Intelligente Medizinprodukte: Ist der geltende Rechtsrahmen noch aktuell?
- PDF / 165,587 Bytes
- 8 Pages / 595.276 x 841.89 pts (A4) Page_size
- 51 Downloads / 191 Views
MedR (2020) 38: 993–1000 993
9. Datenverarbeitungsbefugnisse der Anbieter von Diensten und Netzen
gigkeit von der Sicherheit der TI und deren Diensten und Komponenten Rechnung getragen werden 252.
Für Zugangsdienstanbieter und Netzanbieter enthalten § 307 Abs. 2 S. 2 und Abs. 3 S. 3 SGB V neue Befugnisgrundlagen zur Datenverarbeitung 247. Zugleich werden damit Zweckbeschränkungen geregelt. Daher dürfen Anbieter die personenbezogenen Daten nur für den Auf bau und Betrieb des Zugangsdienstes oder zum Zweck der Datenübertragung verarbeiten. Wegen des besonderen Schutzbedarfs der transportierten Inhaltsdaten wird jeweils die entsprechende Geltung des Fernmeldegeheimnisses gem. § 88 TKG angeordnet 248.
11. Zugriffsprotokollierung
10. IT- und Datensicherheit In der TI werden Gesundheitsdaten der Versicherten verarbeitetet. § 306 Abs. 3 DSGVO betont, dass wegen des „besonderen Schutzbedarfs“ dieser Daten ein „hohes Schutzniveau“ gilt, was durch entsprechende technische und organisatorische Maßnahmen gem. Art. 32 DSGVO sicherzustellen ist. Wegen der technikneutralen Gesetzgebung werden im Einzelnen keine Maßnahmen vorgegeben 249. Vielmehr werden in der Gesetzesbegründung allgemein die Schutzziele der Datensicherheit aufgelistet, z. B. Datenminimierung, Nichtverkettbarkeit oder Vertraulichkeit 250. Weitere Aspekte der IT-Sicherheit werden in §§ 329 ff. SGB V geregelt, wobei aufgrund der Kritikalität der TI eine Anlehnung an § 8 a Abs. 1 u. 3 BSIG erfolgt 251. Flankierend wird in § 395 Abs. 2a SGB V u. a. ein Verbot des In-Verkehr-Bringens und des Zur-Verfügung-Stellens von Komponenten oder Diensten der TI ohne Zulassung statuiert und der Bußgeldrahmen in § 395 Abs. 3 SGB V deutlich erhöht. Damit soll der Abhän-
Die Protokollierung bei (versuchten) Zugriffen auf Anwendungen gem. § 334 Abs. 1 und 327 SGB V zum Zwecke der Datenschutzkontrolle wird nun in modifizierter Form in § 309 SGB V geregelt 253. Die Protokolldaten, die erst nach drei Jahren zu löschen sind 254, sollen dem Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts gem. § 342 Abs. 2 Nr. 1 lit. d, Nr. 2 lit. g SGB V zur Verfügung gestellt werden 255. Weitere Regelungen zur Zugriffsprotokollierung enthält für eVerordnungen § 361 Abs. 2 S. 2 SGB V und für Zugriffe auf andere Anwendungen § 339 Abs. 3 S. 2, Abs. 5 S. 2 SGB V. Auch hier gewährleistet die Protokollierungspflicht, dass der Versicherte seine Rechte im Rahmen der Patientensouveränität wahrnehmen und kontrollieren kann 256. Der Beitrag wird in Heft 1/2021 fortgesetzt. 247) BT-Dr. 19/18793, S. 101. 248) § 307 Abs. 2 S. 3 und Abs. 3 S. 4 SGB V, BT-Dr. 19/18793, S. 101. 249) BT-Dr. 19/18793, S. 99. 250) S. dazu Sohr/Kemmerich, in: Kipker, Cybersecurity, Rechtshandbuch, 2020, Kap. 2, Rdnrn. 6 ff.; Dochow, Telematik im Gesundheitswesen, 2017, S. 789 ff. m. w. N. 251) Vgl. BT-Dr. 19/18793, S. 107. 252) Vgl. BT-Dr. 19/18793, S. 136. 253) Bisher § 291 a Abs. 6 S. 3–5 SGB V a. F. 254) § 309 Abs. 1, Abs. 3 SGB V i. V. mit § 195 BGB. 255) S. a. § 312 Abs. 6 SGB V. 256) S. BT-Dr. 19/18793, S.
Data Loading...
