DSGVO, NIS2 und Cyber Security für Krankenhäuser, Pharmaunternehmen, Medizinproduktehersteller, Laboratorien und Forschungseinrichtungen, inklusive EHDS-Vorbereitung.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
Von Einzelkliniken bis zu multinationalen Pharmaunternehmen. Die regulatorische Last ändert sich mit Patientenvolumen, Datensensibilität und Produktart.
Patientenakten, Meldung, Kontakt zu Aufsichten (BfDI, BfArM).
Studiendaten, Pharmakovigilanz, Lieferketten-Integrität.
MDR/IVDR-Konformität, Post-Market-Surveillance, Software als MP.
DSGVO für Health-Apps, AI Act für Diagnostik, EHDS-Interop.
Genomdaten, Forschungsethik, grenzüberschreitendes Teilen.
IVDR-Konformität, KI-Diagnostik, Akkreditierungsregime.
Acht Regime greifen ineinander. Wir takten sie an Ihrer Release-Kadenz.
Rechtsgrundlage Art. 9, DSFA verpflichtend, Meldung in 72h, Patientenrechte im Maßstab.
Konformitätsbewertung, CE-Kennzeichnung, Post-Market-Surveillance, Vigilanzmeldungen.
Risikoklassifizierung, Benannte Stelle für höhere Klassen, technische Dokumentation.
Risikomanagement, Meldung in 24h und 72h, Lieferketten-Sicherheit.
Patientenzugriff auf eigene Daten, Sekundärnutzung für Forschung, Interoperabilität.
Annex III Medizin-KI: Konformität, technische Doku, Human Oversight, Post-Market-Monitoring.
CTIS-System, zentrale Einreichung, öffentliche Transparenz.
Strengere Einwilligung für Cookies, Marketing und Metadaten. Ersetzt nationale Regeln.
Gesundheitsdaten nach Art. 9 erfordern ausdrückliche Einwilligung oder andere Grundlage. DSFA ist Pflicht. Pseudonymisierung passt selten in klinische Abläufe.
Benannte Stellen sind überlastet. Konformitätsbewertungen für manche Klassen dauern über 18 Monate.
Annex III listet Medizin-KI als hochrisiko. Konformität, technische Akte, Human Oversight, Post-Market-Monitoring.
Krankenhäuser fallen unter wesentliche Einrichtungen. Cyber-Angriffe im Gesundheitswesen haben sich seit 2022 verdoppelt.
EU-CTR zentralisiert die Einreichung, aber Datenflüsse treffen weiterhin auf Schrems II für US-Sponsoren.
Patientendaten müssen mit Schutzmaßnahmen für Forschung verfügbar gemacht werden. Anonymisierungsstandards werden noch definiert.
Art.-9-Mapping, Patientenrechte-Workflow, DSFA-Bibliothek, Vorfallreaktion, BfDI-Kontakt.
Technische Dokumentation, Risikomanagement (ISO 14971), Einreichungen bei Benannten Stellen, PMS.
Kombinierte AI-Act- und MDR-Konformität, technische Akte (Annex IV), Human Oversight, PMM.
Klassifizierung, ISMS-Aufbau, Lieferkettensicherheit, Meldepfade 24h/72h.
CTR-Art.-81-Transparenz, CTIS-Einreichungen, Datenflussabbildung, TIAs.
Interoperabilität, Sekundärnutzungs-Governance, Health Data Access Body.
ICSR-Datenhandling, Signal-Management, EudraVigilance-Integration, GxP-Datengovernance.
DSGVO-Programm für Health-Apps, grenzüberschreitende Telemedizin, Einwilligungs-Workflows.
Senior-DSB mit Health-Erfahrung, benannt bei BfDI, Vorstandsreporting, DSAR-Bearbeitung.
Acht Fragen zu Patientenbasis, Produkten und Datenflüssen. Indikative Pflichtenkarte über DSGVO, MDR, IVDR, NIS-2, AI Act und EHDS.
Pflichten-Mapper starten~ 4 MINJa. NIS-2 Anhang I listet Gesundheitsdienstleister ausdrücklich als wesentliche Einrichtungen. Risikomanagement, 24h-Frühwarnung und 72h-Meldung gelten. Vorstandsmitglieder tragen persönliche Verantwortung.
Wenn die KI für medizinische Zwecke unter MDR eingesetzt wird, ist sie nach Annex III hochrisiko. Sie benötigen Konformitätsbewertung, technische Dokumentation (Annex IV), Human Oversight und PMM zusätzlich zu MDR-Pflichten.
Ja. Wir bauen eine kombinierte technische Akte, die beide Regime abdeckt. Die Kommission hat die Ausrichtung bestätigt, eine Benannte Stelle reicht meistens aus.
EHDS gibt Patienten Zugriff auf ihre eigenen Gesundheitsdaten und schafft ein Sekundärnutzungsregime für Forschung. Anwendung ab März 2026, gestaffelt bis 2031.
Gesundheitsorganisationen mit umfangreicher Verarbeitung von Patientendaten benötigen fast immer einen DSB nach Art. 37(1)(c) DSGVO. Wir stellen einen Senior-DSB mit Gesundheits-Erfahrung im Retainer.
Studienteilnehmer sind Betroffene mit DSGVO-Rechten. CTR regelt Einwilligung und Transparenz, DSGVO ergänzt die Datenschutzschicht. Beides gilt parallel.
Gesundheitsdaten-Übermittlungen ausserhalb des EWR brauchen DSGVO-Mechanismen (i.d.R. SCC 2021 plus TIA). Die meisten US-EU-Partnerschaften brauchen ergänzende Maßnahmen.
Ja. Wir koordinieren mit der gewählten Benannten Stelle, bereiten die technische Akte vor, beantworten Anfragen und führen Vorab-Interviews vor Einreichung.
DSGVO-Programm für Gesundheitsdaten, DSFA-Bibliothek und Aufsichtskontakt.
Praxis öffnen →AI-Act-Konformität für Medizin-KI, kombiniert mit MDR-Konformitätsbewertung.
Praxis öffnen →NIS-2-Scoping, ISMS und Aufsichtsbereitschaft für Gesundheitseinrichtungen.
Praxis öffnen →Kostenloses Erstgespräch, 30 Minuten. Wir analysieren Ihren Status bei DSGVO, NIS2 und MDR und liefern eine priorisierte Roadmap für die nächsten 90 Tage.