השלכות ה-GDPR על הרגולציה בתחום מכשור רפואי

כריסטין האנון

השלכות ה-GDPR על הרגולציה בתחום מכשור רפואי

כריסטין האנון

תקני ניהול או בטיחות מוצר (כמו ISO 9001 ,ISO 13485 ואחרים) קבעו מזמן כי על חברות המחזיקות, או מבקשות לבצע רישום של מכשור רפואי, לעמוד במגוון דרישות רגולטוריות רלוונטיות. לאחרונה אנו רואים את השלכות אימוץ התקנה הכללית להגנת נתונים – GDPR שפתחו הזדמנויות לבחינה מחודשת של איסוף, איחסון וניהול נתונים.

כפי שקורה לא מעט בתחום המכשור הרפואי, כשמדובר במוצרים הכוללים תוכנה, יש לבצע סקירה מלאה של דרישות התקנה לאור מאפייני התוכנה, זאת בנוסף לסקירת הנתונים השגרתיים הנדרשים בהתנהלות היומיומית של העסק.

בפוסט זה נתייחס לאותם חלקים של התקנה עם השלכות מעשיות. לצורך ההמחשה, פרק 1 של התקנה דן ב'הקשר', אך אינו רלוונטי ליישום עבור ארגון שאוסף נתונים.

נתחיל בפרק 2, סעיף 5 – המחייב ארגונים להיות שקופים באיסוף נתונים. בפרק זה מצוין כי עלינו ליידע את  "נושא המידע" (האדם המספק את המידע שלו) שהוא מספק מידע שייאסף על ידינו, ועליו להיות מודע לאופן השימוש במידע זה.

על אוסף המידע לשמור רק את המידע הרלוונטי למטרה, ולשמור מידע מזהה אישי כל עוד הוא נדרש לכוונות. קיימת אפשרות לנתונים שאינם מזהים המאוחסנים בארכיון כנדרש לצורך "אינטרס ציבורי, מדעי … או מטרות סטטיסטיות" (בהפניה למאמר 89 (1)). סעיף 5 מונע את השימוש בנתונים למטרות חדשות לאחר שהתרחשה עסקת הנתונים. זה גם המאמר שמזכיר ביטחון והגנה מפני אובדן או נזק בשוגג. סעיף 7 מפרט תנאים להסכמה וגם מעניק לנבדק את הזכות לחזור בו מהסכמתו, ומחייב שיהיה קל לחזור בו כהסכמה. סעיף 7 מסתיים בתניה כי אין לחוות חוזה לגבי הנבדק המספק מידע שאינו קשור לביצוע אותו חוזה. סעיף 8 פונה לילד כנבדק. סעיף 9 אוסר על איסוף של סוגים מסוימים של מידע, למעט אחד מכמה חריגים. מידע זה כולל "נתונים החושפים ממוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, או חברות באיגודים מקצועיים, ועיבוד נתונים גנטיים, נתונים ביומטריים לצורך זיהוי ייחודי של אדם טבעי, נתונים הנוגעים לבריאות או נתונים הנוגעים ל חיי המין של האדם הטבעי או נטייתו המינית. "חריגים לפסקה 2 (ח) ו- 2 (י) יתייחסו ככל הנראה לצורך לשמירת נתונים הקשורים למכשירים, אם הנתונים רלוונטיים להבנת יעילות המכשיר. סעיף 10 ספציפי לטיפול בנתונים הקשורים להרשעות פליליות. סעיף 11 מאפשר לבקר הנתונים להסיר מידע מזהה מהנבדק אם זה כבר לא נחוץ. במילים אחרות, מבקר הנתונים אינו צריך לשמור על זיהוי מידע מעבר לזמן הנדרש אך ורק לציית לתקנה.

פעולות שיש לקחת בחשבון:

1) סקור את אוסף הנתונים הנוכחי שלך ואת הצהרת הפרטיות. וודא שהשפה מאוד ברורה וספציפית. על פי ה- GDPR אין ביטויים דו-משמעיים והשארת מקום לשימוש בעתיד בנתונים עבור יישומים חדשים. כמו כן, קבעו הוראות ברורות לביטול הסכמה (והסרת נתונים לאחר מכן).

2) למרות שייתכן כי אין צורך לאסוף חוות דעת פוליטיות כדי לעקוב אחר נתוני מכשירים רפואיים, חלוקה ורווחת המטופלים, בהחלט אתניות, נתונים ביומטריים ומידע על זיהוי בסיסי (שם, מספר תעודת זהות, כתובת, כדוגמאות) יכולים להיות רלוונטיים לקביעת מגמות. ה- GDPR של האיחוד האירופי מאפשר לבצע אי הכללות, בהסכמת האדם הנגוע, אלא אם כן חבר האיחוד האירופי יחליט לאסור אי הכללות כאלה. שוב, אם הצהרת פרטיות הנתונים שלך ברורה, אתה יכול להדגים שהפכת את הנבדק למודע לצורך במידע שלהם ושימוש בו. ואנחנו נסקור את סעיף 89 בפוסט עתידי בסדרה זו.

3) פרק 2 של ה- GDPR אינו מפרט כיצד נאספים, מאוחסנים ומוגנים נתונים. זה מטיל את הנטל להפגין הסכמה והגנה בחוזקה על הארגון האוסף את המידע. מבחינה מעשית הדבר הופך לחלק מתוכנית ניהול הסיכונים ו / או פעולת המניעה של הארגון. אסטרטגיות תכנון ואימות צריכות להיות חזקות ויסודיות כדי לאשר חסם בגניבת נתונים או שימוש לרעה. וודא ששרתים, תחנות עבודה, חברות הזנת נתונים וגופים או אובייקטים אחרים המטפלים בנתונים מוכנים כראוי לשלוט על הגישה לנתונים. נחקור נושא זה בהמשך לאורך כל סקירת ה- GDPR.

הוספת תגובה