GDPR (EU) 2016/679: 数据保护在医疗器械制造商中的应用

03-05-2018

2018-05-03

"一般数据保护条例"GDPR(EU)2016/679已获批并将于2018年5月生效。我预计这一新的欧盟法规将对欧洲公民和组织就如何处理隐私信息产生重大影响。您的组织是否已准备好避免由于违反GDPR而产生的巨额罚款和名誉损失?

你想用英语进一步阅读吗? 点击这里

时间在流逝,现仅余3个月的时间来完成这项工作!

在早期的博客中,我们讨论了处理个人数据的医疗器械制造商必须执行风险管理活动的三个方面。 回顾一下,制造商现在必须在以下领域采取行动:

  • 患者安全;
  • 数据安全及
  • 隐私

 

后续的博客中,又提出了关于整合产品安全和网络安全风险管理的实用方法; 介绍了一份技术报告,该报告可以作为将数据安全功能集成到医疗器械设计中的工具。

本文将探讨设计环节中的数据保护管理。 如上所述,医疗器械法规(MDR(EU)2017/745)和GDPR适用于将涉及处理个人数据的医疗器械投放市场的制造商。 (阅读我以前的博客)

GDPR是一部隐私权法,该法规 1)保护自然人的基本权利和自由,即法律规定的有关处理个人数据的无可争议的隐私权; 和 2)管理(自然人)的隐私风险,确定适当的措施,包括(信息)安全措施,以保护个人数据。 GDPR数据保护管理基于这两大支柱进行。 实际上,我们这里正在讨论“数据保护影响评估(DPIA)”。

谁来执行DPIA?

回答这个问题之前,我需要介绍一些GDPR的定义:

- '处理':对个人数据进行的任何操作,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传播进行披露、宣传或以其他方式提供、调整或组合、限制、消除或销毁。
- '控制方':确定处理个人数据目的和方法的一方。

- '处理方':代表控制方处理个人数据的一方。

通常,医疗器械的制造商是处理方。医疗提供者,通常为医院和诊所,确定处理的方法和目的,他们是控制方。
这将意味着在这个例子中,制造商不是必需执行DPIA。然而,GDPR很明确要求控制方和处理方进行相互配合。这是有道理的,因为器械的制造商或生产商知道处理哪些数据和如何处理个人数据。在以上案例中,制造商(处理方)执行DPIA并与护理提供者(控制方)共享此信息。另一方面,制造商仅仅是制造商吗?他是否持有个人数据?对于联网器械,制造商是否也负责提供云服务?他是否修理和维护医疗器械并可能获取医疗信息?该制造商是否通过遥感技术来监控医疗器械的性能,这些信息是否仍然为敏感信息(例如器械的位置以及植入式器械或可穿戴器械的用户/患者)?制造商是否会对真人进行测试?

什么是DPIA?
GDPR第35条概述了隐私风险评价的要求。 DPIA报告至少应包括以下信息:
a)处理操作和处理目的的系统性描述。

b)对处理的必要性和相称性评价;
为此,GDPR应用了一些法规控制,例如数据最小化、保留和人权(例如:被告知或访问和纠正数据的权利)。

c)对权利和自由的影响评价。
DPIA中应包含影响研究。 基本上来说,这是我们从产品安全和(网络)安全中熟知的那种风险评价测量方法。 研究用以确定如果(某人)他/她的个人资料被盗,损坏,删除,滥用或操纵,会对其造成的影响。 其影响可能包括欺诈,身份盗窃,因数据被盗而造成的个人困扰,对未知用户名誉以及私人信息暴露于公众所造成的损失。 更糟糕的是:它可能会破坏器械,并可能导致死亡。

d)分析(自然人)的隐私风险。

用以确定保护个人数据的恰当措施(包括信息安全措施)

做好风险管理就完事了吗?
当然不是。 需要将风险管理过程整合至您的质量管理体系,以管理整合的产品安全、(网络)安全和隐私风险。 除此之外,还应该更新现有质量管理体系中的其他流程,反馈GDPR要求,例如更新新的角色、任务和职责。
在今后的博客中,我们将深入探讨GDPR相关主题:

- 与GDPR合规性和网络安全相关的质量管理流程;
- GDPR的合同要求,例如数据处理协议和数据主体的知情同意。

如果您需要支持或更多资源,请立即与Qserve取得联系。

 

博文作者:Jaap Noordmans (Usability Engineering Expert)

44

关于智服

智服中国是一家专注于医疗器械领域的专业团队,提供产品注册,法规合规,临床评价和法定代表人等服务。

我们遍布全球的法规专家,帮助您的产品更快投入市场。

联系我们

Qserve Group China Ltd.
G座1616室
福园街133号,万达广场
210036 中国南京市

©2020 Qserve Group China | 版权所有 | 网站地图
网站设计者 websolve