[Digital public health: data protection and data security].
Datenschutz und Datensicherheit in Digital Public Health.
GDPR
Health apps
Health data
Legal requirements
Technical requirements
Journal
Bundesgesundheitsblatt, Gesundheitsforschung, Gesundheitsschutz
ISSN: 1437-1588
Titre abrégé: Bundesgesundheitsblatt Gesundheitsforschung Gesundheitsschutz
Pays: Germany
ID NLM: 101181368
Informations de publication
Date de publication:
Feb 2020
Feb 2020
Historique:
pubmed:
10
1
2020
medline:
11
2
2020
entrez:
10
1
2020
Statut:
ppublish
Résumé
Digital public health applications are becoming increasingly popular; for example, about 45% of smartphone users have health or fitness apps on their devices. Most of these applications transfer the user's personal data to the provider of the health app. Application providers must comply with the relevant data protection statutes.In this article we provide a survey of important data protection requirements and the necessary technical measures for data security that the provider of a health app must observe. This includes - amongst other things - mechanisms for consent, determination of and compliance with the legitimate purposes of the processing, and the granting of so-called "rights of the data subject" (e.g. right of access). Furthermore, the provider of the health application must follow best practice recommendations from the area of data security. Therefore, the provider must ensure that, for example, unauthorized access, manipulation, loss, and destruction of personal data are prevented by appropriate technical and organizational measures. State-of-the-art procedures such as encryption, rights management, securing integrity, pseudonymization, and logging are some examples of technical and organizational measures. When implementing these measures, it must be taken into account that the processing of health data generally entails high risk for the rights and freedoms of the data subjects and that unauthorized access to and/or manipulation of data, for example, can lead to the publication of a stigmatizing diagnosis or incorrect medication. Anwendungen aus dem Bereich der Digital Public Health erfreuen sich zunehmender Beliebtheit, so nutzen beispielsweise etwa 45 % der Smartphonenutzer auf ihrem Gerät entsprechende Gesundheits- oder Fitness-Apps. Die meisten dieser Anwendungen übertragen personenbezogene Daten des Nutzers an den Anbieter der Gesundheits-App. Dieser hat die geltenden Anforderungen des Datenschutzrechts zu berücksichtigen.Der vorliegende Beitrag gibt einen Überblick über wichtige Anforderungen des Datenschutzes und erforderliche technische Maßnahmen zur Datensicherheit, die der Anbieter einer Gesundheits-App beachten muss. Dazu gehören u. a. Mechanismen der Einwilligung, die Festlegung und Einhaltung der legitimen Zwecke der Verarbeitung sowie die Einräumung von „Betroffenenrechten“ (z. B. Auskunftsrecht). Des Weiteren hat der Anbieter Best-Practice-Empfehlungen aus dem Bereich der Datensicherheit zu berücksichtigen. Durch geeignete technische und organisatorische Maßnahmen hat er u. a. sicherzustellen, dass ein unberechtigter Zugriff auf personenbezogene Daten, deren Manipulation, Verlust oder Zerstörung verhindert werden. Dazu sollten u. a. dem Stand der Technik entsprechende Maßnahmen zur Verschlüsselung, Berechtigungsverwaltung, Integritätssicherung, Protokollierungen und Pseudonymisierung in Betracht gezogen werden. Bei der Umsetzung dieser Maßnahmen gilt es zu berücksichtigen, dass mit der Verarbeitung von Gesundheitsdaten i. d. R. eine starke Gefährdung der Rechte und Freiheiten der betroffenen Personen einhergeht und z. B. der unberechtigte Zugriff auf persönliche Daten und/oder deren Manipulation zum Veröffentlichen von Krankheitsbildern oder zur falschen Einnahme von Medikation führen können.
Autres résumés
Type: Publisher
(ger)
Anwendungen aus dem Bereich der Digital Public Health erfreuen sich zunehmender Beliebtheit, so nutzen beispielsweise etwa 45 % der Smartphonenutzer auf ihrem Gerät entsprechende Gesundheits- oder Fitness-Apps. Die meisten dieser Anwendungen übertragen personenbezogene Daten des Nutzers an den Anbieter der Gesundheits-App. Dieser hat die geltenden Anforderungen des Datenschutzrechts zu berücksichtigen.Der vorliegende Beitrag gibt einen Überblick über wichtige Anforderungen des Datenschutzes und erforderliche technische Maßnahmen zur Datensicherheit, die der Anbieter einer Gesundheits-App beachten muss. Dazu gehören u. a. Mechanismen der Einwilligung, die Festlegung und Einhaltung der legitimen Zwecke der Verarbeitung sowie die Einräumung von „Betroffenenrechten“ (z. B. Auskunftsrecht). Des Weiteren hat der Anbieter Best-Practice-Empfehlungen aus dem Bereich der Datensicherheit zu berücksichtigen. Durch geeignete technische und organisatorische Maßnahmen hat er u. a. sicherzustellen, dass ein unberechtigter Zugriff auf personenbezogene Daten, deren Manipulation, Verlust oder Zerstörung verhindert werden. Dazu sollten u. a. dem Stand der Technik entsprechende Maßnahmen zur Verschlüsselung, Berechtigungsverwaltung, Integritätssicherung, Protokollierungen und Pseudonymisierung in Betracht gezogen werden. Bei der Umsetzung dieser Maßnahmen gilt es zu berücksichtigen, dass mit der Verarbeitung von Gesundheitsdaten i. d. R. eine starke Gefährdung der Rechte und Freiheiten der betroffenen Personen einhergeht und z. B. der unberechtigte Zugriff auf persönliche Daten und/oder deren Manipulation zum Veröffentlichen von Krankheitsbildern oder zur falschen Einnahme von Medikation führen können.
Identifiants
pubmed: 31915865
doi: 10.1007/s00103-019-03083-w
pii: 10.1007/s00103-019-03083-w
doi:
Types de publication
Journal Article
Review
Langues
ger
Sous-ensembles de citation
IM
Pagination
206-214Références
Haas M (2018) Smartphone-Markt: Konjunktur und Trends, Bitkom. https://www.bitkom.org/sites/default/files/file/import/Bitkom-Pressekonferenz-Smartphone-Markt-22-02-2018-Praesentation-final.pdf . Zugegriffen: 31. Juli 2019
Rohleder B, Jedamzik S (2017) Gesundheit 4.0, Bitkom, Bayerische TelemedAllianz. https://www.bitkom.org/sites/default/files/file/import/Verbraucherstudie-Telemedizin-2017-170327.pdf . Zugegriffen: 31. Juli 2019
Dadaczynski K, Tolks D (2018) Digitale Public Health: Chancen und Herausforderungen internetbasierter Technologien und Anwendungen. Public Health Forum 26(3):275–278
doi: 10.1515/pubhef-2018-0059
European Union Agency For Network and Information Security (enisa) (Hrsg) (2017) Privacy and data protection in mobile applications—A study on the app development ecosystem and the technical implementation of GDPR
Gadaleta M, Rossi M (2018) IDNet: Smartphone-based gait recognition with convolutional neural networks. Pattern Recognit 74:25–37
doi: 10.1016/j.patcog.2017.09.005
Olejnik L, Acar G, Castelluccia C, Diaz C (2015) The leaking battery—A privacy analysis of the HTML5 Battery Status API. IACR Cryptology ePrint Archive, Bd. 2015, S 616
Jandt S, Steidle R (2018) Datenschutz im Internet. Nomos, Baden-Baden, S 126–149 (369–389, 390–406)
Kühling J, Buchner B (2018) DS-GVO und BDSG Kommentar. C. H. Beck, München, S 297–302
Tinnefeld T, Buchner B, Petri T, Hof H (2018) Einführung in das Datenschutzrecht. De Gruyter, Berlin, S 398–422
Kühling J, Seidel C, Sivridis A (2008) Datenschutzrecht. Verlag Recht und Wirtschaft, Frankfurt am Main, S 203–205
Kroschwald S (2016) Informationelle Selbstbestimmung in der Cloud. Springer Vieweg, Wiesbaden, S 127–138
doi: 10.1007/978-3-658-11448-0
Paal B, Pauly D (2017) Datenschutz-Grundverordnung. C. H. Beck, München, S 278–290 (390–409)
Danezis G, Domingo-Ferrer J, Hansen M et al (2014) Privacy and Data Protection by Design—from policy to engineering, enisa
BSI (2019) Technische Richtlinie TR-02102‑1 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Version: 2019–01
American National Standard Institute (ANSI) for Information Technology (2004) Role based access control. Technical Report ANSI INCITS 3592004
Russinovich M (2017) Introducing Azure confidential computing, Microsoft Azure Blog vom 14.09.2017. https://azure.microsoft.com/en-us/blog/introducing-azure-confidential-computing/ . Zugegriffen: 31. Juli 2019
Pfitzmann A, Hansen M (2008) Anonymity, unlinkability, undetectability, unobservability, pseudonymity, and identity management—a consolidated proposal for terminology. http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf . Zugegriffen: 31. Juli 2019
Fung B, Wang K, Chen R, Yu P (2010) Privacy-preserving data publishing: a survey on recent developments. CSUR 42(4):1–53
doi: 10.1145/1749603.1749605
Sowmyarani CN, Srinivasan GN (2012) Survey on recent developments in privacy preserving models. IJCA 38(9):18–22
doi: 10.5120/4636-6884
Baeriswyl B (2013) „Big Data“ ohne Datenschutz-Leitplanken. Z Datenr Informationssicherh 14(1):14–17
Sweeney L (1997) Weaving technology and policy together to maintain confidentiality. J Law Med Ethics 25(2,3):98–110
doi: 10.1111/j.1748-720X.1997.tb01885.x
Sweeney L (2000) Simple demographics often identify people uniquely. Technischer Bericht. Carnegie Mellon University, Pittsburgh
Golle P (2006) Revisiting the uniqueness of simple demographics in the US population. Proceedings of the 5th ACM workshop on Privacy in electronic society, S 77–80
Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2009) Orientierungshilfe „Protokollierung“. https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Protokollierung.pdf?__blob=publicationFile&v=4 . Zugegriffen: 31. Juli 2019