensichtlichen Datensätzen wie Name, Telefonnummer, E-Mail und Adresse auch nicht so offensichtliche Daten wie IP, Verarbeitung von Daten einschliesslich Archivierung, Datensicherung, Bilder, Religion, Rasse und politisches Verständnis, beinhaltet, um nur einige zu nennen. Die DSGVO setzt den Datenschutz als Standardmässig voraus und beabsichtigt, sich auf den Schutz personenbezogener Daten zu konzentrieren, um einen Schaden für die Person zu verhindern, zu der die Daten gehören. Dies beinhaltet die Rückverfolgbarkeit der persönlichen Datennutzung und das Recht auf Vergessen. Rückverfolgbarkeit ist ein grosses Thema in der DSGVO, da es mit der Privatsphäre und dem Datenschutz-Designverständnis einhergeht. Eine Person muss verstehen können, warum personenbezogene Daten aufgezeichnet werden und zu welchem ​​Zweck die Daten verwendet werden. Unternehmen sind gemäss der DSGVO gezwungen, nur die für die Beschäftigung unbedingt erforderlichen personenbezogenen Daten zu erfassen, eine Dienstleistung oder ein Produkt zu erbringen und jederzeit die Zustimmung der Person zur Verwendung ihrer personenbezogenen Daten nachweisen zu können. Dies bringt Double-Opt-In-Funktionen in den Fokus. Darüber hinaus sind Unternehmen nach der DSGVO gezwungen, personenbezogene Daten zu löschen, wenn die Daten nicht mehr verwendet werden, z.B. die Person hat sich von einem Service abgemeldet oder hat die Arbeitsstelle gekündigt.

Dieses Geschenk ist aber eher ein “Wolf im Schafspelz”, denn die DSGVO steht im Widerspruch zu mehreren Regelungen in der MedTech- und Pharma-Industrie, wenn sie als wortwörtlich des Europäischen Rates verstanden wird. Die MedTech- und Pharma-Verordnungen verlangen für bestimmte Produkte klinische Studien, für die Einwilligungserklärungen und persönliche Daten aufgezeichnet werden müssen, um eine Rückverfolgung zu einem Probanden zu ermöglichen oder um eine sichere Dosis zu berechnen. Auch wenn später in diesen Studien personenbezogene Daten anonymisiert werden, müssen alle Daten unter dem MedTech- und Pharma-Gesetz aufbewahrt werden, solange das Produkt auf dem Markt ist. Da diese Verordnung die Patienten vor Schäden schützt, enthält die DSGVO Ausschlüsse für lebensbedrohliche Situationen, für die personenbezogene Daten bekannt sein müssen. Das gleiche gilt für medizinische Software mit lebenserhaltenden oder lebensverlängernden (oder ähnlichen) Zwecken. Eine weitere Regelung, die der DSGVO widerspricht, ist der Artikel 957 des Schweizerischen Obligationenrechts (OR). Dies ist der Artikel, der verlangt, dass jedes Unternehmen die geschäftliche Kommunikation für mindestens 10 Jahre archivieren muss, was auch persönliche Daten von bereits entlassenen Mitarbeitern beinhalten kann. Auch hier wird die DSGVO durch andere, lokale Gesetze ausser Kraft gesetzt.

Daher ist das Navigieren durch die DSGVO keine leichte Aufgabe, sondern erfordert eine sorgfältig geplante und strategisch geschriebene Prozessbeschreibung, insbesondere in der MedTech- und Pharmaindustrie.

Was sind mögliche nächste Schritte?

Alles beginnt mit einem Privacy Impact Assessment (PIA), die im Rahmen der DSGVO gefordert wird und die Mindestanforderungen lauten:

  • Eine Prozessbeschreibung einschliesslich ihres Zwecks (zum Datenschutz)
  • Eine Bewertung (PIA) im Rahmen des Prozesses zur Begründung der Verarbeitung personenbezogener Daten in Bezug auf den Zweck
  • Eine Risikobewertung mit Fokus auf personenbezogene Daten
  • Risikominderung, um das Worst-Case-Szenario einer Datenverletzung zu verhindern

Was sind nun die nächsten möglichen Schritte? Atmen Sie tief druch und akzeptieren Sie die DSGVO.

  • Beginnen Sie mit einer internen Bewertung oder Audit, welche personenbezogenen Daten derzeit gespeichert und welche gesammelt werden. Es könnte klug sein, diese Daten ihrem Zweck, ihrer Rechtsgrundlage und ihrer Datenverteilung zu ordnenn.
  • Auf der Grundlage der Bewertung einen risikobasierten Prozess zur Einhaltung der DSGVO festlegen
  • Stellen Sie den Datenschutz standardmässg und prozesstechnisch so auf, dass Sie sich auf die minimal erforderlichen persönlichen Daten konzentrieren, um einen Dienst auszuführen oder ein Produkt bereitzustellen.
  • Lokale Gesetze und Entscheidungen in den verschiedenen Mitgliedsstaaten der EU einschließlich der Schweiz überwachen, da länderspezifische Regeln gelten könnten.

Treten Sie jetzt mit Avanti Europe in Kontakt, um die DSGVO in der MedTech- und Pharma-Industrie sicher und konform zu implementieren.