Die Federal Trade Commission (FTC) ist eine US-amerikanische Behörde, deren Zielsetzung in der Wahrung des Wettbewerbsrechts und des Verbraucherschutzes liegt. Unter welchen Umständen Sie auch die Anforderungen der FTC beachten müssen und worin diese Anforderungen bestehen, lesen Sie in diesem Beitrag.
Wie radikal die FTC auch bei Herstellern von Medical Apps vorgehen kann, zeigt der Fall Lumosity.
Gesetze der FTC und anderer US-Behörden
Die FTA (Federal Trade Commission) hat ein Guidance Dokument verfasst, welches klar macht, dass Sie als Hersteller von Mobile Medical Apps nicht nur die Anforderungen der FDA erfüllen müssen. Zu den Regularien zählen
- Federal Trade Commission FTC Act
- FTC’s Health Breach Notification Rule
- Health Insurance Portability and Accountability HIPAA Act
- Food Drug & Cosmetic FD&C Act und Forderungen der FDA wie 21 CFR part 820, Guidance Documents usw.
Damit Sie schneller herausfinden, welche dieser Regularien für Sie relevant sind, hat die Federal Trade Commission ein interaktives Tool veröffentlicht.
Vorschriften der Federall Trade Commission
Gesetzlicher Rahmen
Vergleichbar dem Gesundheitssektor gibt es eine gesetzliche Ebene (die „Acts“) und die Ebene der Behördenvorschriften, die im Code of Federal Regulations veröffentlicht werden. Im Fall Federal Trade Commission sind das der FTC Act und der Title 15 (Commerce and Foreign Trade) sowie Title 16 (Commercial Practices).
Die Vorschriften der Federal Trade Commission betreffen Sie nur als „for profit“ Organisation — was die meisten Hersteller von Medizinprodukten sein dürften.
Health Breach Notification Rule
Falls man als kommerzieller Anbieter Personal Health Records anbietet und dies nicht unter dem Dach einer Organisation stattfindet, die bereits den Auflagen der HIPAA unterliegt, muss die Health Breach Notification Rule der FTC beachtet werden.
Mit dieser Health Breach Notification Rule möchte die FTC erneut den Verbraucherschutz gewährleisten. Es geht nach Aussagen der Behörde darum, dass bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten gemeldet werden muss.
In einen weiteren Artikel zur Health Breach Notification Rule beschreiben wir
- wann Sie melden müssen
- was Sie melden müssen
- in welcher Form Sie melden müssen
- an wen Sie melden müssen.
Überlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall
Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!
Best Practices für Medical App Hersteller
Die Federal Trace Commission FTC empfiehlt den Herstellern von Medical Apps in einem Guidance Document, Best Practices einzuhalten:
- Daten minimieren
- Möglichst wenig Daten sammeln
- Daten möglichst in anonymisierter oder pseudonymisierter Form sammeln
- Zugriffsbeschränkungen
- Minimale Zugriffsbeschränkungen erteilen
- Möglichkeiten des Betriebssystems nutzen
- Geeignete Default-Werte wählen
- Authentifizierung
- Geeignete Vergabe von Zugangsdaten sicherstellen
- Starke Passwörter verwenden/fordern
- Passwörter sicher speichern
- Ökosystem
- Nicht unnötig auf die Plattform vertrauen
- Vorsicht mit „3rd party providern“
- Vorsicht bei der Verwendung von OTS
- Sicheres Design
- Sicherheitsbewusste Organisation etablieren
- IT-Sicherheit bei jedem Schritt des Lebenszyklus einer App (Entwicklung, Programmierung, Vermarktung usw.) beachten
- Starke Verschlüsselung nutzen
- Auf dem Laufenden bleiben z.B. bei neuen Angriffsformen oder bekannt gewordenen Sicherheitsproblemen
- Nichts neu erfinden
- Quellen über Sicherheitsprobleme nutzen
- Kommunikation mit Anwendern
- Kommunikation bei Verletzungen der IT-Sicherheit und/oder Vertraulichkeit definieren
- Informationen über Privacy Policy veröffentlichen (verständlich)
- Über sicherheitsbezogene Eigenschaften des Produkts informieren
- Regularien beachten
- die oben genannten
- spezifische für die einzelnen US-Staaten
- Tipps der Federal Trade Commission zu Apps im Allgemeinen beachten
