Ustawa o ochronie danych osobowych w środowisku cyfrowym (DPDP Act) z 2023 r. i jej wpływ na indyjską branżę wyrobów medycznych
4 minuty czytania

Wraz z postępującą cyfrową transformacją sektora opieki zdrowotnej, obejmującą połączone wyroby medyczne, platformy telemedyczne, urządzenia do noszenia na ciele oraz oprogramowanie jako wyrób medyczny (SaMD), ochrona danych pacjentów stała się sprawą najwyższej wagi. Oprócz zgodności z przepisami, prywatność danych odgrywa obecnie kluczową rolę w budowaniu zaufania pacjentów i zapewnianiu etycznego świadczenia opieki zdrowotnej. Indyjska ustawa o ochronie danych osobowych w środowisku cyfrowym (DPDP) z 2023 r. ustanawia kompleksowe ramy ochrony osobowych danych cyfrowych. Dla producentów wyrobów medycznych i firm zajmujących się cyfrową opieką zdrowotną ustawa ta oznacza znaczącą zmianę w sposobie gromadzenia, przetwarzania, przechowywania i ochrony danych pacjentów w całym cyklu życia produktu.

Dlaczego ustawa DPDP ma znaczenie dla producentów wyrobów medycznych

Dane dotyczące opieki zdrowotnej należą do najbardziej wrażliwych rodzajów danych osobowych. Nowoczesne wyroby medyczne cyfrowe rozwiązania w dziedzinie zdrowia rutynowo gromadzą bardzo szczegółowe dane – takie jak sygnały sercowe, wyniki pomiarów poziomu glukozy, dane obrazowe oraz wskaźniki dotyczące zdrowia psychicznego – które mogą ujawniać głęboko osobiste informacje na temat poszczególnych osób. Chociaż istniejące przepisy , takie jak rozporządzenie w sprawie wyrobów medycznych (MDR) z 2017 r. oraz ustawa o technologii informacyjnej z 2000 r., w pewnym stopniu regulują kwestie bezpieczeństwa urządzeń i cyberbezpieczeństwa, ustawa DPDP wzmacnia odpowiedzialność i wprowadza podejście do zarządzania danymi skoncentrowane na pacjencie.

W przypadku producentów wyrobów medycznych i dostawców oprogramowania dla służby zdrowia zgodność z dyrektywą DPDP wymaga:

  • Wdrożenie solidnych mechanizmów ochrony danych i cyberbezpieczeństwa
  • Uzyskanie wyraźnej i świadomej zgody pacjenta na przetwarzanie danych
  • Wdrażanie zasady „prywatności od samego początku” na wszystkich etapach tworzenia urządzeń, ich wdrażania oraz działań po wprowadzeniu na rynek

Zakres stosowania ustawy o ochronie danych osobowych w służbie zdrowia

Ustawa o ochronie danych osobowych (DPDP) ma zastosowanie do wszystkich cyfrowych danych osobowych, niezależnie od tego, czy zostały one zebrane bezpośrednio w formie cyfrowej, czy też zostały zdigitalizowane w późniejszym terminie. W kontekście opieki zdrowotnej i wyrobów medycznych obejmuje to:

  • Dane pacjentów rejestrowane przez podłączone urządzenia diagnostyczne lub monitorujące
  • Informacje dotyczące zdrowia przekazywane za pośrednictwem wyroby medyczne wykorzystujących technologię chmury
  • Dane przechowywane na platformach telemedycznych lub w szpitalnych systemach informatycznych
  • Dane osobowe przetwarzane przez oprogramowanie medyczne wykorzystujące sztuczną inteligencję oraz mobilne aplikacje zdrowotne

Warto zauważyć, że ustawa ma zastosowanie zarówno do podmiotów indyjskich, jak i zagranicznych oferujących produkty lub usługi medyczne osobom fizycznym na terenie Indii, co rozszerza jej reach globalną działalność w sektorze technologii medycznych.

Główne funkcje określone w ustawie o DPDP

Ustawa jasno określa obowiązki w całym ekosystemie danych:

  • Podmiot danych: osoba fizyczna (pacjent lub użytkownik), której dane osobowe są przetwarzane
  • Administrator danych: podmiot określający cele i sposoby przetwarzania danych (np. producenci wyrobów medycznych, szpitale, placówki służby zdrowia)
  • Podmiot przetwarzający dane: podmioty zewnętrzne, takie jak dostawcy usług w chmurze lub dostawcy rozwiązań informatycznych, przetwarzające dane w imieniu podmiotu powierniczego
  • Podmiot odpowiedzialny za przetwarzanie znacznych ilości danych (SDF): organizacje zajmujące się przetwarzaniem dużych ilości wrażliwych danych osobowych – często obejmujące firmy z branży technologii medycznych (MedTech), SaMD oraz cyfrowego zdrowia

Podstawowe obowiązki przedsiębiorstw produkujących wyroby medyczne

Zgoda i przejrzystość

Przed zebraniem lub przetworzeniem danych osobowych zgoda musi być dobrowolna, świadoma, konkretna i jednoznaczna. Informacja przekazywana pacjentom powinna jasno wyjaśniać:

  • Rodzaj gromadzonych danych
  • Cel przetwarzania (np. diagnostyka, monitorowanie, badania kliniczne)
  • Terminy przechowywania danych
  • Wszelkie udostępnianie lub przekazywanie danych za granicę

Pacjenci muszą mieć również możliwość łatwego wycofania zgody na każdym etapie.

Ograniczanie zakresu danych i ograniczenie celu

Firmy produkujące wyroby medyczne powinny gromadzić wyłącznie dane niezbędne do realizacji zamierzonego celu medycznego lub regulacyjnego danego wyrobu. Na przykład aplikacja diagnostyczna nie powinna wymagać podania niepowiązanych danych osobowych, chyba że istnieje ku temu uzasadniona i uzasadniona potrzeba.

Bezpieczne przechowywanie i archiwizacja danych

Dane osobowe należy chronić za pomocą odpowiednich zabezpieczeń technicznych i organizacyjnych. Dane powinny być przechowywane wyłącznie przez okres niezbędny do celów klinicznych, regulacyjnych lub prawnych, a po osiągnięciu tych celów należy je bezpiecznie usunąć, chyba że ich przechowywanie jest wymagane przez prawo.

Zapobieganie naruszeniom i powiadamianie o nich

Producenci muszą wdrożyć skuteczne środki bezpieczeństwa, takie jak szyfrowanie, zarządzanie dostępem oraz ciągłe monitorowanie. W przypadku naruszenia bezpieczeństwa danych należy niezwłocznie powiadomić zarówno Indyjską Komisję Ochrony Danych (DPBI), jak i osoby, których dane zostały naruszone.

Ochrona danych dzieci

Urządzenia i aplikacje przeznaczone dla nieletnich wymagają potwierdzonej zgody rodziców i nie mogą wykorzystywać technik śledzenia, profilowania ani ukierunkowanej analityki w odniesieniu do dzieci.

Prawa pacjentów i użytkowników

Ustawa o ochronie danych osobowych (DPDP) zapewnia pacjentom większą kontrolę nad ich danymi osobowymi, w tym prawo do:

  • Uzyskać informacje na temat sposobu przetwarzania ich danych
  • Wniosek o sprostowanie lub usunięcie nieprawidłowych lub nieaktualnych danych
  • W każdej chwili możesz wycofać swoją zgodę
  • Wyznaczyć pełnomocnika na wypadek śmierci lub utraty zdolności do czynności prawnych

Aby zapewnić przestrzeganie tych praw, producenci wyrobów medycznych powinni wdrożyć przyjazne dla użytkownika interfejsy cyfrowe, mechanizmy rozpatrywania skarg lub specjalne punkty pomocy.

Temat specjalny: Oprogramowanie jako wyrób medyczny (SaMD)

W przypadku SaMD cyfrowych rozwiązań zdrowotnych opartych na sztucznej inteligencji zgodność z dyrektywą DPDP wykracza poza podstawową ochronę danych i obejmuje odpowiedzialne wykorzystanie danych oraz przejrzystość algorytmów. Do kluczowych kwestii należą:

  • Zapewnienie identyfikowalności i dokumentacji danych wykorzystywanych w tworzeniu oprogramowania oraz szkoleniu modeli sztucznej inteligencji
  • W miarę możliwości korzystanie z zbiorów danych pozbawionych elementów umożliwiających identyfikację lub opatrzonych pseudonimami
  • Zapewnienie zgody obejmuje wszelkie wtórne lub dalsze wykorzystanie danych pacjentów
  • Wdrażanie zasad ochrony prywatności w procesach cyklu życia oprogramowania zgodnie z normą IEC 62304 oraz ramami dotyczącymi cyberbezpieczeństwa

Egzekwowanie przepisów i kary

Ustawa o ochronie danych osobowych (DPDP) upoważnia Indyjską Komisję Ochrony Danych do monitorowania przestrzegania przepisów, prowadzenia dochodzeń w sprawie naruszeń oraz nakładania kar. Nieprzestrzeganie przepisów może skutkować nałożeniem grzywny w wysokości do 2,5 mld rupii indyjskich, w zależności od wagi i charakteru naruszenia.

Dla producentów wyrobów medycznych podkreśla to znaczenie włączenia środków ochrony danych do systemów zarządzania jakością (QMS), procedur kontroli projektowania oraz procesów zarządzania ryzykiem.

Włączenie zgodności z dyrektywą DPDP do systemu regulacyjnego dotyczącego wyrobów medycznych

Wymagania DPDP są ściśle zgodne z obowiązującymi normami dotyczącymi wyrobów medycznych i jakości, w tym:

  • Rozporządzenie w sprawie wyrobów medycznych (MDR) z 2017 r. – bezpieczeństwo, działanie i nadzór po wprowadzeniu do obrotu
  • ISO 13485 – systemy zarządzania jakością wyroby medyczne
  • IEC 62304 – procesy związane z cyklem życia oprogramowania wyrobów medycznych
  • ISO 14971 – zarządzanie ryzykiem w odniesieniu do wyroby medyczne

Dzięki włączeniu zgodności z DPDP do tych struktur producenci mogą osiągnąć kompleksową zgodność z przepisami, zwiększyć gotowość do audytów oraz ograniczyć ryzyko związane z nieprzestrzeganiem przepisów.

W Freyr Solutions pomagamy firmom z branży urządzeń medycznych i cyfrowego zdrowia w dostosowaniu się do ustawy o ochronie danych osobowych w środowisku cyfrowym (DPDP Act) z 2023 r., zapewniając jednocześnie płynną integrację z obowiązującymi przepisami dotyczącymi urządzeń medycznych oraz globalnymi ramami ochrony danych.

Subskrybuj blog Freyr