Rechtliche Aspekte des Datenschutzes in der Praxis

Transkript

1 ?icher: Datensicherheit und Datenschutz im Gesundheitswesen 25. Juni 2014 Rechtliche Aspekte des Datenschutzes in der Praxis Dr. Ursula Widmer Dr. Widmer & Partner, Rechtsanwälte, Bern

2 Rechtliche Aspekte des Datenschutzes in der Praxis Inhaltsübersicht ICT im Spitalbereich Rechtliche Rahmenbedingungen Risiken für den Datenschutz Risikofolgen Risikomanagement als Geschäftsführungsaufgabe Rechtlich erfolgreiches Risikomanagement: Empfehlungen für die Praxis Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 2

3 ICT im Spitalbereich komplexe Systemlandschaft Diagnostische und therapeutische Verfahren (z.b. Computertomographie, Strahlentherapie) Radiologie- und Kardiologie-IS, klinische Arbeitsplatzsysteme Elektronische Bild-Archivierung und -Verteilung (PACS) Elektronische Patientenakte (KIS) Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 3

4 ICT im Spitalbereich komplexe Systemlandschaft Patientenadministration und -abrechnung Elektronischer Rechnungsaustausch Leistungserfassung, Pflege/Stationskommunikation Planungssysteme (PEP, OP, Bettendispo, Agenda) Elektronisches Rezept E-Archiv Telemedizin/Telekonsultation etc. bis über 4000 Applikationen (Universitätsspital) Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 4

5 ICT im Spitalbereich neue Nutzungsformen Komplexität wächst Einsatz mobiler (auch privater) Geräte - «Bring your own device» (Tablets, Smartphones) Zunehmend externe Zugriffe und Vernetzung (Mitarbeitende, ICT-Anbieter, Zuweiser, Patienten, Partnerspitäler) ehealth - Elektronisches Patientendossier Cloud Computing Services Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 5

6 Rechtliche Rahmenbedingungen: Vielzahl von gesetzlichen Regelungen Unübersichtlich und komplex Datenschutzgesetzgebung (Bund / 26 Kantone) - Bearbeitung von Personendaten, z.b. Erhebung, Zugriffsgewährung, Weitergabe, Archivierung etc. BG el. Patientendossier (Botschaft vom , vom Ständerat behandelt) - z.b. zukünftige Zugriffsregelung Kantonale Gesundheitsgesetzgebungen - z.b. Patientenrechtsverordnung Kt. BE Kantonale Vorschriften zum ICT-Einsatz - z.b. Gesetz für die Auslagerung von Informatikdienstleistungen Kt. ZH Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 6

7 Rechtliche Rahmenbedingungen: Vielzahl von gesetzlichen Regelungen Unübersichtlich und komplex Geheimhaltungsvorschriften - Ärztliches Berufsgeheimnis, Amtsgeheimnis, Berufliche Schweigepflicht nach Datenschutzgesetz VO über die Offenbarung des Berufsgeheimnisses im Bereich der medizinischen Forschung BG über genetische Untersuchungen beim Menschen Humanforschungsgesetz Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 7

8 Grundsätze Datenschutz Rechtmässigkeit der Datenbearbeitung - Einwilligung der Betroffenen - Gesetzliche Erlaubnis - Bindung an den expliziten / impliziten Zweck Richtigkeit der Daten Sicherheit Vertraulichkeit Transparenz - Information der Betroffenen - Auskunftsrecht der Betroffenen Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 8

9 Risiken für den Datenschutz? Offenbarung / Weitergabe von Informationen an Nichtberechtigte Zugriff nicht autorisierter Personen Fehlende oder ungenügende Datensicherheit (keine Plausibilisierung, falsche Datenzuordnung, Datenverlust) Nicht-Verfügbarkeit von Daten bei Ausfall / Störung IT-Infrastruktur, der Telekommunikation (z.b. Notfallnummern) Verfälschung, Zerstörung von Daten Kriminelle Energie: Denial of Service Attacken (ddos), Hacking, Viren, Sabotage, Datendiebstahl Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 9

10 Datenweitergabe, Datenverlust Daily Mail, Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 10

11 Datenoffenbarung Associated Press, Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 11

12 Datendiebstahl The Telegraph, Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 12

13 Risikofolgen für das Spital Fehldiagnosen, Fehlbehandlungen Verletzung von Geheimhaltungspflichten Persönlichkeitsverletzungen Vertrauens- und Imageschaden Reputationsschaden Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 13

14 Risikofolgen für das Spital Haftung für Schadenersatz aufgrund - Vertragsverletzung gegenüber Patienten Aufsichtsverfahren Datenschutzbehörde Strafrechtliche Sanktionen, Busse bis zu 5 Mio. - wenn wegen ungenügender Organisation keine strafrechtlich relevante Zurechnung zu einzelnen Personen möglich ist Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 14

15 Risikofolgen für das Spital wsj.com, Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 15

16 Risikofolgen für die verantwortlichen Personen Arbeitsrechtliche Sanktionen - Verweis - Versetzung - (fristlose) Entlassung Schadenersatz gegenüber dem Unternehmen - ICT-Verantwortlicher wegen fehlendem/ungenügendem Risikomanagement - Mitarbeitende wegen unsorgfältiger Aufgabenerfüllung, Verstoss gegen Weisungen/Reglemente Strafrechtliche Verantwortlichkeit, Geldstrafe, Freiheitsstrafe Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 16

17 Fristlose Entlassung Huffington Post, Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 17

18 Rechtlich erfolgreiches Risikomanagement Empfehlungen für die Praxis Risikoidentifikation (Analyse) Risikoabschätzung - Wahrscheinlichkeit des Eintretens - Schädigungspotential / Priorisierung Risikoeinschränkung - Technische Massnahmen - Organisatorische Massnahmen - Versicherungsdeckung - Internes Kontrollsystem (IKS) Art. 728a Abs. 1 Ziff. 3 OR: die Revisionsstelle prüft, ob ein internes Kontrollsystem existiert (ordentliche Revision) - Prüfung / Reporting / Empfehlungen / Verbesserungen Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 18

19 Rechtlich erfolgreiches Risikomanagement Empfehlungen für die Praxis Interne Reglemente / Weisungen (Policies) - Organisationsreglement: Festlegen der Verantwortlichkeiten - Datenschutzreglement: Festlegung der Grundsätze zur Datenbearbeitung - Nutzungs- / Überwachungsreglement: Regelung und Kontrolle der ICT Nutzung umfasst auch die ICT-Sicherheit und Informationssicherheit - Interner Datenschutzverantwortlicher (Datenschutzbeauftragter) - ICT-Sicherheit und Informationssicherheit: Betriebskonzept (u.a.backup + Restore) und Notfallkonzept (= Business Continuity Management) Patientenerklärung Qualifizierte Vertragsgestaltung mit Lieferanten - Vertraulichkeitserklärungen - Service Level Agreements Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 19

20 Rechtlich erfolgreiches Risikomanagement Datenschutzreglement Verankerung im Arbeitsvertrag bzw. Personalreglement Gilt für was? - Patientendaten - Mitarbeiterdaten Was muss festgelegt werden? - Umfang der zulässigen Datenbeschaffung - Erlaubte Nutzungszwecke der Daten Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 20

21 Rechtlich erfolgreiches Risikomanagement Datenschutzreglement (Forts.) Was muss festgelegt werden? - Grundsätze der Zugriffsregelung Berechtigungskonzept: Aufgabenbezogene Zugriffs- und Bearbeitungsmöglichkeiten (Matrix) Sonderfälle: Notfallzugriffe, Berechtigung für Springer (Pflegende auf unterschiedlichen Stationen etc.) - Bekanntgabe von Daten Intern, an Patienten, extern - Aufbewahrung / Archivierung / Löschung Ev. separates Reglement Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 21

22 Rechtlich erfolgreiches Risikomanagement Datenschutzreglement Was muss festgelegt werden? - Datensicherheit Massnahmen, technisch, organisatorisch - Behandlung von Gesuchen betreffend Einsicht in Daten (Patientenakte), Auskunft über die Datenbearbeitung Sperrung der Datenweitergabe, Berichtigung, Löschung - Schulung der Mitarbeitenden - Kontrollmassnahmen laufende Verbesserung Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 22

23 Rechtlich erfolgreiches Risikomanagement ICT-Nutzungsreglement Anwendungsbereich - / Internet / Social Media Plattformen / Dropbox etc. - private Geräte (Smartphones, Tablets) Inhalt - Wer darf was, wo und womit? - Definition erlaubter Nutzungszwecke geschäftlich privat (Unternehmensdaten auf privaten Devices) Minimierung von Risiken durch sicherheitsgefährdendes Verhalten der Mitarbeitenden Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 23

24 Rechtlich erfolgreiches Risikomanagement: ICT-Überwachungsreglement Protokollierung - Welche Daten werden aufgezeichnet, gespeichert, gelöscht Auswertung der Protokollierung - anonym, pseudonym - personenbezogen nur bei Feststellung/Verdacht auf Missbrauch, ansonsten unzulässig Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 24

25 Rechtlich erfolgreiches Risikomanagement ICT-Überwachungsreglement Vorgehen bei Missbrauch - Zuständigkeiten im Auswertungsfall (HR, Vorgesetzter) - Zugriff auf geschäftliche s - Zugriff auf private s Sanktionen - Verweis bis fristlose Entlassung - Strafanzeige Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 25

26 Rechtlich erfolgreiches Risikomanagement Interner Datenschutzverantwortlicher Führt Inventar der Datensammlungen Erkennt Datenschutzrisiken Gibt Support zur Optimierung Bearbeitungsprozesse Führt Kontrollen durch Schult Mitarbeiter Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 26

27 Rechtlich erfolgreiches Risikomanagement Patientenerklärung Einwilligung zur Datenbearbeitung explizit formulieren - Hierzu zwingend notwendig, dass klare Information über bearbeitete Daten und Bearbeitungszweck erfolgt Weiter erwähnen - Dauer der Datenspeicherung - Weitergabe an Dritte ja oder nein Bedingungen für Zugriff durch Patient (z.b. via Evita) regeln Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 27

28 Rechtlich erfolgreiches Risikomanagement Qualifizierte Vertragsgestaltung Datenschutz- und Vertraulichkeitserklärung abschliessen Geheimhaltungspflicht Verbot der Datenweitergabe / Offenlegung Sorgfalt beim Umgang mit Zugriffsmitteln Verbot nicht notwendiger Zugriffe Rückgabe und Löschung der Daten Sanktionen (Geldstrafe) Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 28

29 Rechtlich erfolgreiches Risikomanagement Qualifizierte Vertragsgestaltung Datenbearbeitung durch Service Provider regeln Zweck der Datenbearbeitung Pflicht zur Befolgung von Weisungen des Auftraggebers Geheimhaltungspflicht / Verbot der Datenweitergabe Externer Zugang: Zugriffsschutz IAM-System zum Schutz der Infrastruktur, Applikationen und Daten gegen unberechtigte Zugriffe Logdaten Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 29

30 Rechtlich erfolgreiches Risikomanagement Qualifizierte Vertragsgestaltung Datenbearbeitung durch Service Provider regeln Zertifizierung des Service Providers (z.b. ISO 27001); Befolgung internationaler Standards (z.b. BS Notfallmanagement) Kontroll-Massnahmen (Datenschutz- und Datensicherheits Audits, Penetration Testing) Pflicht zur Rückgabe / Löschung der Daten Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 30

31 Rechtlich erfolgreiches Risikomanagement Qualifizierte Vertragsgestaltung Service Level Agreements (SLAs) Basis für Gewährleistung von Umfang, Qualität und Verfügbarkeit der Services Definition von Serviceparametern Verfügbarkeit Betriebszeiten / Pikettzeiten Reaktions- / Behebungszeiten bei Störungen Incident-Management Konsequenzen bei Nichteinhaltung von Service Levels Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 31

32 Herzlichen Dank für Ihre Aufmerksamkeit Besuchen Sie uns: Dr. Widmer & Partner, Rechtsanwälte Schosshaldenstrasse Bern 31 Tel. +41 (0) , Fax +41 (0) Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 32

33 Dr. Ursula Widmer Dr. Ursula Widmer, Rechtsanwältin Dr. Widmer & Partner Rechtsanwälte Schosshaldenstrasse Bern 31 Tel.: Fax: ursula.widmer@widmer.ch Dr. Ursula Widmer, Rechtsanwältin, studierte Rechtswissenschaften an der Universität Bern. Assistentin am Institut für Privatrecht und Rechtsvergleichung. Dissertation zum Thema «Risikofolgeverteilung bei Informatikprojekten: Haftung für Softwaremängel bei Planung und Realisierung von Informationssystemen». Gründung der auf Informatik-, Internet- und Telekommunikationsrecht spezialisierten Wirtschaftsanwaltskanzlei Dr. Widmer & Partner, Rechtsanwälte, Bern. Lehrbeauftragte für Informatik- und Internetrecht an der Universität Bern sowie Lehrbeauftragte für Recht der Informationssicherheit an der Eidgenössischen Technischen Hochschule Zürich (ETHZ). Ehemaliges Mitglied der Eidgenössischen Datenschutzkommission. Mitglied des Stiftungsrates der Deutschen Stiftung für Recht und Informatik (DSRI). Past Präsidentin der International Technology Law Association (ITechLaw), Präsidentin der Information Security Society Switzerland (ISSS) und Mitglied des Advisory Board des Information Security Forum (ISF). Dr. Widmer & Partner, Rechtsanwälte, Bern; Dr. Ursula Widmer, , Zürich 33