Das Potenzial der Telemedizin in China ausschöpfen, Teil 2: Datenschutz und Sicherheit

Dieser Beitrag ist der zweite Teil von Foleys Blogserie „Das Potenzial der Telemedizin in China ausschöpfen“, die sich mit den wichtigsten Themen befasst, mit denen US-Unternehmen konfrontiert sind, die in den chinesischen Telemedizinmarkt eintreten möchten.

Auf einen Blick

• Die Einhaltung der US-Gesetze zum Datenschutz und zur Sicherheit von Krankenakten reicht für ein Unternehmen, das nach China expandiert, nicht aus; Krankenakten müssen auch den chinesischen Anforderungen entsprechen.

• Die Standards für die Speicherung von elektronischen Patientenakten in der Cloud unterscheiden sich in China. US-amerikanische Krankenhäuser und Anbieter sollten Alternativen zur Speicherung in der Cloud auf Servern außerhalb Chinas in Betracht ziehen, wenn sie chinesische Patienten- und andere Gesundheitsdaten verarbeiten.

• Die endgültige Zuständigkeit für die Auslegung regionaler und sektorspezifischer Vorschriften liegt beim chinesischen Rechtssystem, das sich erheblich vom US-amerikanischen Rechtssystem unterscheidet.

Der chinesische Markt bietet US-amerikanischen Krankenhäusern und Gesundheitsdienstleistern enorme Chancen, sofern die Feinheiten des Datenschutzes und der Datensicherheit gründlich verstanden werden. Dazu gehören auch die chinesischen Vorschriften in Bezug auf Krankenakten, die Speicherung elektronischer Gesundheitsakten (EHR) und die praktische Durchsetzung.

Die Tatsache, dass die Software/Technologie eines US-Unternehmens zum Schutz und zur Sicherheit von Krankenakten den HIPAA- oder HITECH-Vorschriften entspricht, ist wichtig, reicht jedoch nur in den Vereinigten Staaten aus. Von in den USA ansässigen Unternehmen, die Gesundheitsdienstleistungen in China anbieten, wird erwartet, dass sie verschiedene Standards und Anforderungen erfüllen, die für bestimmte Industriezweige gelten, darunter chinesische Gesetze und Vorschriften zum Datenschutz sowie zu Gesundheitsinformationen und Krankenakten.

Beispielsweise darf gemäß den am 5. Mai 2014 von der chinesischen Nationalen Gesundheits- und Familienplanungskommission herausgegebenen Verwaltungsmaßnahmen für Bevölkerungsgesundheitsdaten (zur versuchsweisen Umsetzung) eine Einrichtung, die „für die Erfassung, Nutzung, Verwaltung, Sicherheit und den Schutz der Privatsphäre von Bevölkerungsgesundheitsdaten zuständig ist“, „keine Bevölkerungsgesundheitsdaten auf ausländischen Servern speichern [oder] ausländische Server hosten oder mieten“. Eine solche Einrichtung ist außerdem verpflichtet, „ein Nachverfolgungsmanagementsystem einzurichten, in dessen Rahmen jeder Nutzer, der Bevölkerungsgesundheitsdaten erstellt, ändert oder darauf zugreift, einer strengen Identitätsprüfung unter Verwendung des echten Namens und einer Autorisierungskontrolle unterzogen wird“.

Diese Bestimmungen gelten potenziell für eine Vielzahl von Aktivitäten von Gesundheitsdienstleistern in China, einschließlich Aktivitäten in Unternehmenskliniken. Vor diesem Hintergrund sollten US-amerikanische Krankenhäuser und Gesundheitsdienstleister, die in China tätig sind, keine Gesundheitsdaten chinesischer Patienten in der Cloud speichern, es sei denn, diese Cloud-Server befinden sich physisch in China. Angesichts der Bedenken hinsichtlich der Informationssicherheit sollten US-amerikanische Gesundheitsdienstleister vor der Übertragung und dem Herunterladen von Patientendaten aus China verschiedene Optionen prüfen und abwägen. Ein Ansatz besteht darin, ein Online-Portal für eine chinesische Einrichtung einzurichten, über das US-amerikanische Anbieter auf Patientenbilder und -dateien zugreifen können, ohne gegen chinesische Vorschriften zu verstoßen.

US-Krankenhäuser und andere Gesundheitsdienstleister, die in China tätig sind, sollten sich auch der Existenz von „technischen Leitfäden“ bewusst sein, die von verschiedenen chinesischen Regierungsbehörden herausgegeben werden und einen regulatorischen Trend unterstreichen, der die Nutzung und Speicherung einer größeren Bandbreite von „personenbezogenen Daten“ auf ausländischen Servern zunehmend einschränkt. Beispielsweise sieht GB/Z 28828-2012, veröffentlicht am 5. November 2012 von der Standardisierungsverwaltung der Volksrepublik China, sieht vor, dass „ohne die ausdrückliche Zustimmung der betroffenen Person, die ausdrückliche Anforderung eines Gesetzes oder einer Verordnung oder die Zustimmung der zuständigen Behörde ein Verwalter personenbezogener Daten keine personenbezogenen Daten an einen Empfänger personenbezogener Daten im Ausland übermitteln darf, einschließlich einer im Ausland ansässigen Person oder einer im Ausland registrierten Organisation oder Einrichtung”.

Obwohl solche „technischen Standards“ keine ausdrückliche Rechtswirkung haben, besteht immer das Risiko, dass sie von lokalen Behörden als verbindlich ausgelegt werden oder dass ihnen eine verbindliche Wirkung zukommt, wenn sie in neu entwickelten chinesischen Gesetzen und Vorschriften im dynamischen Bereich des Personen- und Datenschutzes erwähnt werden. Unabhängig davon ist klar, dass der Trend in China zur „Lokalisierung“ der Speicherung und Nutzung von Gesundheits- und anderen personenbezogenen Daten sowie zu einer stärkeren Einwilligung nach Aufklärung für eine solche Nutzung geht.

Möchten Sie mehr über Telemedizin in China erfahren? Foley bietet Ihnen zwei Möglichkeiten, sich über die neuesten Entwicklungen zu informieren:

Englische Übersetzungen der Stellungnahmen der chinesischen NHFPC (veröffentlicht im August 2014)

Mitglieder der Telemedizin- und China-Praxis von Foley haben die englische Übersetzung von zwei Stellungnahmen fertiggestellt, die im August 2014 von der Nationalen Gesundheits- und Familienplanungskommission der Volksrepublik China zu folgenden Themen veröffentlicht wurden:

• Förderung der Telemedizin-Dienste medizinischer Einrichtungen

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Tampa 813.225.4127

Ein Mann, der eine Brille und eine graue Anzugsjacke über einem hellvioletten Hemd trägt, steht in einem modernen Büro und vertritt Anwälte in Chicago.

[email protected]

Washington, D.C. 202.295.4781

Das Potenzial der Telemedizin in China ausschöpfen, Teil 2: Datenschutz und Sicherheit

Auf einen Blick

Englische Übersetzungen der Stellungnahmen der chinesischen NHFPC (veröffentlicht im August 2014)

Autor(en)

Nathaniel M. Lacktman

Tianran Yan

Verwandte Einblicke

Aktuelles zur Herbsttagung der NAIC: Task Force „Homeowners Market Data Call (C)“

Aktuelles zur Herbsttagung der NAIC: Die Arbeitsgruppe für Cybersicherheit (H) erhält Kommentare zum Portal für die Meldung von Cybervorfällen

Aktuelles zur NAIC-Herbsttagung: Die Task Force „Producer Licensing (D)“ erhält einen Bericht über die Erweiterung und Änderungen des NIPR.