欧盟GDPR及MDR对处理个人数据的医疗器械有何要求?

05-02-2018

2018-02-05

由于互联网通过IT网络加强了医疗器械间的关联,例如云端解决方案、快速集成和软件应用(独立或集成)的使用等,数据保护成为保障患者安全的关键要求。安全漏洞可能对器械自身的控制及患者数据都产生严重影响。

你想用英语进一步阅读吗? 点击这里。(What is the impact of the General Data Protection Regulation (GDPR) and the EU-MDR on medical devices that process personal data?)

关于云安全的争议不断,甚至有人说我们生活在云战争的时代。同时,对于隐私保护和个人数据所有权的意识正在觉醒。随着社交网络对我们生活的渗透,隐私和相关的保障体现了幸福生活的质量和精致。虽然在线上可以看到很多关于欧盟数据保护和MDR的信息,但却没有针对以下问题的明确答案或路径:“医疗器械制造商如何能将数据保护纳入其产品研发和质量体系中?GDPR"一般数据保护条例”会带来怎样的影响?博主将在本文分享数据保护的基本信息,并将在系列博文中介绍如何将数据保护应用于医疗器械的实施步骤。

 

关于数据保护,EU-MDR是怎么说的?

法规制定者意识到患者和数据安全风险管理需要纳入医疗器械的研发过程。EU-MDR附录一的“基本安全和性能要求 14.2 d)中的表述的”软件及其操作和交互的IT环境间可能的负面作用所产生的相关风险“明确提及了患者安全和数据安全之间的关联。MDR第110条款要求应用95/46/EC指令,当处理个人信息和此类信息的自由移动时对个体进行保护。因而,处于IT环境中的医疗器械必须针对患者和数据安全的风险管理进行开发和维护。

 

GDPR

欧盟议会采纳了“一般数据保护法规 ”(GDPR EU 2016/679), 该法规将于2018年5月25日生效。而GDPR取代了95/46/EC,将在欧盟所有成员国内直接应用。GDPR规范了在欧盟境内处理个人数据和个人数据自由移动的行为。

 

什么是GDPR?

这是一部隐私权法。

1)GDPR列明了关于处理个人数据过程中保护自然人权益和个人数据自由移动的规则。

2)它保护了自然人的基本权益和自由,及其保护个人数据的权力。

 

我们可以看GDPR的两个基础:在处理数据时对个人数据的保护、基本的隐私权。尽管“隐私”这个词没有在条例文本中提及,GDPR赋予了个人基本隐私的权力,例如“不受干涉的权力”、“被遗忘的权力”。这些基本隐私权和个人自由作为法律规定是明确的、无可辩驳的。

 

GDPR基本上只是在已提及的两点基础上加了第三项,即隐私风险管理,隐私风险管理分解为两条:1)基本权益和个人自由的保护 2)隐私风险的管理

 

因而,处理个人数据的医疗器械必须开发和维护隐私风险管理的应用。

 

这对于在IT环境中处理个人数据器械的制造商来说意味着什么?

MDR和GDRP的发布,明确了处理个人数据医疗器械的制造商需要符合两个法规的要求。

 

前面提到,GDPR于2018年5月25日生效,没有过渡期且罚金高达全球销售收入的4%。距离期限不足六月,GDPR的准备应当进入你的最高优先级。

 

同时,欧盟以外的公司想要进入欧盟消费市场也适用于GDPR法规。

 

因而,在IT环境中操作、处理个人数据的医疗器械必须开发和维护风险管理的应用在以下方面:

  • 患者安全;

  • 数据安全及

  • 隐私

 

后期博文将深入讨论以下内容,敬请关注

 

  • 在研发和上市后活动中整合患者安全和信息安全风险管理

  • 隐私风险管理和数据保护影响评定

  • 职责定义、行为触发生成符合性文件的过程

  • GDPR的合约要求。

如果你想讨论这个话题,请随时联系Qserve。

博文作者:Jaap  Noordmans

38

关于智服

智服中国是一家专注于医疗器械领域的专业团队,提供产品注册,法规合规,临床评价和法定代表人等服务。

我们遍布全球的法规专家,帮助您的产品更快投入市场。

联系我们

Qserve Group China Ltd.
G座1616室
福园街133号,万达广场
210036 中国南京市

©2020 Qserve Group China | 版权所有 | 网站地图
网站设计者 websolve