[Protecting the rights and freedoms of individuals with regard to health data processing: the risk approach of the EU General Data Protection Regulation (GDPR)].

Schutz der Rechte und Freiheiten von Personen bei der Datenverarbeitung im Gesundheitsbereich: Der Risikoansatz der EU-Datenschutz-Grundverordnung (DGSVO).

Publisher: Springer Country of Publication: Germany NLM ID: 101181368 Publication Model: Print-Electronic Cited Medium: Internet ISSN: 1437-1588 (Electronic) Linking ISSN: 14369990 NLM ISO Abbreviation: Bundesgesundheitsblatt Gesundheitsforschung Gesundheitsschutz Subsets: MEDLINE

Original Publication: Berlin : Springer,

Computer Security* ; Freedom*; Humans ; European Union ; Germany

Merging sensitive data and tracing their analysis results back to the data subjects is an essential part of data processing in the health sector. This challenges the protection of the data and thus its very purpose, the protection of the data subjects, since the scientific and health findings are often based on certain characteristics in the datasets, which should be preserved in their property as personal in order to make the results of the data analysis fruitful. The EU General Data Protection Regulation (GDPR) establishes a risk-based approach that determines both the identifiability of data and the proportionality of their processing.This paper analyses how the risk-based approach opens the scope of the GDPR and relates it to the risks for the rights and freedoms of data subjects posed by the processing of personal data. Furthermore, the question is explored to what extent the risk-based approach of the GDPR influences the rules for international data transfer and how international data processing in the health sector is currently organised on its basis.Overall, the present analysis sheds light on how the technical measures of data processing and the organisational measures for handling them can contribute to maintaining the proportionality of data processing under the GDPR, which can essentially be determined on a risk-based basis, while at the same time taking into account the specificity of data processing in the health sector.
(© 2023. The Author(s).)

Keywords: De-identification; Health data processing; Identifiability; Risks; Secure data spaces
Local Abstract: [Publisher, German] Die Zusammenführung von sensiblen Daten und die Rückführung ihrer Analyseergebnisse zu den betroffenen Personen ist ein wesentlicher Bestandteil der Datenverarbeitung im Gesundheitsbereich. Dies stellt eine besondere Herausforderung für den Datenschutz und damit für dessen wahren Zweck, den Schutz der Betroffenen, dar. Der Grund ist, dass die wissenschaftlichen und gesundheitlichen Erkenntnisse oft auf bestimmten Merkmalen in den Datensätzen fußen, die in ihrer Eigenschaft als personenbezogen beibehalten werden sollten, um die Ergebnisse der Datenanalyse fruchtbar werden zu lassen. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) legt einen risikobasierten Ansatz fest, der sowohl die Frage des Personenbezugs von Daten als auch die Verhältnismäßigkeit ihrer Verarbeitung bestimmt.In diesem Beitrag wird analysiert, wie der risikobasierte Ansatz den Anwendungsbereich der DSGVO eröffnet und mit den Risiken für die Rechte und Freiheiten der betroffenen Personen in Verbindung steht, die durch die Verarbeitung personenbezogener Daten entstehen. Darüber hinaus wird der Frage nachgegangen, inwieweit der risikobasierte Ansatz der DSGVO die Regeln für den internationalen Datentransfer beeinflusst, und erklärt, wie die internationale Datenverarbeitung im Gesundheitssektor auf seiner Grundlage zurzeit organisiert wird.Insgesamt gibt die vorliegende Analyse Aufschluss darüber, wie die technischen Maßnahmen der Datenverarbeitung und die organisatorischen Maßnahmen zu deren Handhabung dazu beitragen können, die Verhältnismäßigkeit der Datenverarbeitung nach der DSGVO zu wahren, die im Wesentlichen als risikobasiert bestimmt werden kann, um zugleich der Spezifität der Datenverarbeitung im Gesundheitsbereich Rechnung zu tragen.

Date Created: 20230117 Date Completed: 20230203 Latest Revision: 20230203

20231215

PMC9844932

10.1007/s00103-022-03652-6

36648500