Externes Hosting von Gesundheitsdaten in Frankreich: Anbieterzertifizierung statt Einzelzulassung
Seit dem 1. April 2018 darf das externe Hosting von Gesundheitsdaten nur noch von zertifizierten Anbietern durchgeführt werden. Die Anbieterzertifizierung ersetzt das bisherige Zulassungsverfahren und führt so zu einer Vereinfachung für die Hosting-Anbieter. Für die Anbieter, die bereits über eine Zulassung verfügen, gelten aber Übergangsregelungen.
Das externe Hosting von Gesundheitsdaten ist in Frankreich Gegenstand bereits seit 2004 einer besonderen gesetzlichen Regulierung. Der zwischenzeitlich mehrfach überarbeitete Artikel L.1111-8 des Gesundheitsgesetzbuches sah bislang vor, dass Gesundheitsdaten nur von Anbietern gehostet werden dürfen, die für diese Dienstleistung über eine spezielle Zulassung des Gesundheitsministers verfügen.
Das Zulassungsverfahren wurde bisher von der französischen Agentur für das digitale Gesundheitswesen (ASIP Santé) organisiert. Die Zulassungen bezogen sich allerdings nicht auf den jeweiligen Anbieter, sondern immer nur auf eine bestimmte Dienstleistung. Ein Anbieter, der für einen Hostingdienst über eine Zulassung verfügte, konnte daher keine andere Hosting-Dienstleistung anbieten, ohne auch für diese neue Dienstleistung eine Zulassung zu beantragen.
Im Januar 2016 beschloss der französische Gesetzgeber, die bestehende Regelung zu vereinfachen. Er erteilte der Regierung die Ermächtigung, durch Rechtsverordnung eine Anbieter-Zertifizierung durch akkreditierte Zertifizierungsstellen einzuführen. Mit der Verordnung Nr. 2017-27 vom 13. Januar 2017 hatte die Regierung bereits die Modalitäten der Zertifizierung geregelt. Für das Inkrafttreten der Reform fehlte aber noch eine Rechtsverordnung, die den Anwendungsbereich der Zertifizierung, die Verfahren zur Durchführung des Zertifizierungsverfahrens sowie die Übergangsfristen festlegte. Diese Verordnung wurde schließlich am 26. Februar erlassen (Dekret Nr. 2018- 137).
Der Anwendungsbereich der Zertifizierungspflicht
Nach der neuen Regelung kann das externe Hosting von Gesundheitsdaten nur von Anbietern angeboten werden, die über eine spezielle Zertifizierung einer dafür akkreditierten Organisation verfügen.
Unter den Begriff der Gesundheitsdaten fallen nach französischem Recht alle persönlichen Gesundheitsdaten, die bei der Prävention, Diagnose, Pflege oder bei sozialer und bei medizinisch-sozialer Betreuung erhoben werden.
Unter Hosting ist die mehr als nur kurzzeitige Speicherung von Gesundheitsdaten zu verstehen. Konkret erfordern nach der französischen Regelung die folgenden Tätigkeiten eine Zertifizierung:
- Bereitstellung von:
(i) Räumlichkeiten zur Aufnahme der physischen Infrastruktur einer Informationssystems zur Verarbeitung von Gesundheitsdaten;
(ii) Einer physischen Infrastruktur von Informationssystemen zur Verarbeitung von Gesundheitsdaten;
(iii) Einer virtuellen Infrastruktur von Informationssystemen zur Verarbeitung von Gesundheitsdaten;
(iv) Einer Plattform zum Hosting von Anwendungen einer Informationssystems zur Verarbeitung von Gesundheitsdaten;
- Verwaltung und Betrieb eines Informationssystems mit Gesundheitsdaten;
- Speicherung/Sicherung von Gesundheitsdaten.
Obwohl eines der Ziele der Reform war, den Umfang der Zertifizierungspflicht zu klären, bestehen diesbezüglich immer noch offene Fragen. Fraglich ist z.B. ob Versicherer, die die im Rahmen ihrer Tätigkeit gesammelten Daten extern hosten lassen, unter die Zertifizierungspflicht fallen.
Das Zertifizierungsverfahren
Das Zertifikat wird dem Hosting-Dienstleister auf der Grundlage einer Zertifizierungsnorm ausgestellt, die auf den Normen ISO 27001 „Sicherheitsmanagementsystem für Informationssysteme“, ISO 20000 „Qualitätsmanagementsystem für Dienstleistungen“, ISO 27018 „Schutz personenbezogener Daten“ und spezifischen Anforderungen für das Hosting von Gesundheitsdaten basiert.
Die Akkreditierungs- und Zertifizierungsstandards können unter auf der Webseite der ASIP Santé abgerufen werden.
Die Zertifizierungsstelle führt ein Audit in zwei Phasen durch: ein Audit der vorzugelgenden Dokumente und ein Audit des Betriebes des Hosting-Dienstleisters. Im Ergebnis bescheinigt die Zertifizierung die Einhaltung der Anforderungen an Sicherheit und Vertraulichkeit der Gesundheitsdaten durch den des Hosting-Dienstleisters.
Nähere Informationen zum Ablauf der Zertifizierung hält die ASIP Santé auf ihrer Webseite bereit.
Inkrafttreten der Neuregelung und Übergangsregelung
Das Zertifizierungssystem ist am 1. April 2018 in Kraft getreten.
Es gelten folgende Übergangsreglungen: Zulassungen, die vor dem 31. März 2018 nach altem Recht erteilt oder beantragt worden sind, bleiben bis zu ihrem Ablauf (i.d.R. drei Jahre) wirksam. Zudem werden alle Zulassungen, die nach altem Recht erteilt worden sind und bis zum 31. März 2019 auslaufen, automatisch um sechs Monate verlängert. Die Hosting-Anbieter haben somit genug Zeit, sich auf das neue System umzustellen.
09.04.2018