EU-Kommissionen har fremlagt et forslag til en Biotech Act, der skal styrke innovation inden for bioteknologi i Europa. Samtidig har europæiske databeskyttelsesmyndigheder understreget, at udviklingen skal ske i overensstemmelse med GDPR og stærk datasikkerhed.
Hvis lovforslaget vedtages, kan det få betydning for virksomheder og organisationer, der håndterer sundhedsdata, forskning og følsomme personoplysninger – både i forhold til compliance, governance og cybersikkerhed.
Vil du skabe en stærkere sikkerhedskultur i organisationen?
Læs mere om awareness-træning for medarbejdere.
Hvad er EU’s Biotech Act?
EU-Kommissionen har fremlagt et forslag til en European Biotech Act, der skal gøre det lettere at udvikle og skalere bioteknologiske løsninger i Europa.
Formålet er blandt andet at:
- styrke Europas konkurrenceevne inden for bioteknologi
- reducere regulatoriske barrierer for innovation
- gøre det lettere at gennemføre kliniske forsøg og forskning
- fremme brugen af data og avancerede teknologier i sundhedssektoren
Men netop fordi bioteknologi i høj grad baserer sig på persondata og sundhedsdata, har databeskyttelsesmyndighederne i EU også markeret, at udviklingen skal ske inden for rammerne af GDPR og stærk databeskyttelse.
Databeskyttelse bliver en central del af Biotech Act
I forbindelse med lovforslaget har European Data Protection Board (EDPB) og European Data Protection Supervisor (EDPS) afgivet en fælles udtalelse.
Budskabet er tydeligt:
Innovation må ikke ske på bekostning af beskyttelsen af følsomme personoplysninger.
Hvis Biotech Act vedtages, vil organisationer derfor stadig skulle sikre:
- klart behandlingsgrundlag for persondata
- tydelig ansvarsfordeling mellem dataansvarlige
- stærke tekniske og organisatoriske sikkerhedsforanstaltninger
- transparens i brugen af data i forskning og udvikling
Det betyder i praksis, at datasikkerhed og governance bliver en central del af bioteknologisk innovation i EU.
Beregn prisen på awareness- og phishing-træning på få minutter
Håndtering af sundhedsdata kræver høj cybersikkerhed
Bioteknologi og sundhedsforskning involverer ofte behandling af nogle af de mest følsomme data:
- helbredsoplysninger
- genetiske data
- forskningsdata fra kliniske forsøg
- patientdata
Under GDPR er disse oplysninger klassificeret som særlige kategorier af personoplysninger, hvilket stiller meget høje krav til sikkerhed.
Organisationer, der arbejder med disse data, skal derfor blandt andet sikre:
Dataminimering og pseudonymisering
Persondata bør begrænses til det nødvendige og pseudonymiseres, når det er muligt.
Kontrol med adgang til data
Kun medarbejdere med et klart behov bør have adgang til følsomme data.
Dokumenteret datastyring
Organisationer skal kunne dokumentere formål, behandlingsgrundlag og sikkerhedsforanstaltninger.
Vil du styrke medarbejdernes evne til at opdage phishing og social engineering?
Se hvordan Secure First kan hjælpe med phishing-simulation og træning
Compliance, NIS2 og bioteknologi
Bioteknologiske virksomheder og forskningsmiljøer er ofte en del af kritiske værdikæder i sundhedssektoren.
Det betyder, at mange organisationer også bliver påvirket af NIS2-direktivet, der stiller skærpede krav til cybersikkerhed.
Det gælder blandt andet:
- risikostyring
- sikkerhedsprocedurer
- hændelseshåndtering
- leverandørsikkerhed
- awareness og træning af medarbejdere
Når virksomheder håndterer store mængder følsomme data, bliver sikkerhedskultur og medarbejder-awareness en afgørende del af compliance.
Arbejder I med compliance og regulering i EU?
Se hvordan Secure First hjælper med NIS2 compliance:
