国内出口欧盟国家医疗器械设备,除了满足 MDR (欧盟医疗器械法规), 还需要满足 GDPR (通用数据保护条例)的要求。尤其是处理患者健康数据 (特殊类别个人数据) 时,对GDPR合规标准会更高。
欧盟GDPR法规文件下载网址:https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng.
欧盟 GDPR第 35 条,有一项事前数据风险评估Data Protection Impact Assessment (DPIA) 的强制要求。
⭐通过下面图示,可以直观了解一下DPIA的核心意思、什么时候必须做 DPIA、一般要写哪些内容、与欧盟法规/标准的关系:
了解了DPIA要求后,企业其实更想了解DPIA模板以运用到实际工作上使用。
⭐下面DPIA模板展示了如何记录调查流程和结果,并遵循了法规中GDPR规定的流程。
✅小结一下:
1. 如果一种特殊的处理,由于其性质、范围、背景和目的,很可能对自然人的权利和自由造成高风险,控制者应当在处理之前,对个人数据的保护进行影响评估。
2. 影响评估应包括:
(a) 对设想的处理操作和处理目的的系统描述;
(b) 就目的而言,对处理操作的必要性和相称性的评估;
(c) 对数据主体权利和自由的风险评估;
(d) 考虑到数据主体和其他相关人员的权利和合法利益,为解决风险而设想的措施,包括保障措施、安全措施和机制,以确保保护个人数据并证明符合本条例。
3. 当处理操作发生改变,可能导致新的高风险时,控制者应进行新的影响评估。
⭐欧盟强制你在动患者数据之前,先做一次“隐私风险体检”,证明你不会乱搞、不会泄露。Everbiz公司可以影响评估向控制者提供指导。
📘这是一个系列介绍FDA,NMPA,GMP,CE MDR/IVDR, MDSAP法规标准的学术活动。
🤝Everbiz公司愿意和行业客户分享医疗器械的专业知识,希望用我们在质量体系和产品注册方面的丰富实战经验,给到大家以帮助。
📞有任何问题和要求,欢迎联系我们, 共同为医疗器械事业发展做出贡献。
