Welche Mechanismen setzt Ventio ein um die Sicherheit seiner Cloud und biomedizinischen Bilddatenverarbeitungsdienste sicherzustellen?
Bei Ventio legen wir größten Wert auf die Qualität unserer Dienstleistungen und auf die Zufriedenheit unserer Kunden und Partner. Aufgrund der Besonderheit unserer Aktivitäten möchten wir ein komplexes Netz von Normen einhalten, die wir identifiziert haben, um die Nachhaltigkeit und Entwicklung des Unternehmens zu sicherzustellen. Unser Ansatz zur Anwendung eines normativen Rahmens ist freiwillig und zeigt unser Engagement für einen Prozess der kontinuierlichen Verbesserung, der auf klare Ziele ausgerichtet ist.
Was ist der rechtliche Rahmen für die Tätigkeiten von Ventio?
Als Dienstleister,der die Verarbeitung von Bilddaten organisiert, die zu den Gesundheits- und sensible Daten gehören, ist es unsere erste Pflicht, die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Diese Verordnung, die am 25. Mai 2018 in Kraft getreten ist und auf das französischen Datenschutzgesetz von 1978 folgt, regelt einheitlich die Verarbeitung von Daten in der gesamten EU, indem sie die Bedingungen festlegt, unter denen solche Daten von Organisationen rechtmäßig erhoben, gespeichert und verwendet werden dürfen.
| Die 8 goldenen Regeln der DSGVO | |
| – Rechtmäßigkeit – Fair und zweckspezifisch – Datenminimierung – Besonderer Schutz von sensiblen Daten | – Speicherbegrenzung – Datensicherheit – Transparenz – Gewährleistung der Betroffenenrechte |
Darin werden personenbezogene Daten als alle Informationen über eine Person definiert, die direkt oder indirekt identifiziert ist oder identifizierbar ist. Sensible Daten, zu denen auch Gesundheitsdaten gehören, bilden eine besondere Kategorie und unterliegen daher einem verstärkten Schutz.
Wenn Gesundheitsdaten anonymisiert werden (ein irreversibler Vorgang, der darin besteht, eine Reihe von Techniken so einzusetzen, dass eine Wiederidentifizierung der Person praktisch unmöglich wird), fallen sie nicht in den Anwendungsbereich der DSGVO. Dies ist bei Bildern aus der biomedizinischen Bildgebung, insbesondere der Bildgebung des Gehirns, nicht leicht zu erreichen. Da sie das Gehirn mit all seinen Besonderheiten abbilden, können sie nicht dauerhaft anonymisiert werden und müssen daher dem gesamten von der DSGVO geforderten Schutz unterliegen.
Eine weitere Regel ist die Datenminimierung, d. h. die Sicherstellung, dass nur die Daten erhoben werden, die für die Verarbeitung unbedingt erforderlich sind. In der Forschung ist zum Beispiel das genaue Geburtsdatum oft überflüssig, ebenso wie der Name der Person, an dessen Stelle ein Pseudonym ausreicht, was uns dazu veranlasst, Lösungen zu entwickeln, die den Grundsatz “privacy by design” (Minimale Speicherung personenbezogener Daten) integrieren.
Während der gesamten Datenverarbeitungsprozesse von Gesundheitsdaten muss Ventio den europäischen Rechtsrahmen strikt einhalten und geht sicher immer auf dem aktuellen Stand über Änderungen und Auslegungen bezüglich seiner Tätigkeiten zu sein, insbesondere für die Sekundärnutzung von Gesundheitsdaten.
Trotz der Komplexität dieser Reglungen möchten wir weiter gehen und uns zu einem freiwilligen Qualitäts- und Sicherheitsmanagement verpflichten.
Gewährleistung von Qualität und Sicherheit durch Standards
Einer unserer wichtigsten Werte ist es, die richtigen Maßnahmen zu ergreifen, um robuste und reproduzierbare digitale biomedizinische Bildverarbeitungsdienste anzubieten. Wir haben große Anstrengungen unternommen, um unsere Mitarbeiter zu schulen und einen standardbasierten Ansatz zu integrieren.
Um die europäischen Anforderungen zu erfüllen, stellen wir sicher, dass unsere Anwendungen bereits in der Entwicklung mit den Richtlinien übereinstimmen. Die Bewertungsverfahren zu Genehmigungen von Marktzulassungen sind unterschiedlich, je nach Zweck der Anwendung, dennoch gilt in allen Fällen die Rechenschaftspflicht, das besagt “ich muss zweifelsfrei beweisen können, was ich behaupte”. Dies entspricht unserem Ansatz zur Einrichtung eines Qualitätsmanagementsystems nach ISO 9001, den man mit den Worten “Schreibe, was du tust, und tue, was du schreibst” zusammenfassen könnte. Dank eines prozessorientierten Managements ist die Durchführung unserer Aktivitäten auf die Zufriedenheit des Kunden ausgerichtet. Durch das Festlegen konkreter Ziele, um diese Erwartungen zu erfüllen, verbessern wir die Sicherheit und Qualität unserer Dienstleistungen.
Um die Sicherheit unserer digitalen Dienste im Zusammenhang mit der DSGVO zu verbessern und Risiken so weit wie möglich zu vermeiden, haben wir uns verpflichtet, die ISO 27001 – Informationssicherheitsmanagementsysteme sowie deren Erweiterung ISO 27701 zum Schutz der Privatsphäre zu integrieren. Die letztgenannte Norm verpflichtet uns zu einem Prozess der Sicherheitsverbesserung. Dieser Rahmen ist ideal, weil er die Richtlinien für die Einhaltung der DSVGO festlegt, indem er darauf abzielt, die Verfügbarkeit von Informationen und Diensten zu gewährleisten, die Integrität kritischer Daten zu sichern und die Vertraulichkeit sensibler Daten oder Kundendaten zu garantieren. Für unsere Cloud-Dienste, für die es unerlässlich ist, ein Höchstmaß an Sicherheit zu bieten, sind die Leitfäden und Richtlinien der ANSSI eine hervorragende Unterstützung zum Übernehmen der richtigen Reflexe und Praktiken für die Entwicklung und Verwaltung unseres Informationssystems; wir integrieren diese Leitfäden in unsere Sicherheitspolitik
Obwohl Ventio zu diesem Zeitpunkt noch keine medizinischen Dienstleistungen auf dem Markt anbietet und der damit verbundene regulatorische Rahmen (Verordnung (EU) 2017/745 über Medizinprodukte) derzeit nicht zwingend erforderlich ist, haben wir uns bereits frühzeitig der Norm ISO 13485 verpflichtet, die die Erfordernisse für ein umfassendes Qualitätsmanagementsystem für die Bereitstellung von medizinischen Produkten und Dienstleistungen repräsentiert. Auf diese Weise verfolgen wir das Ziel, unsere Lösungen sowohl mit den Anforderungen unserer Kunden als auch mit den geltenden Vorschriften für Medizinprodukte in Einklang zu bringen und so die Kontrolle und Sicherheit unserer Software zu gewährleisten.
Was den Aspekt der Bildverarbeitungssoftware betrifft, so wird die Norm IEC 62304 – Software für medizinische Geräte, Software-Lebenszyklus-Prozesse, die sich mit der Entwicklung von Software für medizinische Geräte und deren Lebenszyklus befasst, als Leitfaden dienen. Sie führt Software-Sicherheitsklassen ein, mit dem Ziel, die Kontrolle des Software-Lebenszyklus auf das Risiko für den Patienten im Falle eines Fehlers oder einer Anomalie abzustimmen. Auf diese Weise verbessern wir die Reproduzierbarkeit und die Zuverlässigkeit unserer Dienstleistungen. Sensible Daten, die unsere Software durchlaufen, werden auf sichere, angemessene und dokumentierte Weise verarbeitet, und wir bekräftigen damit unsere Absicht, unsere Dienstleistungen im Hinblick auf einen medizinischen Zweck anzubieten.
Welche Qualität haben unsere Geräte und Dienste morgen?
Diese Schritte wurden mit dem Ziel unternommen, längerfristig die Anerkennung unserer Software als Medizinprodukte zu erreichen, deren Vermarktung vom Erhalt der CE-Kennzeichnung abhängt. Die CE-Kennzeichnung steht für die Konformität des Medizinprodukts mit den Gesundheits- und Sicherheitsanforderungen der europäischen Gesetzgebung, insbesondere der Richtlinie 93/42/EWG über Medizinprodukte und der EU-Verordnung 2017/745 über Medizinprodukte.
Auf diese Weise hätten wir die Möglichkeit, nicht nur zu Forschungszwecken, sondern auch in den nachfolgenden Phasen einzugreifen: Diagnose, therapeutische Weiterbehandlung und Nachsorge des Patienten.
Schließlich überwachen wir ständig die Vorschriften, was angesichts der zu erwartenden Änderungen von entscheidender Bedeutung ist, während die verschiedenen Behörden im Gesundheitssektor noch an der normativen Grundlage von morgen arbeiten. Beispielsweise arbeitet die französische Gesundheitsbehörde an einem Bewertungsraster, einem Leitfaden, der Ärzten bei der Auswahl ihrer Software helfen soll. Denn auch wenn das CE-Zeichen die Vermarktung von Medizinprodukten erlaubt, lässt sich die klinische Relevanz von Software mit künstlicher Intelligenz noch nicht messen
Fazit
Das ständige überprüfen und überarbeiten unsrer Dienstleistungen zum Sicherstellen unserer Qualität ermöglicht es uns, unsere Strategie an den Erwartungen der Kunden auszurichten, stärkt das Vertrauensverhältnis zu unseren Partnern und verleiht unserer Struktur Glaubwürdigkeit angesichts des zunehmenden Wettbewerbs. Qualitätsarbeit bedeutet, dass wir unsere Arbeitsabläufe und unser Know-how durch die regelmäßige Überprüfung unseres Systems ständig verbessern.
Was die Verarbeitung personenbezogener Daten betrifft, so bleiben wir angesichts der ständigen technologischen Entwicklung wachsam gegenüber der wachsenden Zahl an Regularien.
Am 27. März 2023 ratifizierte Frankreich das Protokoll zur Änderung der Convention 108 (Convention 108+), die das Übereinkommen unter Berücksichtigung der neuen Herausforderungen im Bereich des Schutzes personenbezogener Daten modernisiert. Wenn genügend Unterschriften zusammenkommen, dürfte dieses Übereinkommen Ende 2023 in Kraft treten.
As far as the processing of personal data is concerned, we remain vigilant in the face of the multiplication of standards, given the permanent technological evolution. On March 27, 2023, France ratified the Protocol amending Convention 108 (Convention 108+), which modernizes the Convention by taking into account the new challenges in the area of personal data protection. If enough signatures are obtained, this Convention should enter into force at the end of 2023.
