Regulatorische Konformität

Konformität by design, kein nachträglicher Gedanke.

My Data My Care strebt die Zertifizierungen HDS v2, operative DSGVO, Ségur V2 und FHIR R4 FR Core als V1-Mindestfundament an — nicht als Häkchen-Setzen, sondern als öffentliche, durchsetzbare vertragliche Zusagen.

  • HDS v2 (Ziel V1)
  • DSGVO-nativ
  • Ségur V2 (10/2026)
Regulatorischer Zeitplan

Fristen 2026-2028

Gesetzliche Pflichten, bereits durch die französische und europäische Regulierung datiert. MDMC richtet sich vor jeder Frist nach jedem Stichtag.

  1. Ziel V1

    HDS v2 — Pflicht für Gesundheitsdaten-Hoster

    Dekret R. 1111-9 CSP. Jeder Hoster, der Gesundheitsdaten verarbeitet, muss HDS-v2-zertifiziert sein. MDMC strebt eine öffentliche Zertifizierung vor dem Go-live von V1 an.

  2. Ziel V1

    AI Act — Hochrisiko-KI im Gesundheitswesen anwendbar

    Verordnung (EU) 2024/1689. Unser LLM CareFlow fällt unter Art. 6.2 (Konsultationsorientierung). Modelldokumentation, menschliche Aufsicht und Bias-Audit verpflichtend.

  3. Ziel V1

    Ségur V2 — verpflichtende Krankenhausreferenzierung

    In französischen Gesundheitseinrichtungen genutzte Lösungen müssen im ANS-Katalog referenziert sein. FHIR-FR-Core-Profile + INS verpflichtend.

  4. Roadmap V2

    EHDS — europäischer Gesundheitsdatenraum

    Schrittweise Anwendung. Grenzüberschreitende Interoperabilität + Sekundärnutzung mit Patienten-Opt-in. MDMC-Architektur vorbereitet.

Angestrebte Referenzrahmen

8 Frameworks umrahmen MDMC

V1-Fundament = HDS + DSGVO + Ségur + FHIR + INS. Roadmap V2 = AI Act + EHDS + SecNumCloud. Status aktuell 13.05.2026.

HDS v2
Ziel V1
Hoster von Gesundheitsdaten

Blockierende Zusage vor dem Go-live von V1. Audit in Finalisierung Q2 2026 mit einem ANS-zertifizierten französischen Betreiber. Keine Versprechung nach dem Start.

RGPD
In Arbeit
Datenschutz-Grundverordnung

Externer DPO in Benennung Q2 2026. AIPD verfasst. Verzeichnis Art. 30 geführt. DSFA pro PHI-Verarbeitung vorgesehen.

Ségur V2
Ziel V1
ANS-Katalog-Referenzierung

Pflicht 14.10.2026 für Krankenhausnutzung. ANS-konforme FHIR-FR-Core-Profile. MDMC-Antragstellung Q3 2026.

FHIR R4
Nativ
Interoperabilität FR Core

Native Implementierung Patienten-/Fachkräfte-API. Passexport konform mit ANS-Profilen. Vollständige Portabilität ohne Lock-in.

INS
Ziel V1
Nationale Gesundheits-ID

INS-API (RNIV) integriert. Eindeutige nationale Patientenkennung. Voraussetzung Ségur V2 + DMP.

AI Act
Ziel V1
Hochrisiko-KI im Gesundheitswesen

Anwendbar 02.08.2026. Modelldokumentation CareFlow + Transparenz + menschliche Aufsicht + Bias-Audit.

EHDS
Roadmap V2
European Health Data Space

Anwendung 2027. Grenzüberschreitende Interop + Sekundärnutzung mit Patienten-Opt-in. Architektur in V1 vorbereitet.

SecNumCloud
Roadmap V2
ANSSI-Qualifizierung

Ziel V2 (2027) Angebot OIV / Krankenhäuser. Null ausländischer rechtlicher Einfluss auf die Infrastruktur.

Operative Zusagen

4 vertragliche Zusagen

Über die Zertifizierungen hinaus öffentliche und durchsetzbare operative Zusagen.

Externer DPO benannt

Unabhängiges Büro, bei der CNIL gemeldet. Direkter Kontakt dpo@mydatamycare.com. Antwort auf Anfragen Art. 12-22 DSGVO innerhalb von 30 Werktagen.

AIPD pro Verarbeitung

Datenschutz-Folgenabschätzung für jede Funktion, die PHI berührt. Auf begründete Anfrage von IT-Leitung/DPO/CNIL verfügbar.

Bug-Bounty-Programm

Start Q3 2026 auf einer anerkannten Plattform (HackerOne oder YesWeHack). Umfang Patienten-API + Verschlüsselung + Authentifizierung.

Jährlicher Pentest-Audit

ANSSI-anerkanntes Büro (Quarkslab oder Synacktiv). Zusammenfassender Bericht auf der Sicherheitsseite veröffentlicht. Erster Audit Q2 2026.

Weitergehen

Regulatorische Konformität und technische Architektur sind untrennbar: Ende-zu-Ende-Verschlüsselung auf Patientenseite, signierte Einwilligung, Zero-Trust-API.

Sicherheitsarchitektur ansehen
Häufige Fragen

Was Sie wissen wollen

Wann wird MDMC HDS-v2-zertifiziert sein?

Audit in Finalisierung Q2 2026 mit einem ANS-zertifizierten französischen Betreiber. Öffentliche Zertifizierung vor dem Go-live von V1 erwartet — blockierende vertragliche Zusage, keine Marketingversprechung nach dem Start.

Warum ist Ségur V2 verpflichtend?

Pflicht 14.10.2026 für in französischen Gesundheitseinrichtungen genutzte Lösungen. Die ANS-Katalog-Referenzierung bedingt den öffentlichen Einkauf. MDMC strebt die Antragstellung Q3 2026 an (FHIR-FR-Core-Profile + INS bereit).

Ist Ihre KI CareFlow eine Hochrisiko-KI nach AI Act?

Ja — Patientenorientierung/-konsultation fällt unter Art. 6.2 der Verordnung (EU) 2024/1689. Anwendbar 02.08.2026. Modelldokumentation + Transparenz + menschliche Aufsicht + Bias-Audit = in Umsetzung befindliche Pflichten.

Wer ist Ihr DPO und wie kontaktiere ich ihn?

Externer DPO in Benennung (unabhängiges, bei der CNIL gemeldetes Büro). Übergangskontakt dpo@mydatamycare.com (qualifiziertes Postfach). Antwortfrist auf Anfragen Art. 12 DSGVO: 30 Werktage gemäß Art. 12.3 DSGVO.

Eine Konformitätsfrage?

Unser DPO- + Sicherheitsteam beantwortet Anfragen von Krankenhaus-IT, ESSMS-Einrichtungen, Versicherungen und Kontrollstellen. Antwort innerhalb von 48 Werktagsstunden.

Konformitätsteam kontaktierenSicherheitsarchitektur ansehen