Federal Trade Commission FTC: Für Medizinproduktehersteller?

Montag 18. April 2016

Die Federal Trade Commission (FTC) ist eine US-amerikanische Behörde, deren Zielsetzung in der Wahrung des Wettbewerbsrechts und des Verbraucherschutzes liegt. Unter welchen Umständen Sie auch die Anforderungen der FTC  beachten müssen und worin diese Anforderungen bestehen, lesen Sie in diesem Beitrag.

Update: Wie radikal die FTC auch bei Herstellern von Medical Apps vorgehen kann, zeigt der Fall Lumosity.

Gesetze der Federal Trade Commission und anderer US-Behörden

Die FTA (Federal Trade Commission) hat ein Guidance Dokument verfasst, welches klar macht, dass Sie als Hersteller von Mobile Medical Apps nicht nur die Anforderungen der FDA erfüllen müssen. Zu den Regularien zählen

  • Federal Trade Commission FTC Act
  • FTC’s Health Breach Notification Rule
  • Health Insurance Portability and Accountability HIPAA Act
  • Food Drug & Cosmetic FD&C Act und Forderungen der FDA wie 21 CFR part 820, Guidance Documents usw.

Damit Sie schneller herausfinden, welche dieser Regularien für Sie relevant sind, hat die Federal Trade Commission ein interaktives Tool veröffentlicht.

Vorschriften der Federall Trade Commission

Gesetzlicher Rahmen

Vergleichbar dem Gesundheitssektor gibt es eine gesetzliche Ebene (die „Acts“) und die Ebene der Behördenvorschriften, die im Code of Federal Regulations veröffentlicht werden. Im Fall Federal Trade Commission sind das der FTC Act und der Title 15 (Commerce and Foreign Trade) sowie Title 16 (Commercial Practices).

Federal Trade Commission FTC

Die Vorschriften der Federal Trade Commission betreffen Sie nur als „for profit“ Organisation — was die meisten Hersteller von Medizinprodukten sein dürften.

Health Breach Notification Rule

Falls man als kommerzieller Anbieter Personal Health Records anbietet und dies nicht unter dem Dach einer Organisation stattfindet, die bereits den Auflagen der HIPAA unterliegt, muss die Health Breach Notification Rule der FTC beachtet werden.

Mit dieser Health Breach Notification Rule möchte die FTC erneut den Verbraucherschutz gewährleisten. Es geht nach Aussagen der Behörde darum, dass bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten gemeldet werden muss.

In einen weiteren Artikel zur Health Breach Notification Rule beschreiben wir

  • wann Sie melden müssen
  • was Sie melden müssen
  • in welcher Form Sie melden müssen
  • an wen Sie melden müssen.

Best Practices für Medical App Hersteller

Die Federal Trace Commission FTC empfiehlt den Herstellern von Medical Apps in einem Guidance Document, Best Practices einzuhalten:

  • Daten minimieren
    • Möglichst wenig Daten sammeln
    • Daten möglichst in anonymisierter oder pseudonymisierter Form sammeln
  • Zugriffsbeschränkungen
    • Minimale Zugriffsbeschränkungen erteilen
    • Möglichkeiten des Betriebssystems nutzen
    • Geeignete Default-Werte wählen
  • Authentifizierung
    • Geeignete Vergabe von Zugangsdaten sicherstellen
    • Starke Passwörter verwenden/fordern
    • Passwörter sicher speichern
  • Ökosystem
    • Nicht unnötig auf die Plattform vertrauen
    • Vorsicht mit „3rd party providern“
    • Vorsicht bei der Verwendung von OTS
  • Sicheres Design
    • Sicherheitsbewusste Organisation etablieren
    • IT-Sicherheit bei jedem Schritt des Lebenszyklus einer App (Entwicklung, Programmierung, Vermarktung usw.) beachten
    • Starke Verschlüsselung nutzen
    • Auf dem Laufenden bleiben z.B. bei neuen Angriffsformen oder bekannt gewordenen Sicherheitsproblemen
  • Nichts neu erfinden
    • Quellen über Sicherheitsprobleme nutzen
  • Kommunikation mit Anwendern
    • Kommunikation bei Verletzungen der IT-Sicherheit und/oder Vertraulichkeit definieren
    • Informationen über Privacy Policy veröffentlichen (verständlich)
    • Über sicherheitsbezogene Eigenschaften des Produkts informieren
  • Regularien beachten

Kategorien: FDA Zulassung - die U.S. Food and Drug Administration
Tags: ,

Kommentar schreiben