Kategorien: Regulatory Affairs
Tags:

10 Kommentare

  1. Gwenda Rüsing | Dienstag, 13. Februar 2018 um 12:18 Uhr - Antworten

    Die Vorgaben nach zweckgebundener Speicherung und zeitlich nur so lange wie unbedingt erforderlich, heißen doch im Umkehrschluss, dass Befunde, Formulare und Abrechnungsdaten u.ä. in einem PVS/KIS auch nur so lange gespeichert werden dürfen, wie die Aufbewahrungsfristen dies vorsehen.
    Müssen diese Daten nach Ablauf dieser Fristen „automatisch“ gelöscht werden?
    Müssen die Datensätze von verstorbenen Patienten nach einer Frist ebenfalls gelöscht werden?
    Einen Hinweis auf diese Problematik finde ich in der obigen Aufzählung der Konsequenzen für den Hersteller nicht…


    • Prof. Dr. Christian Johner | Dienstag, 13. Februar 2018 um 12:22 Uhr - Antworten

      In der Tat müssen Daten, für die es keine rechtliche Grundlage mehr gibt, gelöscht werden. Dass das automatisiert erfolgt, verlangt die DSGVO nicht.

      Die DSGVO fühlt sich nicht(!) für die Daten Verstorbener zuständig.


  2. Michael Eisenring | Dienstag, 13. Februar 2018 um 15:28 Uhr - Antworten

    Software-Hersteller haben einen wesentlichen Einfluss auf den Umgang mit personenbezogenen Daten. Sie stellen die notwendigen Funktionen zur Datenverarbeitung zur Verfügung.

    Trotzdem wird in der DSGVO lediglich beschrieben (Paragraph 78), dass die Hersteller ermutigt werden sollten, das Recht auf Datenschutz zu berücksichtigen und unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und Verarbeiter in der Lage sind, den Datenschutzpflichten nachkommen zu können.

    Abschnitt 5b) zeigt aber erhebliche Konsequenzen für Hersteller auf. Wie ist das zu verstehen?


    • Prof. Dr. Christian Johner | Dienstag, 13. Februar 2018 um 17:54 Uhr - Antworten

      Wenn die Punkte in 5b nicht umgesetzt sind, können die Kunden(!) der Hersteller die Anforderungen nicht erfüllen. Die Anforderungen betreffen nicht (direkt) die Hersteller selbst. Um die Kunden zu gewinnen/behalten, sollten sie die Produkte entsprechend entwickeln. Zudem sind die Anforderungen der MDR zu beachten.


  3. Lars Lünenburger | Dienstag, 13. Februar 2018 um 19:22 Uhr - Antworten

    Genügt eine Anonymisierung/Deidentifizierung der Daten, um der Anforderung für gezieltes Löschen der Datensätze einzelner Patienten / Personen zu entsprechen? Also, würde es ausreichen bestimmte Felder, wie z.B. Name, Geburtsdatum, Adressen, Versichungsnummer, zu löschen, statt des gesamten Records?


    • Prof. Dr. Christian Johner | Mittwoch, 14. Februar 2018 um 00:27 Uhr - Antworten

      Die DSGVO verlangt ein Löschen der Daten. Wenn Sie allerdings alle Merkmale löschen, die zum Identifizieren notwendig sind, hätte niemand mehr eine Chance, Ihnen das Gegenteil zu beweisen. Wie schwierig es ist, Daten wirklich zu anonymisieren, musste eine US-Behörde erfahren. Mit Hilfe sozialer Medien gelang es, angeblich anonymisierte Daten Personen zuzuordnen.


  4. Maik Preißler | Donnerstag, 1. März 2018 um 09:35 Uhr - Antworten

    Guten Tag,

    seht guter Beitrag für uns als Datenschutzbeauftragte im Gesundsheitswesen.

    Vielen Dank


  5. Robert Löffler-Reetz | Donnerstag, 9. August 2018 um 13:00 Uhr - Antworten

    Hallo,

    ich habe eine Frage zum „räumlichen Anwendungsbereich“. Wie verhält es sich, wenn ich als in der EU-ansässige Firma Daten von von nicht in der EU-befindlichen Personen in der EU verarbeiten möchte?
    Beispiel: Wie muss ich mit Personendaten zu den Seren von chinesischen Bürgern umgehen, die ich im Rahmen meiner Forschung & Entwicklung von meinem chinesischen Vertragspartner bekommen habe und jetzt in der EU verarbeite? Soweit ich die Verordnung verstehe, findet sie hier keine Anwendung, da es keine in der EU befindlichen Personen betrifft und es ja um den Schutz der Personen gehen sollte…

    Vielen Dank und viele Grüße


  6. Robert Löffler-Reetz | Freitag, 10. August 2018 um 06:29 Uhr - Antworten

    Hallo Herr Dr. Johner,

    Datenschutz ist nicht wie Umweltschutz – geschützt werden nicht die Daten (wie die Umwelt) sondern die Personen (die Grundrechte der Personen, die hinter den Daten stehen). Somit würde die Verordnung auch Personen schützen, die sich nie in der EU aufhielten? Zusammenfassend kann man also sagen?:
    – Die Verordnung schützt Personen, die sich in der EU befinden, egal wo deren Daten verarbeitet werden (betrifft somit auch nicht in der EU ansässige Firmen)
    – Die Verordnung schützt Personen weltweit, deren Daten von in der EU ansässigen Firmen verarbeitet werden
    – Nicht geschützt durch die Verordnung sind Personen die sich nicht in der EU befinden und deren Daten durch Firmen verarbeitet werden, die keine Niederlassung in der EU haben

    Viele Grüße


Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.