Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft und führt neue Regeln für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ein. Startups im Gesundheitswesen sollten sich auf die Verordnung vorbereiten und deren Einhaltung gewährleisten.
Healthcare-Startups gehen mit sensiblen Daten wie der Krankengeschichte und dem Arzneimittelbedarf von Patienten um. Der Schutz solcher personenbezogenen Daten stellt auch weiterhin eine herausfordernde Aufgabe dar: Weltweit hatten Gesundheitseinrichtungen im ersten Halbjahr 2016 mehr als doppelt so viele Datenschutzverletzungen zu verzeichnen als andere Organisationen.
Mit der Einführung der neuen Bestimmungen, die den Datenschutz innerhalb der Europäischen Union regeln, könnten Datenschutzverletzungen bald zu erheblichen rechtlichen und finanziellen Konsequenzen für Gesundheitseinrichtungen und Startups im Gesundheitssektor führen.
Die Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 in vollem Umfang wirksam und führt innerhalb der gesamten EU ein einheitliches Regelwerk ein. Sie gilt gleichermaßen für alle Mitgliedsstaaten und hebt die Datenschutzrichtlinie 95/46/EG auf. Diese Richtlinie wurde von den einzelnen Mitgliedstaaten in nationales Recht überführt und wird daher innerhalb der EU als uneinheitlich wahrgenommen.
Neben deutlich höheren Strafen bringt die EU-DSGVO aufwendigere Compliance-Anforderungen mit sich. Zum Beispiel müssen die örtlichen Regulierungsbehörden innerhalb von 72 Stunden über Verletzungen von personenbezogenen Daten ohne ungebührliche Verzögerung informiert werden. Wenn die personenbezogene Datenverletzung ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt, muss die betroffene Person unverzüglich informiert werden. Darüber hinaus wird die Definition der personenbezogenen Daten weiter gefasst als in der Richtlinie.
Die DSGVO gilt nicht nur für in der EU ansässige Organisationen, sondern kann auch für jede Organisation innerhalb oder außerhalb der EU gelten, die mit personenbezogenen Daten von EU-Bürgern im Rahmen von Waren- oder Dienstleistungsangeboten oder der Auswertung personenbezogener Daten von Personen umgeht.
Die DSGVO führt höhere Strafen für die Nichteinhaltung ein als dies nach bislang geltendem Recht der Fall ist. Zum Beispiel können bei Nichteinhaltung der DSGVO -Bestimmungen in Bezug auf die Übermittlung personenbezogener Daten an Drittländer (außerhalb der EU) oder an internationale Organisationen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes der Organisation fällig werden.
Auch Healthcare-Startups müssen den neuen Rechtsrahmen einhalten
Angesichts der massiven, kontinuierlichen Veränderungen im digitalen Bereich stellt die Einhaltung der rechtlichen Rahmenbedingungen für den Datenschutz in Europa eine technische und organisatorische Herausforderung dar.
So gehen jährlich Millionen von Aufzeichnungen personenbezogener Daten verloren oder werden gestohlen. Im Hinblick auf Großunternehmen zeigt ein Bericht der britischen Regierung auf, dass zwei Drittel dieser Unternehmen eine Datenschutzverletzung oder eine Cyber-Attacke im letzten Jahr erlebt haben. Die DSGVO gibt Unternehmen einen Impuls, diese Probleme anzupacken.
Die Einhaltung dieser gesetzlicher Vorschriften bringt eine Reihe von Herausforderungen mit sich: So stellen die erwähnte Meldeplicht ein er Datenschutzverletzung in Bezug auf personenbezogene Daten sowie der kurze dafür vorgesehene Zeitrahmen eine große Neuerung dar. Darüber hinaus besteht die Pflicht, den Betroffenen über eine solche Verletzung in Kenntnis zu setzen.
Drei einfache Schritte für einen proaktiven Ansatz
Da die Einführung der DSGVO näher rückt, müssen Healthcare-Startups erste Schritte zu ihrer Befolgung berücksichtigen. Es kann hilfreich sein, bereits jetzt über die Umsetzung dieser Maßnahmen nachzudenken, um in der Zukunft auch finanzielle Fallstricke zu vermeiden.
Verstehen Sie das Universum personenbezogener Daten in Ihrer Organisation
Healthcare-Startups sollten Maßnahmen ergreifen, um ein klares Verständnis ihres persönlichen Datenuniversums zu gewinnen: Beispielsweise, welche Kategorien von personenbezogenen Daten sie sammeln; wie und von wem sie gesammelt werden, wo die Daten gespeichert werden, was mit ihnen getan wird, wer mit den Daten umgeht, die Gründe für den Speicherzeitraum sowie für die Vorhaltung oder Löschung der Daten; und entscheidend ist, inwiefern diese Praktiken die bevorstehenden regulatorischen Anforderungen der DSGVO und anderer gesetzlicher Vorgaben für Gesundheitseinrichtungen und Startups erfüllen.
Planung und Kommunikation
Planung und Kommunikation sind der Kern einer erfolgreichen Informations-Governance-Strategie. Ein wichtiger zweiter Schritt liegt darin, dass die wichtigsten Player (bei größeren Organisationen in der Regel aus den Rechts-, Compliance-, Unternehmens-, Vertriebs und HR-Abteilungen, die mit personenbezogenen Daten umgehen) miteinander kommunizieren, und Zeit investieren, um eine Datenlandkarte aufzuzeichnen. Innerhalb von Startups ist dies im Wesentlichen eine Beschreibung von Datentypen, der technischen Infrastruktur und Speicherlösungen..
Ständige Wachsamkeit
Es ist nicht genug, den Umgang mit personenbezogenen Daten unregelmäßig zu überwachen. Da sich die Datenlandschaft im Gesundheitswesen ständig verändert, muss die Aufzeichnung dieser Landschaft als eine andauernde, „lebende“ Voraussetzung und nicht als einmalige Angelegenheit angesehen werden. Ein proaktiver und kontinuierlicher Ansatz für Informations-Governance wird dafür sorgen, dass Unternehmen bereit sind, mit künftigen Entwicklungen und Veränderungen umzugehen.
Die Privatsphäre muss ein Kerngeschäft für Gesundheitseinrichtungen werden.
Die Einführung der Datenschutz-Grundverordnung wird voraussichtlich in der gesamten EU eine stärkere Durchsetzung der Datenschutzbestimmungen nach sich ziehen. Die Privatsphäre muss von nun an ein Kerngeschäft für in der EU tätige Startups im Gesundheitssektor werden. Mit den Vorbereitungen auf die DSVGO sollte sie jetzt beginnen – denn mit der richtigen Planung werden Gesundheitseinrichtungen in der Lage sein, die Vorteile eines starken regulatorischen Rahmens zu genießen, der einen Anreiz schafft, neue Technologien und Prozesse zu entwickeln. Eine fehlerhafte Planung würde hingegen das Risiko einer Nichteinhaltung der DSVGO für Startups im Gesundheitssektor erhöhen, was zu erheblichen finanziellen Nachteilen sowie einem Image-Schaden führen kann.
Von Martin Bonney, Director International Consulting Services; Epiq UK