4. Abschnitt

Implantatregister, Verfolgbarkeit von Medizinprodukten;

Anwendungsbeobachtung

Herzschrittmacher-, ICD-, Looprecorder-Register

§ 73.

(1) Die Gesundheit Österreich GmbH ist berechtigt,

1. 1. zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und zur Abwehr von Risken im Zusammenhang mit Implantationen von Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,
2. 2. zum Zweck der Medizinproduktevigilanz und Marktüberwachung im Zusammenhang mit Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,
3. 3. zum Zweck der qualitätsgesicherten Behandlung im Zusammenhang mit den entsprechenden Implantationen,
4. 4. zum Zweck der Qualitätssicherung von Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,
5. 5. zum Zweck der Statistik als Grundlage für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und
6. 6. zu wissenschaftlichen Zwecken

1. ein Register für Herzschrittmacher, implantierbare Defibrillatoren und Loop-Recordern in Form eines Informationsverbundsystems zu führen. Die Gesundheit Österreich GmbH ist sowohl Betreiber als auch Auftraggeber des Registers, weitere Auftraggeber sind jene Einrichtungen des Gesundheitswesens, die Daten gemäß Abs. 3 übermitteln.

(2) In dem Register werden folgende Datenarten verarbeitet:

1. 1. Daten über die implantierende/behandelnde Gesundheitseinrichtung (Bezeichnung der implantierenden/behandelnden Einrichtung bzw. Name des behandelnden Arztes, Krankenhausnummer, Kontaktdaten),
2. 2. Daten zur Patientenidentifikation (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer, Kontaktdaten, bereichsspezifisches Personenkennzeichen),
3. 3. gegebenenfalls Sterbedaten (Datum, Todesursache, Autopsiestatus),
4. 4. relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation (Vorintervention, Symptome, Ätiologie, präoperativer Herzrhythmus),
5. 5. technische, klinische, organisatorische und zeitliche Daten zum Versorgungsprozess (Operateur, Implantationsdaten der Medizinprodukte und der dazugehörigen Sonden, Datum der Implantation, Lokalisation der Medizinprodukte, Zugang, Sekundärprophylaxe),
6. 6. technische Daten zum Implantat, spezifische Implantatparameter, Daten zur individuellen Implantateinstellung (Modell, Hersteller und Seriennummer der Medizinprodukte und der dazugehörigen Sonden, Implantatparameter), und
7. 7. technische, klinische, organisatorische, zeitliche und ereignisbezogene Daten zur Nachsorge (technisch und klinische Kontrolldaten der implantierten Medizinprodukte und der dazugehörigen Sonden, Funktionszustand, Datum und Indikation der Kontrolle, Komplikationen, Explantationsdatum, Explantationsgrund).

(3) Die implantierenden/behandelnden Gesundheitseinrichtungen sind nach Maßgabe des Abs. 4 verpflichtet, die in Abs. 2 genannten Datenarten der Gesundheit Österreich GmbH personenbezogen online zu übermitteln.

(4) Die Übermittlung ist nur zulässig, wenn die Betroffenen über den Zweck der Datenanwendung informiert wurden und der Datenverwendung für die Zwecke des Herzschrittmacher-, ICD-, oder Looprecorder-Registers ausdrücklich zugestimmt haben. Wird bei einem Folgekontakt die Zustimmung verweigert, so ist der Betroffene darüber aufzuklären, dass der direkte Personenbezug unumkehrbar gelöscht wird und die Daten nicht mehr für seine Behandlungszwecke verwendet werden können. Die Gesundheit Österreich GmbH ist zu informieren, die den direkten Personenbezug umgehend unumkehrbar zu löschen hat.

(5) Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen durch Einrichtungen des Gesundheitswesens ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren. Bei der Erteilung von Zugriffsberechtigungen durch Einrichtungen des Gesundheitswesens ist darauf zu achten, dass Zugriffsrechte stets nur in jenem Umfang gewährt werden, als dies für einen Zweck gemäß Abs. 1 konkret notwendig ist. Die Erteilung der Zugriffsberechtigung hat sich auf konkrete Personen zu beziehen, deren eindeutige Identität und Umfang der Berechtigung der Gesundheit Österreich GmbH nachzuweisen ist.

(6) Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation die Verwendung des Namens und des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Das bereichsspezifische Personenkennzeichen AS darf nur in verschlüsselter Form verwendet und gespeichert werden. Der direkte Personenbezug ist vom Betreiber unverzüglich unumkehrbar zu löschen, sobald er für die Zwecke nach Abs. 1 Z 1 und 3 nicht mehr erforderlich ist.

(7) Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten im Register verarbeitet sind.

(8) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.

(9) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.

(10) Die Gesundheit Österreich GmbH hat geeignete technische und organisatorische Maßnahmen vorzusehen, um die Richtigkeit der übermittelten Daten zu gewährleisten.

(11) Jeder Zugriff auf die im Register verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf‑ mit Ausnahme einer Auskunftserteilung nach § 50 Datenschutzgesetz 2000 ‑ nur in indirekt personenbezogener Form erfolgen, für wissenschaftliche Zwecke (Abs. 1 Z 6) darf der Zugriff nur in anonymisierter Form erfolgen.

(12) Die an den Registern teilnehmenden Einrichtungen des Gesundheitswesens dürfen

1. 1. für die Zwecke des Abs. 1 Z 3 auf alle diese Person betreffenden Daten im Register auch in personenbezogener Form zugreifen, wenn dies im Rahmen einer konkreten Behandlungssituation der jeweiligen Person erforderlich ist,

1. a) mit ausdrücklicher Zustimmung der betroffenen Person, oder
2. b) wenn die Einholung der Zustimmung unmöglich ist, im lebenswichtigen Interesse des Betroffenen, und

1. 2. für wissenschaftliche Zwecke (Abs. 1 Z 6) in anonymisierter Form auf die im Register verarbeiteten Daten zugreifen.

(13) Das Bundesamt für Sicherheit im Gesundheitswesen ist für Zwecke der Medizinproduktevigilanz berechtigt, auf die im Register verarbeiteten Daten in personenbezogener Form zuzugreifen, sofern dies im Einzelfall zum Schutz der Gesundheit und Sicherheit von Patienten und zur Abwehr von ernsten Risken notwendig ist. Ansonsten ist das Bundesamt für Sicherheit im Gesundheitswesen für Zwecke der Medizinproduktevigilanz und Marktüberwachung und für Zwecke der Qualitätssicherung von Medizinprodukten berechtigt, auf die Daten im Register in indirekt personenbezogener Form zuzugreifen.

(14) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten der Gesundheit Österreich GmbH sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und das Datensicherheitskonzept zu belehren. Diesen Zugriffsberechtigten ist ihre Zugriffsberechtigung zu entziehen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.

(15) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.

(16) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, hat der Geschäftsführer der Gesundheit Österreich GmbH sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.

(17) Die In-Verkehr-Bringer von Medizinprodukten, die im Herzschrittmacher-, ICD-, Looprecorder-Register geführt werden, sind verpflichtet, die für Zwecke des Registers erforderlichen technischen Daten ihrer Implantate der Gesundheit Österreich GmbH in elektronischer Form zur Verfügung zu stellen.

(18) Die Gesundheit Österreich GmbH trifft für alle Auftraggeber die Meldepflicht gemäß §§ 17f Datenschutzgesetz 2000.

Schlagworte

Herzschrittmacher-Register, ICD-Register

Zuletzt aktualisiert am

07.05.2024

Gesetzesnummer

10011003

Dokumentnummer

NOR40098842