Regulatorische Konformität

Konformität by design, kein Nachgedanke.

My Data My Care strebt die Zertifizierungen HDS v2, operatives DSGVO, Ségur V2 und FHIR R4 FR Core als minimales V1-Fundament an — nicht als Abhaken von Kästchen, sondern als öffentlich einklagbare vertragliche Verpflichtungen.

  • HDS v2 (Ziel V1)
  • DSGVO nativ
  • Ségur V2 (10/2026)
Regulatorischer Zeitplan

Fristen 2026-2028

Gesetzliche Pflichten, die durch die französische und europäische Regulierung bereits terminiert sind. MDMC richtet sich vor jeder Frist nach jedem Stichtag aus.

  1. Ziel V1

    HDS v2 — Pflicht für Gesundheitsdaten-Hoster

    Dekret R. 1111-9 CSP. Jeder Hoster, der Gesundheitsdaten bearbeitet, muss HDS-v2-zertifiziert sein. MDMC strebt eine öffentliche Zertifizierung vor dem V1-Go-live an.

  2. Ziel V1

    AI Act — Hochrisiko-KI im Gesundheitsbereich anwendbar

    Verordnung (EU) 2024/1689. Unser LLM CareFlow fällt unter Art. 6.2 (Orientierung bei der Konsultation). Modelldokumentation, menschliche Aufsicht und Bias-Audit obligatorisch.

  3. Ziel V1

    Ségur V2 — obligatorische Listung für Spitäler

    In französischen Gesundheitseinrichtungen genutzte Lösungen müssen im ANS-Katalog gelistet sein. Profile FHIR FR Core + INS obligatorisch.

  4. Roadmap V2

    EHDS — europäischer Gesundheitsdatenraum

    Schrittweise Inkraftsetzung. Grenzüberschreitende Interoperabilität + Sekundärnutzung mit Patienten-Opt-in. MDMC-Architektur vorbereitet.

Angestrebte Referenzrahmen

8 Frameworks umrahmen MDMC

V1-Fundament = HDS + DSGVO + Ségur + FHIR + INS. Roadmap V2 = AI Act + EHDS + SecNumCloud. Status aktuell per 13.05.2026.

HDS v2
Ziel V1
Hoster für Gesundheitsdaten

Blockierende Verpflichtung vor dem V1-Go-live. Audit in Finalisierung Q2 2026 mit einem von der ANS zertifizierten französischen Betreiber. Kein Versprechen nach dem Start.

RGPD
In Arbeit
Datenschutz-Grundverordnung

Externer DPO in Benennung Q2 2026. DSFA verfasst. Verzeichnis Art. 30 geführt. DSFA pro PHI-Bearbeitung vorgesehen.

Ségur V2
Ziel V1
Listung im ANS-Katalog

Pflicht ab 14.10.2026 für die Spitalnutzung. Profile FHIR FR Core ANS-konform. Einreichung des MDMC-Dossiers Q3 2026.

FHIR R4
Nativ
Interoperabilität FR Core

Native Implementierung der Patienten-/Fachpersonen-API. Pass-Export konform mit den ANS-Profilen. Vollständige Portabilität ohne Lock-in.

INS
Ziel V1
Nationale Gesundheitsidentität

INS-API (RNIV) integriert. Eindeutige nationale Patientenkennung. Voraussetzung Ségur V2 + DMP.

AI Act
Ziel V1
Hochrisiko-KI im Gesundheitsbereich

Anwendbar ab 02.08.2026. Modelldokumentation CareFlow + Transparenz + menschliche Aufsicht + Bias-Audit.

EHDS
Roadmap V2
European Health Data Space

Inkraftsetzung 2027. Grenzüberschreitende Interop + Sekundärnutzung mit Patienten-Opt-in. Architektur in V1 vorbereitet.

SecNumCloud
Roadmap V2
ANSSI-Qualifikation

Ziel V2 (2027), Angebot OIV / Spitäler. Null ausländischer Rechtseinfluss auf die Infrastruktur.

Operative Verpflichtungen

4 vertragliche Verpflichtungen

Über die Zertifizierungen hinaus öffentliche und einklagbare operative Verpflichtungen.

Externer DPO benannt

Unabhängige, bei der CNIL gemeldete Kanzlei. Direkter Kontakt dpo@mydatamycare.com. Antwort auf Anträge nach Art. 12–22 DSGVO innert 30 Werktagen.

DSFA pro Bearbeitung

Datenschutz-Folgenabschätzung für jede Funktion, die PHI berührt. Auf begründete Anfrage von IT-Leitung/DPO/CNIL verfügbar.

Bug-Bounty-Programm

Start Q3 2026 auf einer anerkannten Plattform (HackerOne oder YesWeHack). Umfang Patienten-API + Verschlüsselung + Auth.

Jährliches Pentest-Audit

Von der ANSSI anerkannte Kanzlei (Quarkslab oder Synacktiv). Zusammenfassender Bericht auf der Sicherheitsseite veröffentlicht. Erstes Audit Q2 2026.

Weitergehen

Regulatorische Konformität und technische Architektur sind untrennbar: Ende-zu-Ende-Verschlüsselung auf Patientenseite, signierte Einwilligung, Zero-Trust-API.

Die Sicherheitsarchitektur ansehen
Häufige Fragen

Was Sie wissen möchten

Wann wird MDMC HDS-v2-zertifiziert sein?

Audit in Finalisierung Q2 2026 mit einem von der ANS zertifizierten französischen Betreiber. Öffentliche Zertifizierung vor dem V1-Go-live erwartet — blockierende vertragliche Verpflichtung, kein Marketing-Versprechen nach dem Start.

Warum ist Ségur V2 obligatorisch?

Pflicht ab 14.10.2026 für in französischen Gesundheitseinrichtungen genutzte Lösungen. Die Listung im ANS-Katalog ist Voraussetzung für die öffentliche Beschaffung. MDMC strebt die Einreichung des Dossiers Q3 2026 an (Profile FHIR FR Core + INS bereit).

Ist Ihre KI CareFlow eine Hochrisiko-KI nach dem AI Act?

Ja — Orientierung/Konsultation des Patienten fällt unter Art. 6.2 der Verordnung (EU) 2024/1689. Anwendbar ab 02.08.2026. Modelldokumentation + Transparenz + menschliche Aufsicht + Bias-Audit = derzeit in Umsetzung befindliche Pflichten.

Wer ist Ihr DPO und wie kontaktiere ich ihn?

Externer DPO in Benennung (unabhängige, bei der CNIL gemeldete Kanzlei). Übergangskontakt dpo@mydatamycare.com (qualifiziertes Postfach). Antwortfrist auf Anträge nach Art. 12 DSGVO: 30 Werktage gemäss Art. 12.3 DSGVO.

Eine Frage zur Konformität?

Unser DPO- und Sicherheitsteam antwortet IT-Leitungen von Spitälern, ESSMS-Einrichtungen, Krankenversicherungen und Kontrollstellen. Antwort innert 48 Werktagsstunden.

Das Konformitätsteam kontaktierenDie Sicherheitsarchitektur ansehen