Die Bekanntmachung der Digital Personal Data Protection Rules 2025 hat Bestimmungen des DPDP Act 2023 aktiviert, was den Gesundheitssektor erheblich beeinflusst. Das Gesetz stuft medizinische Einrichtungen als Datenverwalter ein und gewährt Patienten Rechte über ihre Daten. Dennoch erzeugen Unklarheiten in den Details Herausforderungen für Gesundheitsanbieter.
Der Digital Personal Data Protection Act 2023 zusammen mit den kürzlich bekanntgegebenen Rules von 2025 markiert die bedeutendste Datenschutzreform in Indien seit dem IT Act 2000. Diese Maßnahmen fördern den Respekt vor individuellen Rechten und Datenverantwortung. Im Gesundheitswesen werden jede Klinik, jedes Krankenhaus, jedes Labor und jede Telemedizin-Anwendung zum „Datenverwalter“ erhoben, unabhängig von der Größe. Persönliche Daten in digitaler Form oder später digitalisiert fallen in den Geltungsbereich des Gesetzes.
Patienten werden zu „Datenprinzipale“ mit Recht auf Einsicht, Berichtigung und Löschung ihrer medizinischen Informationen. Einwilligungsformulare in Krankenhäusern stützten sich oft auf blinden Glauben statt informierter Wahl, doch der DPDP Act führt Transparenz ein. Bei medizinischen Notfällen oder öffentlichen Gesundheitskrisen ist die Datenverarbeitung ohne Einwilligung erlaubt. Allerdings bestehen Unklarheiten in Bereichen wie postoperativer Intensivpflege, Management chronischer Erkrankungen und Nachsorgebehandlungen.
Der Widerruf der Einwilligung oder die Anforderung der Datenlöschung schafft Komplikationen für Gesundheitsanbieter. Verwalter müssen die Daten löschen und die Verarbeitung einstellen, doch gesetzliche Pflichten im Gesundheitswesen bleiben bestehen. Die Definition von „Verarbeitung“ im Gesetz umfasst „Löschung“, was möglicherweise Einwilligung sogar für Löschungen erfordert. Anlage III der Rules legt Aufbewahrungsfristen für verschiedene Sektoren fest, doch der Gesundheitssektor fehlt auffällig, was Einrichtungen bei der Aufbewahrung unsicher lässt.
Für vor Inkrafttreten des Gesetzes gesammelte Daten müssen Verwalter die Prinzipale „so bald wie vernünftigerweise möglich“ benachrichtigen, ohne festgelegte Frist. Laut Autoren Tishampati Sen, Anwalt am Supreme Court, und Harsh Mahajan, Gründer von Mahajan Labs und FICCI-Gesundheitsmentor, verdient der Gesundheitssektor aufgrund seiner kritischen Natur sektorspezifische Richtlinien. Insgesamt stärkt das Gesetz Patienten, indem es ihre Datenschutzrechte bestätigt, und erinnert Anbieter daran, dass die Sorgfaltspflicht nun auch digitale Bereiche umfasst.
