Fortbildungsveranstaltung Datenschutz und Datensicherheit in der Arztpraxis

Transkript

1 Fortbildungsveranstaltung 2008 Datenschutz und Datensicherheit in der Arztpraxis

2 THEMEN : I. Allgemeiner Datenschutz in der Arztpraxis und ärztliche Schweigepflicht II. Technische Richtlinien EDV in der Arztpraxis Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 2

3 I. Allgemeiner Datenschutz in der Arztpraxis und ärztliche Schweigepflicht

4 Ärztliche Schweigepflicht Die ärztliche Schweigepflicht ist in 203 StGB und 9 der Berufsordnung geregelt. Die ärztliche Schweigepflicht gilt für Ärzte und Angehörige von Heilberufen, deren Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert. Sie gilt damit auch für Psychologische Psychotherapeuten und Kinder- und Jugendlichenpsychotherapeuten Die ärztliche Schweigepflicht gilt auch gegenüber anderen Ärzten und Angehörigen. Sie gilt über den Tod hinaus. Die ärztliche Schweigepflicht ist verletzt, wenn Tatsachen, die der Geheimhaltung unterliegen, unbefugt offenbart werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 4

5 Ärztliche Schweigepflicht Bereits die Tatsache, dass eine bestimmte Person Patient bei einem bestimmten Arzt ist, unterliegt der Schweigepflicht. Die ärztliche Schweigepflicht ist durchbrochen, wenn gesetzliche Vorschriften den Arzt verpflichten oder ihn berechtigen, die Informationen weiterzugeben. Ferner ist die ärztliche Schweigepflicht nicht verletzt, wenn die Daten mit Einverständnis des Patienten weitergegeben werden. Die ärztliche Schweigepflicht ist verletzt, wenn Tatsachen, die der Geheimhaltung unterliegen, unbefugt offenbart werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 5

6 Ärztliche Schweigepflicht Zulässig bzw. verpflichtend ist die patientenbezogene Übermittlung insbesondere: zum Zweck der Abrechnung ( 295 Abs. 1 SGB V) zum Zweck der Abrechnungsprüfung ( 295 Abs. 1a) zum Zweck der Qualitätssicherung ( 298 SGB V) zum Zweck der Wirtschaftlichkeitsprüfung ( 296, 297 SGB V) zur Übermittlung von AU-Bescheinigungen ( 284 i.v. m. 295 SGB V) Zur Übermittlung an den MDK ( 276, 277 SGB V) Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 6

7 Ärztliche Schweigepflicht Meldepflichten und rechte nach: - den Infektionsschutzgesetz ( 6 ff IfSG) - den Krebsregistergesetzen der Länder ( 1des Berl. G) - der Röntgenverordnung ( 17 a RöV, 28 Abs. 8 RöV) - der Strahlenschutzverordnung ( 42 StrlschV) - dem Betäubungsmittelgesetz i. V. m. 5 a BTMVV - der Gesetzlichen Unfallversicherung ( 201 ff. SGB VII) Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 7

8 Ärztliche Schweigepflicht Die Einwilligung von Patienten kann ausdrücklich oder durch schlüssiges Handeln erfolgen. - regelmäßige Begleitung durch Angehörige - ärztliche Mit- und Weiterbehandlung - stillschweigende Zustimmung z. B. zur Aufklärung der Todesursachen Problem: Reichweite der ausdrücklichen Einwilligung in Versicherungsverträgen. Zurechnungs- bzw. Einwilligungsfähigkeit Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 8

9 Ärztliche Schweigepflicht In Einzelfällen ist der Arzt auch ohne spezialgesetzliche Grundlagen zur Übermittlung berechtigt. Beispiele: - Gefahr für Leib und Leben kann nicht anders abgewendet werden ( 34 StGB) - Durchsetzung zivilrechtlicher Ansprüche - strafrechtliche Ermittlungsverfahren Güterabwägung Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 9

10 D a t e n s c h u t z Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 10

11 Hinweise zum Datenschutz Datenschutz Datensicherheit Für niedergelassene Ärzte gilt neben der ärztlichen Schweigepflicht auch das Bundesdatenschutzgesetz (BDSG). Dieses regelt die verschiedenen Phasen der Datenverarbeitung und die Anforderungen an die Datensicherheit. Nach 9 BDSG sind technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Anforderungen zum Schutz von personenbezogenen Daten zu gewährleisten. Insbesondere die Anlage zu 9 BDSG, Satz 1( die 10 Gebote ) Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 11

12 Anlage zu 9 BDSG, Satz 1 ( die 10 Gebote ) Zugangskontrolle Datenträgerkontrolle Speicherkontrolle Benutzerkontrolle Zugriffskontrolle Übermittlungskontrolle Eingabekontrolle Auftragskontrolle Transportkontrolle Organisationskontrolle Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 12

13 I. Allgemeiner Datenschutz in der Arztpraxis Empfangsbereich Wartebereich Behandlungsbereich Praxisverwaltung Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 13

14 Empfangsbereich Zutritt zur Praxis nicht unbeaufsichtigt lassen. Schaffung einer ausreichenden Diskretionszone durch organisatorische Maßnahmen und entsprechende Gestaltung der Abläufe in der Praxis. Erhebung der vertraulichen Patientendaten ohne Kenntnisnahme durch andere Patientinnen/Patienten. Diskretion des Praxispersonals auch bei Telefonaten mit Dritten. Stellen Sie Telefaxgeräte und Bildschirme so auf, dass diese nicht von Unbefugten eingesehen werden können. Ablage und Aufbewahrung von Patientenakten vor Zugriff und deren Einsicht durch Unbefugte sicherstellen. Trennung von Empfangsbereich und Wartebereich entsprechend den räumlichen Möglichkeiten Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 14

15 Wartebereich Der Wartebereich sollte vom Empfang und dem Behandlungsbereich so getrennt sein, dass wartende Patientinnen und Patienten keine Informationen über andere Patientinnen und Patienten aufnehmen können Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 15

16 Behandlungsbereich Strikte Trennung von Besprechungs- und Behandlungsräumen; Vertrauliche Patientengespräche sollten immer in geschlossenen Räumen stattfinden. Schutz von Patientendaten in den Behandlungsräumen gegen unbefugte Kenntnisnahme. Behandlungsunterlagen vorhergehender Behandlungen sollten immer sofort an das Vorzimmer/an die Ablage zurückgegeben werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 16

17 Praxisverwaltung ( I ) Schützen Sie Ihre Praxis gegen Einbruch und Diebstahl, ggf. durch eine Alarmanlage, insbesondere die Räume, in denen sich Patientendaten/Abrechnungsdaten und die Praxis-EDV befinden. Schützen Sie vertrauliche Unterlagen in abschließbaren Aktenschränken und achten Sie darauf, dass diese nach Dienstschluss verschlossen werden. Stellen Sie sicher, dass auch das Reinigungspersonal keinen Zugang zu Patientendaten hat (Verpflichtung auf Vertraulichkeit). Achten Sie bei der Entsorgung von Patientendaten (Akten und div. Unterlagen) auf eine sichere Vernichtung. ( Keine Daten in den Hausmüll). Zur Vernichtung von Akten empfiehlt die KBV daher den Einsatz eines Schredders der Sicherheitsstufe 4 der DIN-Norm für geheimzuhaltendes Schriftgut Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 17

18 Praxisverwaltung ( II ) Bei der Versendung von Patientendaten per Fax ist besonders darauf zu achten, dass das Fax den richtigen Empfänger erreicht. Eine vorherige telefonische Fax-Ankündigung, sowie die regelmäßige Überprüfung der programmierten Nummern sollten vorgenommen werden. Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter über ihre Befugnisse und nach der Berufsordnung gesetzlichen Schweigepflicht. Bei der Patientenverwaltung mittels PVS (EDV) sind alle Mitarbeiterinnen und Mitarbeiter auch auf das Datengeheimnis nach 5 BDSG zu verpflichten (im Arbeitsvertrag oder als separate Verpflichtungserklärung). In größeren Arztpraxen, in denen mindestens 9 Arbeitnehmer ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines betrieblichen Datenschutzbeauftragten nach 36 BDSG erforderlich! (evtl. Labore, MVZ, Einrichtungen, größere Gemeinschaftspraxen) Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 18

19 II. Technische Richtlinien

20 EDV in der Arztpraxis Einleitung/Hinweise/Empfehlungen Umgang mit Passwörtern Einsatz von Virenschutz-Programmen Nutzung von Internet Verschlüsselung Datensicherung (Backup) Fernwartung Elektronische Dokumentation und Archivierung Entsorgung von IT-Systemen und Datenträgern Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 20

21 Hinweise und Empfehlungen Die Etablierung und Aufrechterhaltung eines angemessenen IT-Sicherheitsstandes in der ärztlichen Praxis stellt sich aufgrund der stetig steigenden Komplexität der IT- Infrastruktur, wie auch dem gewachsenen Bedürfnis der Ärzte zum Einsatz von elektronischer Datenkommunikation, zunehmend als schwierig dar. Aufgrund des durchgehend erhöhten Schutzbedarfs der Daten und Systeme sind daher auch weitreichende organisatorische wie auch technische Sicherheitsmaßnahmen erforderlich. Da die Umsetzung der technischen Maßnahmen in der Praxis an vielen Stellen IT- Fachwissen erfordert, sollte die Umsetzung durch einen entsprechend erfahrenen IT- Dienstleister erfolgen und dem Arzt durch den Dienstleister auch vertraglich bestätigt werden. Somit kann die Verantwortung für wichtige Komponenten datenschutzrechtlich weitergegeben bzw. durchgereicht werden. Selbstverständlich kann ein technisch versierter Arzt auch selbst IT- Sicherheitsmaßnahmen treffen, deren korrekte Umsetzung er dann aber auch eigenverantwortlich vertreten muss. Bei der Umsetzung unterstützen die IT-Grundschutz-Kataloge des BSI ( Bundesamt für Sicherheit und Informationstechnik ). Darin enthalten sind IT-Hinweise/Konzepte, praktische Umsetzungshilfen, sowie diverse Hilfsmittel ( Checklisten, Muster, etc.) Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 21

22 Passwortschutz Unbefugten ist der Zugang zur EDV, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Die meisten Zugangsschutzverfahren werden durch Passwortabfragen realisiert. Jedes gängige Betriebssystem bietet die Möglichkeit, Tastatur und Bildschirm nach einer Wartezeit oder sofort zu sperren. Die Entsperrung erfolgt dann nach Eingabe des korrekten Passwortes. Neben der sofortigen manuellen Sperrung können auch Bildschirmschoner benutzt werden. Ein häufig angewandter Zeitpunkt ist 5 Minuten nach der letzten Benutzereingabe. Auch in modernen Praxisverwaltungssystemen (PVS) sind zum Schutz der Patientendaten Sicherheitsmechanismen wie Passwortschutz und Verschlüsselung integriert. Diese sind unbedingt zu nutzen und in ihrer höchste Schutzstufe zu betreiben. Unterschiedliche Zugriffsrechte auf die tatsächlich erforderlichen Daten können durch das Passwort begrenzt werden. (Administrator/Personal). Einige Hinweise zur Passwortgestaltung bietet die folgende Folie Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 22

23 Sicherheitsgrundsätze für die Vergabe von Passwörtern Ein Passwort sollte bestimmten Qualitätsanforderungen genügen. Voreingestellte Standard-Passwörter (im PVS) unbedingt ändern. Nicht aus Wörterbüchern, Namen oder persönliche Daten verwenden. Passwörter dürfen nur dem Benutzer bekannt sein. Keine sprichwörtliche Aufbewahrung unter der Tastatur, Zettel am Bildschirm oder in der Schreibtischschublade. Getrennte Aufbewahrungsorte oder verschlossener Umschlag im Tresor. Mindestlänge von Passwörtern sollte acht Stellen betragen. Es ist der gesamte verfügbare Zeichenvorrat zu verwenden. Speichern von Passwörtern auf Funktionstasten ist zu unterlassen. Ein Passwortwechsel sollte regelmäßig durchgeführt werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 23

24 Einsatz von Viren-Schutzprogrammen Auf den in der Arztpraxis verwendeten Rechnern sind aktuelle Virenschutzprogramme unverzichtbar. Über Datenträger oder Internet, sowie über das interne Netz einer Arztpraxis können Computerviren verbreitet werden. Der Einsatz von Virenschutzprogrammen ist auch für Rechner ohne Internetanschluss oder Netzanbindung verpflichtend. Virenschutzprogramme bieten allerdings nur dann effektiven Schutz, wenn sie auf dem neuesten Stand gehalten werden. Sogenannte Updates (Aktualisierungen) sind daher regelmäßig erforderlich. Virenschutzprogramme müssen so konfiguriert werden, dass sie Datenträger und Netze überwachen (IT-Dienstleister/Softwareanbieter). Vor einer Tages- oder Monatssicherung empfiehlt sich ein vollständiges Durchsuchen aller Dateien Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 24

25 Nutzung von Internet Die sicherste Möglichkeit, Patientendaten zu schützen, ist es, wenn man nur mit einem PC ins Internet geht, auf dem keine Patientendaten gespeichert sind und der auch nicht ans interne Praxisnetz angebunden ist! Soweit aber eine Verbindung mit dem Praxisrechner besteht, sollten die Patientendaten auf dem PC verschlüsselt gespeichert werden. Für eine gesicherte Internetanbindung sollte eine hochwertige, regelmäßig gewartete und aktualisierte Firewall verwendet werden. Die Konfiguration der Firewall und des Internetbrowsers sollte von einem Experten vorgenommen werden oder durch einen IT-Sicherheits- Dienstleister überprüft werden. Regelmäßige Sicherheits-Updates für Anti-Viren-Software, Web-Browser, -Programme und Betriebssysteme sollten mit dem IT-Dienstleister (Softwareanbieter) im Rahmen des Soft-und Hardware-Vertrages vereinbart werden. Sichere Nutzung von On-Line-Portalen mit der KV möglich Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 25

26 Verschlüsselung Der Einsatz von Verschlüsselungstechnologien für den Schutz von Sozialdaten bzw. sensiblen Patientendaten ist aus folgenden Gründen daher besonders zu empfehlen bzw. notwendig(!) : Um bei Diebstahl oder Einbruch einen Missbrauch sensibler Daten zu vermeiden (Praxis-PC/Notebook). Bei der Datenfernübertragung (z.b. an Labore, an Krankenhäuser, bei der Fernwartung, On-Line-Abrechnung, DMP, etc.). Bei der Nutzung des Praxis PC in Verbindung mit einer Internetanbindung und Nutzung von Web-Browsern und . Beim Zugang bzw. Nutzung von On-Line-Portalen. Aber auch Abrechnungsdaten auf Diskette/CD sind zu verschlüsseln. (Einsatz des KBV-Kryptomodules ist verpflichtend)! Der IT-Dienstleister bzw. PVS-Hersteller muss geeignete Prozeduren bzw. Maßnahmen für das Schlüsselmanagement vorsehen, so dass sowohl die Sicherheit als auch die Verfügbarkeit gewährleistet werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 26

27 Datensicherung (Backup) Sensitive Daten sowie Geschäftsdaten (z.b. Abrechnungen) müssen durch regelmäßige Datensicherung (Backup) vor Verlust geschützt werden. Ein Backup-Konzept muss erstellt werden und konsequent angewendet werden, d.h. ein regelmäßiges und automatisiertes Sicherungsverfahren). Tägliche Sicherungskopien und eine monatliche und/oder Quartals-Gesamt- Sicherung sind durchzuführen. Eine regelmäßige Verifizierung (Vergleich/Prüfung) sollte sicherstellen, dass das Backup erfolgreich funktioniert und die Daten auch wieder erfolgreich zurückgespielt werden können. Ein sicherer Aufbewahrungsort (Privat/Tresor, etc.) und ein Schutz vor Elementarschäden (Feuer/Wasser/o.Ä.) sollte gegeben sein. Der Einsatz von Verschlüsselungstechnologien wird empfohlen, so dass auch entwendete Backup-Medien für Unbefugte nicht zugänglich sind. Ein Verlust solcher Daten kann im Extremfall die berufliche/geschäftliche Existenz gefährden! Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 27

28 Fernwartung Beachten Sie das Patientengeheimnis, wenn Systemverwaltung und (Fern-) Wartung der EDV durch externe Stellen erfolgt. Beim Einsatz der Fernwartung müssen grundlegende Sicherheitsvorkehrungen getroffen werden, um der Datensicherheit genüge zu tun. Die Fernwartung von EDV-Systemen in Arztpraxen ist dann zulässig, wenn das System die Möglichkeit bietet, dass die einzelnen Maßnahmen durch den Arzt autorisiert und überwacht werden können. Der Auftragnehmer und seine Mitarbeiter müssen sich zur Verschwiegenheit verpflichten. Alle Maßnahmen der Fernwartung müssen protokolliert werden. Autorisierung und Freigabe mittels Passwort darf nur durch den Arzt bzw. den dafür Verantwortlichen (Praxispersonal) erfolgen. Die Fernwartungsdaten dürfen nur verschlüsselt und über eine geschützte Verbindung übermittelt werden. Die Zugriffsrechte des Technikers müssen auf ein Minimum beschränkt werden. Grundsätzlich Testdaten (Testpatienten), nur in begründeten Notfällen (Systemstillstand) dürfen Echtdaten zur Verfügung gestellt werden. Nach Ende der Fernwartung sollte das Passwort geändert werden Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 28

29 Elektronische Dokumentation und Archivierung Soweit das EDV-System die konventionelle Karteikarte bzw. Patientenakte ersetzt, muss es auch die Anforderungen an die ärztliche Dokumentationspflicht erfüllen. Schriftliche Unterlagen haben als Urkunden einen hohen Beweiswert, weil Änderungen, Radierungen und Ergänzungen meist erkannt werden. Dokumentierte ärztliche Aufzeichnungen sind bei potentiellen Streitfällen mit Patienten unverzichtbare Beweismittel. Um eine beweissichere elektronische Dokumentation zu gewährleisten, muss jedes Dokument mit einer qualifizierten elektronischen Signatur versehen werden. Benötigt wird auch ein Zeitstempel, um den Zeitpunkt der Signatur nachweisen zu können. Elektronische Signaturen und Zeitstempel können über ein Dokumenten-Management-System verfügbar gemacht werden. Beachtet werden muss, dass ein einmal signiertes Dokument nicht mehr verändert werden kann, ohne dass die Signatur zerstört wird. Denn nur die qualifizierte elektronische Signatur ist vom Gesetzgeber der Schriftform gleichgestellt worden und bietet somit eine rechtliche Sicherheit. In besonderen Fällen könnte es sinnvoll sein, das Original auf Papier aufzubewahren, auch externe Dokumente und Arztbriefe sollten nicht grundsätzlich vernichtet werden. Eine technische und rechtssichere Lösung sollte durch einen IT-Dienstleister oder durch Ihren Softwareanbieter zu gewährleisten sein Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 29

30 Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 30

31 Entsorgung von IT-Systemen und Datenträgern Auszumusternde Datenträger, wie Diskette, CD-Rom oder bei Vernichtung/Verkauf der Praxis-EDV (Festplatten), müssen unter Beachtung des Datenschutzes fachgerecht unbrauchbar gemacht werden. Dies kann mittels geeigneter Spezial-Software durch mehrfaches Überschreiben bzw. physikalischer Löschungen datenschutzkonform durchgeführt werden. Dies kann auch ein externer IT-Dienstleister oder der Softwareanbieter, unter Beachtung der gesetzlichen und datenschutzrechtlichen Auflagen, im Auftrage des Praxisverantwortlichen übernehmen Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 31

32 Informationen/Literaturverzeichnis/Adressen Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datensicherheit in der Arztpraxis, Bundesärztekammer / KBV, ( Datenschutz.pdf) Leitfaden IT-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik (BSI), ( Technische Richtlinie, Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-TR pdf, ( IT-Grundschutz-Kataloge, Bundesamt für Sicherheit in der Informationstechnik (BSI), ( Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 32

33 Stellv. Datenschutzbeauftragter der KV Berlin Uwe Skaba Tel. : Fortbildungswoche Peter Pfeiffer/Uwe Skaba Seite 33