Datenschutz ist ein Thema, mit dem sich jedes Unternehmen auseinandersetzten muss. Für MedTech Unternehmen gibt es hier aber noch eine weitere Dimension zu beachten: Patientendaten unterliegen als Gesundheitsdaten einem besonderen Schutz. Laut Datenschutz-Grundverordnung (DSGVO) dürfen diese grundsätzlich nur mit Einwilligung des Patienten und für festgelegte Zwecke gespeichert werden. Gerade für Marketingmaßnahmen im Gesundheitswesen stellen Gesundheitsdaten daher eine besondere Herausforderung dar.
Wie geht man mit Gesundheitsdaten um?
Europaweit sorgt die DSGVO für ein einheitliches Datenschutzniveau. Ärzte und Krankenhäuser sind in Deutschland an die Telematikinfrastruktur (TI) angebunden. Diese soll ermöglichen, dass die Daten sicher und zuverlässig ausgetauscht werden. Die von der DSGVO vorgeschriebene Datenschutz-Folgenabschätzung übernimmt hier der Bund, so dass bei technischen Fehlern nicht der Hausarzt haftet. Unternehmen außerhalb der TI müssen eine Datenschutz-Folgenabschätzung durchführen, wenn neue Technologien eingesetzt werden. Bekannte Beispiele aus der jüngeren Vergangenheit sind Datenspeicherungen in Clouds sowie die Corona-Warn-App. Eine sichere IT-Infrastruktur und der Schutz der Daten müssen gewährleistet sein. Die betroffene Person muss der Erhebung ihrer Daten ausdrücklich zustimmen und über die Nutzung lückenlos und verständlich aufgeklärt werden.
Compliance und fehlende Standards als Hürde für MedTech
Die Digitalisierung ist der Motor für Innovationen in der MedTech Branche, nicht zuletzt durch die Erfahrungen in der Corona-Pandemie. Auch in der Bevölkerung wächst die Akzeptanz und damit die Nachfrage nach digitalen Gesundheitsanwendungen (DIGA). Doch die Entwicklung neuer Technologien führt auch zu immer komplexeren rechtlichen Bestimmungen. Da die Gesetzgebung häufig dem Fortschritt hinterherhinkt, müssen Unternehmen sich immer wieder auf neue Anforderungen im Datenschutz einstellen. Zudem liegt Deutschland im europäischen Vergleich zurück, was den Ausbau des digitalen Gesundheitswesens betrifft.
In den Ergebnissen der BVMed Herbstumfrage 2021 werden beim Thema Datenschutz Einschränkungen durch Compliance Regelungen (15%) sowie unklare Regelungen zum Marktzugang von DIGAs (14%) als Hemmnisse für die Entwicklung der MedTech Branche in Deutschland genannt. Ebenso beklagen 17% der Befragten den fehlenden Zugang zu Forschungsdaten (13%) als Hürde. Dies bedeutet aber auch, dass es höchste Zeit ist, die eigene Datenschutzkompetenz auszubauen.
Beispiel USA: Patientendatenschutz durch HIPAA
Zum Thema Umgang mit Gesundheitsdaten lohnt sich ein Blick über den Atlantik. Mit dem HIPAA (Healthcare Insurance Portability and Accountability Act) gibt es in den USA strenge Regelungen für den Umgang mit privaten, personenbezogenen Gesundheitsdaten (Protected Health Information, kurz PHI). Unternehmen, die Gesundheitsdaten von US-Bürgern speichern, müssen mit der Überprüfung ihrer administrativen, technischen und physischen Sicherheitsmaßnahmen rechnen. Dazu gehören unter anderem Krisenpläne für Katastrophenfälle, regelmäßige Mitarbeiterschulungen, Verschlüsselungs- und Entschlüsselungs-Tools. Dies umfasst ebenfalls Systeme zur Erkennung von verdächtigen Aktivitäten, Hardware-Inventarlisten und Zutrittskarten für Räume, in denen Terminals den Zugriff auf PHI erlauben.
Je nach Nutzung der Daten muss neben der sicheren, verschlüsselten Übertragung auch die Pseudonymisierung bzw. Anonymisierung der Daten gewährleistet sein. Wer welche Daten abrufen kann und darf, muss innerhalb der Organisationsstruktur nachvollziehbar festgelegt sein. Unternehmen müssen Verstöße innerhalb von 60 Tagen selbstständig melden und dafür sorgen, dass Fehler bei den Sicherheitsmaßnahmen ausgeräumt werden. Es drohen Geldstrafen und ein Eintrag bei der „HIPAA Wall of Shame“, einem Register, das Verstöße öffentlich zugänglich dokumentiert.
Gesundheitsmarketing mit der CRM-Plattform von HubSpot
Ob in den USA oder in Europa: Die Daten, die ein Unternehmen sammelt, dienen in erster Linie dazu, Leads zu generieren, neue Kunden zu gewinnen und bestehende Kunden zu versorgen Diese Ziele beeinflussen die Auswahl der eingesetzten Systeme und bestimmen, welche gesetzlichen Bestimmungen eingehalten werden müssen.
HubSpot und der Umgang mit Gesundheitsdaten
Mit den neuen HubSpot-Features zur HIPAA-konformen Verarbeitung von Gesundheitsdaten können Gesundheitsdienstleister nun alle notwendigen Daten sicher und gesetzeskonform innerhalb der HubSpot-Plattform verwalten. Diese Erweiterungen ermöglichen es, patientenbezogene Gesundheitsdaten direkt in HubSpot zu speichern und zu verarbeiten, ohne auf externe Drittsysteme angewiesen zu sein.
Datenschutzkonformes Online-Marketing für Medizintechnikunternehmen
Der Marketing- und der Sales-Hub von HubSpot ermöglichen es, Leads gezielt anzusprechen und zu qualifizieren. Mit der neuen HIPAA-Konformität von HubSpot können nun auch Gesundheitsdaten sicher innerhalb der Plattform gespeichert werden. Es ist nun möglich, Dateneigenschaften als sensibel zu markieren und anzugeben, dass sie als geschützte Gesundheitsdaten (PHI) gespeichert werden.
Verschiedene Einsatzszenarien von Hubspot im Gesundheitswesen
Damit ist es nun auch möglich, maßgeschneiderte Anwendungen für unterschiedliche Gesundheitseinrichtungen in HubSpot zu erstellen. Hier 2 Beispiele:
Gesundheitsdienstleister:
Anbieter im Gesundheitswesen, wie z. B. Arztpraxen, sind auf die sichere Verwaltung von Patientendaten, Terminplanung und Kommunikation angewiesen. Ein HIPAA-konformes HubSpot CRM stellt sicher, dass alle Patienteninteraktionen und -daten gemäß den gesetzlichen Bestimmungen geschützt sind und verhindert so den unbefugten Zugriff auf vertrauliche Informationen.
Telemedizinische Dienste:
Telemedizinische Dienste sind ein weiterer Business Case. Zur Verwaltung von Patienteninformationen, Terminplanung und Nachsorge benötigt ein Telemedizin-Anbieter ein CRM. In diesem Fall schützt ein HIPAA-konformes CRM die Patientendaten.
Daten sind das "neue Gold" im digitalen Zeitalter
Dass Daten Gold wert sind, ist inzwischen allgemein bekannt. Doch wie in der Medizin so manches Heilmittel bei Überdosierung zum Gift werden kann, sind auch zu viele Daten nicht gesund.
Bevor sensible Daten gespeichert werden und rechtliche Konsequenzen wie z.B. Bußgelder drohen, lohnt sich eine Kosten-Nutzen-Analyse. Ob das Mittel der Wahl getrennte Systeme sind oder ob bestimmte Daten erst gar nicht erhoben werden, sollte gründlich geprüft werden.
Als Experten für Healthcare Marketing informieren wir Sie gern zum Thema Gesundheitsdaten und Datenschutz für Ihr Marketing im Gesundheitswesen:
Bitte beachten Sie, dass dieser Artikel lediglich eine Übersicht zum Thema Patientendatenschutz liefern kann. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.
Quellen:
https://www.arzt-wirtschaft.de/digital-health/entwarnung-praxen-nicht-fuer-konnektoren-fehler-verantwortlich/https://www.isi.fraunhofer.de/de/presse/2022/presseinfo-06-efi-Digitalisierung-Gesundheitssystem.html
https://www.bvmed.de/de/bvmed/presse/medienseminare/medienseminar2021/ergebnisse-der-bvmed-herbstumfrage-2021
https://www.hhs.gov/hipaa/index.html
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6235-1-1