Digitalne zdravstvene aplikacije sve se više koriste u praksi i upravo zbog toga postavljaju se različita pitanja kao što je pitanje jesu li takve aplikacije usklađene sa regulativom osobito sa propisima o zaštiti osobnih podataka i sigurnosti podataka.
Dana 6. studenog 2023. održana je njemačka konferencija neovisnih nadzornih tijela za zaštitu podataka (Datenschutzkonferenz, DSK) te je posljedično objavljen dokument o primjeni GDPR-a na digitalne zdravstvene aplikacije te spremanje podataka iz istih u oblaku (tzv. "zdravstvene aplikacije") s obzirom da zdravstvene aplikacije ne podliježu njemačkim propisima o digitalnim zdravstvenim aplikacijama (Digitale Gesundheitsanwendungen-Verordnung, "DiGA Uredba").
Njemačka je bila prva zemlja u svijetu koja je ponudila naknadu za digitalne zdravstvene aplikacije u okviru zakonskog zdravstvenog sustava. Zdravstvene aplikacije s povratom troškova medicinski su uređaji i moraju ispunjavati posebne zahtjeve navedene u Uredbi DiGA te ih mora odobriti Njemački savezni institut za lijekove i medicinske uređaje (Bundesinstitut für Arzneimittel und Medizinprodukte, BfArM).
Uredba DiGA nameće posebne zahtjeve za zaštitu podataka i sigurnost podataka za zdravstvene aplikacije (uz zahtjeve za sigurnost, funkcionalnost, kvalitetu i interoperabilnost). Dokument DSK-a ne govori o posebnim obvezama koje nameće Uredba DiGA. Dokument DSK-a također se odnosi na aplikacije za digitalno zdravlje koje ne podliježu naknadi prema Uredbi DiGA.
Ukratko, važno je spomenuti sljedeće teme:
Uloge u smislu primjene GDPR-a ovise o činjenicama. Određivanje kontrole i odgovornosti nad podacima je vrlo složeno. Uloga proizvođača zdravstvene aplikacije kao voditelja obrade GDPR-a, izvršitelja obrade ili niti jednog od njih je specifična i ovisi o tome obrađuju li proizvođači osobne podatke i donose li odluke o svrsi i načinu obrade podataka. Dokument sa konferencije ukratko potvrđuje da drugi subjekti mogu obrađivati osobne podatke u vezi sa zdravstvenom aplikacijom (npr . liječnici i pružatelji usluga u oblaku), koji mogu biti (odvojeni ili zajednički) voditelji obrade ili izvršitelji. Uloga podliježe procjeni od slučaja do slučaja. U tom kontekstu, DSK se dalje poziva na Europski odbor za zaštitu podataka “Smjernice 07/2020 o konceptima voditelja obrade i izvršitelja obrade u GDPR-u”.
Funkcionalnost oblaka trebala bi biti izborna. GDPR zahtijeva od proizvođača zdravstvenih aplikacija da konfiguriraju svoju zdravstvenu aplikaciju ukoliko je to moguće na takav način da se ona može koristiti bez kreiranja računa i bez automatskog aktiviranja funkcije oblaka, osim ako je ˝funkcija oblaka˝ apsolutno neophodna za postizanje svrhe, odnosno za korištenje aplikacije. Ako korisnik odluči ne aktivirati ˝funkciju oblaka˝, podatke treba pohraniti lokalno na uređaju. Dokument sa konferencije također navodi da ispitanici trebaju biti obaviješteni o potencijalnim prednostima i rizicima povezanim s upotrebom zdravstvene aplikacije.
Privola je preferirana pravna osnova GDPR-a za obradu podataka u svrhu istraživanja. Korištenje zdravstvenih podataka iz aplikacije u istraživačke svrhe i odgovarajuća pravna osnova uvijek je vruća tema.
I ovaj puta kao i inače u drugim dokumentima nadzornih tijela kao pravna osnova na koju se oslanja za obradu posebnih kategorija osobnih podataka u svrhu istraživanja zdravlja spominje se privola. U tom kontekstu, u radu se govori i o korištenju anonimiziranih podataka. Anonimizirani podaci ne podliježu GDPR-u. Što se tiče toga mogu li se podaci klasificirati kao anonimizirani podaci ili ne, dokument sa konferencije se poziva na uvodnu izjavu br. 26 GDPR-a. Ako su osobni podaci anonimizirani, tada bi postupak anonimizacije trebao biti utvrđen i u procjeni učinka zaštite podataka („DPIA”).
Uredba o medicinskim proizvodima pruža pravni temelj za obradu u svrhu osiguranja kvalitete i upravljanja rizikom. U dokumentu sa konferencije se navodi da se proizvođači mogu osloniti na svoju zakonsku obvezu obrade osobnih podataka u svrhu osiguranja kvalitete i upravljanja rizikom u odnosu na zdravlje pacijenta kao ispitanika kako to zahtijeva Uredba o medicinskim proizvodima. Međutim, proizvođači moraju obraditi samo onoliko podataka koliko im je potrebno za postizanje svrhe i trebali bi provoditi mjere za zaštitu interesa privatnosti korisnika (npr . brisanje podataka nakon što podaci više nisu potrebni).
GDPR zahtijeva posebnu pravnu osnovu za obradu osobnih podataka za mjerenje publike i praćenje programskih pogrešaka. U dokumentu se navodi da ova obrada općenito nije izravno kompatibilna (u smislu članka 6. stavka 4. GDPR-a) s obradom podataka potrebnom za pružanje usluga vezanih uz samu zdravstvenu aplikaciju. Navedeno sugerira da obrada osobnih podataka za mjerenje publike i praćenje softverskih pogrešaka aplikacije zahtijevaju odvojenu pravnu osnovu od one na koju se oslanjaju proizvođači za pružanje zdravstvene aplikacije.
Ostale obveze GDPR-a i dalje se primjenjuju. Iako ne daje posebne smjernice, dokument sa konferencije također pruža pravovremeni podsjetnik da se cijeli niz obveza GDPR-a odnosi i na zdravstvene aplikacije. To uključuje, ali se ne ograničava na sljedeće obveze: (i) odgovora na zahtjeve ispitanika na učinkovit i brz način uz osiguranje sigurnosti osobnih podataka ispitanika (npr. siguran mehanizam provjere autentičnosti za podnositelje zahtjeva), (ii) osiguranje odgovarajuće razine zaštite i održavanje učinkovite zaštite i provedbe tehničkih i organizacijskih mjera (uključujući pripremu procjena utjecaja na zaštitu podataka ("DPIAs"), (iii) provedbu odgovarajućih zaštitnih mjera za međunarodne prijenose podataka (u skladu s preporukama EDPB-a).
