תקנות הגנת המידע (GDPR) של האיחוד האירופי מאחדת ומתקנת את חוקי הגנת המידע בין המדינות החברות. אחד הענפים המושפעים מאוד מהתקנות הללו הוא תעשיית המכשור הרפואי. יצרני מכשור רפואי מטפלים בכמויות עצומות של נתונים רגישים שיש להגן עליהם ועדיין להבטיח שהמכשירים פועלים ביעילות. מאמר זה יפרט את הנושאים הקריטיים ביותר עבור יצרני מכשור רפואי בנוגע ל-GDPR.
עם החששות הגוברים בנוגע לפרטיות ואבטחת מידע, תקנות הגנת המידע באירופה (GDPR) נכנסה לתוקף במאי 2018 בהובלת האיחוד האירופי. מטרת ה- GDPR היא להגדיר את חוקי הגנת המידע ולחזק את זכויותיהם של נשואי המידע (אנשים). עם הצגת הרגולציה החדשה לציוד רפואי באירופה (MDR), היו דיונים רבים על איך ה- GDPR משתלב במסגרת הרגולטורית החדשה לציוד רפואי. בבלוג זה נתייחס לאופן ל- GDPR באופן בו מתמזג עם ה- MDR והשלכותיו על יצרני ציוד רפואי.
ה- GDPR וה- MDR אלו שתי רגולציות המונעות למטרות שונות, אך המשותף בין שתיהן הוא בחלק המתייחס להגנה על מידע פרטי/אישי. על פי ה- GDPR, יש לאסוף ולעבד נתונים אישיים בצורה הוגנת ושקופה. ה- GDPR מגדיר נתונים אישיים ככל מידע שניתן להשתמש בו כדי לזהות אדם. לעומתו, ה- MDR עוסק בהבטחת המכשירים הרפואיים, בטוחים ויעילים למטופלים. ה- MDR דורש מיצרני ציוד רפואי לאסוף נתונים קליניים כדי להוכיח בטיחות ויעילות.
במסגרת ה- MDR, היצרנים חייבים לאסוף נתונים קליניים עבור המכשירים הרפואיים שלהם. נתונים אלה כוללים לרוב נתונים אישיים כגון מידע על מטופל, אשר נכלל תחת ה- GDPR. לכן, חברות ציוד רפואי חייבות לציית הן לתקנות ה- GDPR והן לתקנות ה- MDR בעת איסוף ועיבוד נתונים אישיים.
יצרני ציוד רפואי חייבים לוודא שהם תואמים הן ל- GDPR והן ל- MDR. המשמעות היא שעליהם לאסוף ולעבד מידע אישי בהתאם לרגולציות האירופאיות הנ״ל וכן לפעול בשקיפות כלפי נשואי המידע ובעלי העניין הרלוונטיים. זה גם אומר שהם חייבים להבטיח שכל מידע אישי שהם אוספים מוגן מפני גישה לא מורשית, אובדן או נזק.
בזמן שיצרני ציוד רפואי אוספים נתונים קליניים כדי להוכיח בטיחות ויעילות, עליהם להבטיח שהם אוספים נתונים באופן שמגן על הפרטיות והזכויות של אנשים. על יצרני ציוד רפואי לקיים מדיניות הגנה על נתונים המתארת כיצד נאספים, מאוחסנים וגישה לנתונים, ואת הצעדים שננקטו כדי להגן על נתונים אלה.
הצגת ה- MDR עוררה חששות לגבי איך ה- GDPR משתלב במסגרת רגולטורית חדשה זו. עם זאת, שתי הרגולציות עוסקות בהגנה על מידע, ויצרני ציוד רפואי חייבים לציית לשתי אלו. חברות ציוד רפואי חייבות לוודא שיש להן מדיניות ברורה בכדי לעמוד ב-GDPR, המתאר כיצד הן יאספו, יאחסנו וייגשו לנתונים אישיים תוך הבטחה שהנתונים מוגנים מפני גישה לא מורשית, אובדן או נזק. באמצעות קיום מדיניות הגנה על נתונים פרסונליים, יצרני ציוד רפואי יכולים להוכיח את מחויבותם להגן על הנתונים הפרטיים של נשואי המידע (בכללם צוות רפואי, משתמשים, מטופלים וכד׳).
הפניה בין ה- MDR ל- GDPR מפורטת ברגולציה לציוד רפואי (MDR) בחלק 110 (EU 2017/745, Article 110). על מנת למנוע כפילות בין רגולציות, ה- MDR מפנה לרגולציה 45/2001 המוכרת כ- GDPR (ראה קישור ל- GDPR).
מעבר לכך, קיימת התייחסות ברגולציה האירופאית לציוד רפואי, אמנם שולית לכאורה. גם בחלק 109 המתייחס לשמירה על סודיות, מתייחס למידע אישי ומפנה את היצרן לחלק 110 להתייחסותו כחלק מדרישות הרגולציה. בעצם די בכך מסתכמת התייחסות הרגולציה לנושא הגנת הפרטיות.
להלן חמשת הנקודות המרכזות את התייחסות ה- GDPR בנוגע ליצרני ציוד רפואי:
בראש ובראשונה, יצרני מכשור רפואי חייבים להבטיח שהטיפול בנתונים אישיים הקשורים למכשירים תואם את ה-GDPR. נתונים אישיים כוללים כל מידע שיכול לזהות אדם, כגון שם, כתובת, דואר אלקטרוני ומידע בריאותי. בהקשר של מכשור רפואי, זה יכול להיות מורכב מנתונים הקשורים לבריאותו ולהיסטוריה הרפואית של המטופל. לכן, היצרנים חייבים לוודא שהם הגדירו את פעילויות עיבוד הנתונים שלהם וזיהו כל סיכונים ופגיעות פוטנציאליים הקשורים לנתונים אלה.
שנית, GDPR דורשת מיצרני מכשור רפואי להבטיח שכל מידע שנאסף מהמכשירים יעובד באופן חוקי, הוגן ושקוף. זה כולל ליידע את המטופלים לגבי סוגי הנתונים שנאספו, אופן השימוש בנתונים ולמי יש גישה אליהם. יצרנים וספקי שירותי בריאות חייבים לקבל הסכמה מדעת מאנשים לפני איסוף, שימוש ושיתוף של כל מידע אישי הקשור למכשירים רפואיים.
שלישית, ה-GDPR גם מחייב יצרני מכשור רפואי לתכנן ולבנות הגנת נתונים כברירת מחדל במכשירים רפואיים. המשמעות היא שיש לשלב אמצעי הגנה על מידע בעיצוב המכשיר הרפואי, תוך התחשבות בסיכונים ובפגיעויות של הנתונים הספציפיים שנאספו ומעובדים. שימוש בפרקטיקות של פרטיות ואבטחה לפי עיצוב יכול לסייע באופן משמעותי ביישום אמצעי הגנת נתונים אלה.
רביעית, יצרני מכשור רפואי חייבים להבטיח שיש להם אמצעים מתאימים כדי לצמצם כל הפרצות אבטחה ביעילות. במקרה של הפרה, היצרן חייב לדווח על כך לסוכנויות הרגולטוריות ולהודיע על כך מיד לאנשים שנפגעו. יצרני מכשור רפואי מחויבים לקיים נהלי הודעה על הפרות שיהיו יעילים ויעילים בהגנה על נתונים אישיים.
לבסוף, ה-GDPR דורש מיצרני מכשור רפואי למנות קצין הגנת מידע (DPO) שיפקח על הסיכונים הכרוכים באיסוף ועיבוד נתונים אישיים. ה-DPO מוודא שהחברה מצייתת לתקנות ה-GDPR ומספקת נקודת מגע לאנשים כדי להעלות חששות לגבי פעילויות עיבוד נתונים.
לכן חשוב להבין כי עמידה ברגולציה האירופאית 2017/745 לבדה אינה פותרת את היצרן מהחובה להגן על מידע אישי של נשואי מידע וכן אינה פותרת אותו מלפעול לפי הרגולציה המיועדת לכך (GDPR).
ל-GDPR יש השלכות משמעותיות על יצרני המכשור הרפואי, לרבות הדרישה לוודא כי נתונים אישיים נאספים ומעובדים במסגרת היצרן ועם אפשרות לשלוט בהם.