Um sicherzustellen, dass die Data Governance korrekt durchgeführt wird, ist es daher notwendig, dass sowohl ein erfahrener Technologiepartner als auch ein Berater für rechtliche und regulatorische Fragen mit Branchenkenntnissen in alle Phasen der Entwicklung eines digitalen Gesundheitsprodukts einbezogen wird.

Best Practice: Wie konforme Datenlösungen aussehen können

In Zusammenarbeit mit NEXTEC medical arbeitet DataArt an Lösungen für die Entwicklung von Medizinprodukten für den EU-Markt, bei denen anonymisierte Daten für Produktanalysen und zur Gewinnung von Erkenntnissen über das Produkt verwendet werden. Diese Datenlösungen umfassen in der Regel die folgenden Säulen:

• Datenerfassung: Die Datenerfassung erfolgt durch Anwendungen des Kunden (z.B. eine mobile App oder eine Web-App), die die Benutzeraktivitäten überwachen. Die gesammelten Daten (Ereignisse von Benutzeraktionen) werden nach einem festgelegten Zeitplan an das Backend-System gesendet (z.B. ein Ereignis beim Öffnen der App oder beim Ausführen einer bestimmten Aktion). Der Kunde stellt sicher, dass alle Verarbeitungsaktivitäten, einschließlich der Verwendung der Daten für den ursprünglichen Zweck, der Anonymisierung und der weiteren Analyse der anonymen Daten, im Einklang mit den geltenden Datenschutzbestimmungen stehen;

• De-Identifizierungstransformation: Die Backend-Dienste umfassen De-Identifizierungsverfahren, die speziell auf die jeweilige Anwendung zugeschnitten sind. In der Regel wird eine vollständige Anonymisierung der Daten nicht erreicht, da bestimmte eindeutige Identifikatoren wie die Benutzer-ID oder die Mitglieder-ID beibehalten werden müssen. Als organisatorische Maßnahme wird bei klinischen Studien eine separate und optionale Zustimmung der Benutzer für diese Art der Datenverarbeitung erteilt;

• Datenspeicherung: Rohdaten werden sicher in verschlüsselter Form entweder auf einer in der EU ansässigen Infrastruktur vor Ort oder auf in der EU ansässigen Servern von lokalen und internationalen Hosting-Anbietern gespeichert. Rohdaten und de-identifizierte Daten werden in getrennten Speichern gespeichert, wobei ein angemessenes Berechtigungsschema und eine Datenzugriffskontrolle für alle Mitarbeiter gilt. Gegebenenfalls werden Aufbewahrungsrichtlinien für die Datenspeicherung angewendet;

• Datenübertragung und Visualisierung: Pseudonymisierte Daten wurden sicher über eine REST-API an Datenvisualisierungstools – wie Power Bi, Looker, Tableau – zur weiteren Datenvisualisierung und Datenanalyse übertragen. Anschließend wurden Korrelations- und multivariate Analysen als Grundlage für Produkt- und Behandlungsentscheidungen für die entsprechenden Nutzerkohorten herangezogen.

• Datensicherheit: Die gesamte Datenverarbeitung erfolgt in einer sicheren Umgebung mit sicheren Verbindungen und Authentifizierung zwischen den Diensten. Dabei werden auch andere branchenübliche Best-Practice-Ansätze befolgt.

Mit der richtigen Datenlösung ist es möglich, die strengen DSGVO-Vorschriften einzuhalten und dennoch wertvolle Erkenntnisse aus anonymisierten medizinischen Daten zu gewinnen. Die Erkenntnisse können dann zur Optimierung des Produktdesigns und zur gezielteren Ausrichtung der Angebote auf die Nutzer genutzt werden, was allen Beteiligten im Gesundheitswesen – Patienten, Leistungserbringern, Forschern und Herstellern – Vorteile bringt.

(ID:49265289)