,
4 Min. Lesezeit
Angesichts der rasanten digitalen Transformation im Gesundheitswesen durch vernetzte medizinische Geräte, Telemedizinplattformen, Wearables und Software als Medizinprodukt (SaMD) hat der Schutz von Patientendaten höchste Priorität erlangt. Über die Einhaltung gesetzlicher Vorschriften hinaus spielt der Datenschutz heute eine zentrale Rolle beim Aufbau von Vertrauen bei den Patienten und bei der Gewährleistung einer ethischen Gesundheitsversorgung. Indiens Gesetz zum Schutz digitaler personenbezogener Daten (Digital Personal Data Protection Act, DPDP) von 2023 schafft einen umfassenden Rahmen für den Schutz digitaler personenbezogener Daten. Für Hersteller medizinischer Geräte und Unternehmen im Bereich der digitalen Gesundheit bedeutet das Gesetz eine erhebliche Veränderung hinsichtlich der Art und Weise, wie Patientendaten während des gesamten Produktlebenszyklus erhoben, verarbeitet, gespeichert und geschützt werden müssen.
Warum das DPDP-Gesetz für Hersteller medizinischer Geräte von Bedeutung ist
Gesundheitsdaten gehören zu den sensibelsten Arten personenbezogener Daten. Moderne medizinische Geräte und digitale Gesundheitslösungen erfassen routinemäßig hochdetaillierte Daten – wie Herzsignale, Blutzuckerwerte, Bildgebungsdaten und Verhaltensdaten zur Gesundheit –, die sehr persönliche Einblicke in das Leben einzelner Personen offenbaren können. Während bestehende Vorschriften wie die Medical Device Rules (MDR) von 2017 und der Information Technology Act von 2000 in gewissem Umfang die Gerätesicherheit und Cybersicherheit regeln, stärkt das DPDP-Gesetz die Rechenschaftspflicht und führt einen patientenzentrierten Ansatz für die Datenverwaltung ein.
Für Hersteller von Medizinprodukten und Anbieter von Software für das Gesundheitswesen bedeutet die Einhaltung der DPDP-Vorschriften:
- Einführung robuster Mechanismen für Datenschutz und Cybersicherheit
- Einholung einer ausdrücklichen und informierten Einwilligung des Patienten zur Datenverarbeitung
- Umsetzung des Prinzips „Privacy by Design“ bei der Entwicklung, Bereitstellung und den Aktivitäten nach der Markteinführung von Geräten
Geltungsbereich des DPDP-Gesetzes im Gesundheitswesen
Das DPDP-Gesetz gilt für alle digitalen personenbezogenen Daten, unabhängig davon, ob sie direkt in digitaler Form erhoben oder zu einem späteren Zeitpunkt digitalisiert wurden. Im Bereich des Gesundheitswesens und der Medizinprodukte umfasst dies:
- Patientendaten, die von vernetzten Diagnose- oder Überwachungsgeräten erfasst werden
- Gesundheitsdaten, die über cloudfähige medizinische Geräte übertragen werden
- Daten, die in Telemedizin-Plattformen oder Krankenhausinformationssystemen gespeichert sind
- Personenbezogene Daten, die von KI-gestützter medizinischer Software und mobilen Gesundheitsanwendungen verarbeitet werden
Insbesondere gilt das Gesetz sowohl für indische als auch für ausländische Unternehmen, die Gesundheitsprodukte oder -dienstleistungen für Personen in Indien anbieten, wodurch sich sein reach globale MedTech-Aktivitäten erstreckt.
Im DPDP-Gesetz definierte Schlüsselrollen
Das Gesetz legt die Zuständigkeiten innerhalb des Datenökosystems klar fest:
- Betroffene Person: Die Person (Patient oder Nutzer), deren personenbezogene Daten verarbeitet werden
- Verantwortlicher: Die Stelle, die den Zweck und die Mittel der Datenverarbeitung festlegt (z. B. Hersteller medizinischer Geräte, Krankenhäuser, Gesundheitsdienstleister)
- Datenverarbeiter: Dritte wie Cloud-Dienstleister oder IT-Anbieter, die Daten im Auftrag eines Auftraggebers verarbeiten
- Significant Data Fiduciary (SDF): Organisationen, die große Mengen sensibler personenbezogener Daten verarbeiten – darunter häufig Unternehmen aus den Bereichen Medizintechnik, SaMD) und digitale Gesundheit
Grundlegende Verpflichtungen für Medizinproduktehersteller
Einwilligung und Transparenz
Vor der Erhebung oder Verarbeitung personenbezogener Daten muss eine Einwilligung vorliegen, die freiwillig, in voller Kenntnis der Sachlage, konkret und eindeutig sein muss. In der den Patienten zur Verfügung gestellten Information sollte Folgendes klar erläutert werden:
- Die Art der erfassten Daten
- Zweck der Verarbeitung (z. B. Diagnose, Überwachung, klinische Forschung)
- Fristen für die Datenspeicherung
- Jede Weitergabe oder grenzüberschreitende Übermittlung von Daten
Die Patienten müssen zudem in der Lage sein, ihre Einwilligung jederzeit problemlos zu widerrufen.
Datenminimierung und Zweckbindung
Hersteller von Medizinprodukten sollten nur die Daten erheben, die für den vorgesehenen medizinischen oder behördlichen Zweck des Produkts erforderlich sind. So sollte eine diagnostische Anwendung beispielsweise keine nicht relevanten personenbezogenen Daten abfragen, es sei denn, es besteht ein legitimer und begründeter Bedarf.
Sichere Datenspeicherung und -aufbewahrung
Personenbezogene Daten müssen durch geeignete technische und organisatorische Sicherheitsvorkehrungen geschützt werden. Die Daten sollten nur so lange aufbewahrt werden, wie dies für klinische, behördliche oder rechtliche Zwecke erforderlich ist, und nach Erfüllung dieser Zwecke sicher gelöscht werden, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist.
Verhinderung und Meldung von Datenschutzverletzungen
Hersteller müssen strenge Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffsverwaltung und kontinuierliche Überwachung einführen. Im Falle einer Datenpanne müssen sowohl die indische Datenschutzbehörde (DPBI) als auch die betroffenen Personen unverzüglich benachrichtigt werden.
Schutz der Daten von Kindern
Geräte und Anwendungen, die für Minderjährige bestimmt sind, erfordern eine nachweisbare elterliche Zustimmung und dürfen keine Nachverfolgung, Profilerstellung oder gezielte Analysen in Bezug auf Kinder beinhalten.
Rechte von Patienten und Nutzern
Das DPDP-Gesetz räumt Patienten mehr Kontrolle über ihre personenbezogenen Daten ein, darunter das Recht auf:
- Informationen darüber abrufen, wie ihre Daten verarbeitet werden
- Beantragung der Berichtigung oder Löschung unrichtiger oder veralteter Daten
- Sie können Ihre Einwilligung jederzeit widerrufen
- Bestimmen Sie einen Vertreter für den Fall Ihres Todes oder Ihrer Handlungsunfähigkeit
Um diese Rechte zu gewährleisten, sollten Hersteller von Medizinprodukten benutzerfreundliche digitale Schnittstellen, Beschwerdemechanismen oder spezielle Helpdesks einrichten.
Schwerpunkt: Software als Medizinprodukt (SaMD)
Bei SaMD KI-gestützten digitalen Gesundheitslösungen geht die Einhaltung der DPDP-Vorschriften über den grundlegenden Datenschutz hinaus und umfasst auch die verantwortungsvolle Datennutzung sowie die Transparenz von Algorithmen. Zu den wichtigsten Aspekten zählen:
- Gewährleistung der Rückverfolgbarkeit und Dokumentation der Daten, die bei der Softwareentwicklung und beim Training von KI-Modellen verwendet werden
- Soweit möglich, Verwendung anonymisierter oder pseudonymisierter Datensätze
- Es ist sicherzustellen, dass die Einwilligung jede sekundäre oder nachträgliche Verwendung von Patientendaten abdeckt
- Einbindung von Datenschutzgrundsätzen in die Prozesse des Software-Lebenszyklus gemäß IEC 62304 und Cybersicherheits-Rahmenwerken
Durchsetzung und Sanktionen
Das DPDP-Gesetz ermächtigt die indische Datenschutzbehörde, die Einhaltung der Vorschriften zu überwachen, Verstöße zu untersuchen und Sanktionen zu verhängen. Bei Nichteinhaltung können je nach Schwere und Art des Verstoßes Geldbußen von bis zu 2,5 Milliarden Rupien verhängt werden.
Für Hersteller von Medizinprodukten unterstreicht dies, wie wichtig es ist, Datenschutzmaßnahmen in Qualitätsmanagementsysteme (QMS), Konstruktionskontrollen und Risikomanagementprozesse zu integrieren.
Einbindung der DPDP-Konformität in das regulatorische Umfeld für Medizinprodukte
Die Anforderungen der DPDP orientieren sich eng an bestehenden Normen für Medizinprodukte und Qualitätsstandards, darunter:
- Verordnung über Medizinprodukte (MDR), 2017 – Sicherheit, Leistung und Überwachung nach dem Inverkehrbringen
- ISO 13485 – Qualitätsmanagementsysteme für Medizinprodukte
- IEC 62304 – Prozesse für den Lebenszyklus von Medizinprodukt-Software
- ISO 14971 – Risikomanagement für Medizinprodukte
Durch die Einbindung der DPDP-Konformität in diese Rahmenwerke können Hersteller eine ganzheitliche regulatorische Angleichung erreichen, ihre Audit-Bereitschaft stärken und Compliance-Risiken verringern.
Wir bei Freyr Solutions unterstützen Unternehmen aus den Bereichen Medizinprodukte und digitale Gesundheit dabei, sich an das Gesetz zum Schutz personenbezogener Daten im digitalen Bereich (DPDP Act) von 2023 anzupassen , und sorgen gleichzeitig für eine nahtlose Integration in bestehende Vorschriften für Medizinprodukte und globale Datenschutzrahmenwerke.
