Datenschutz im Krankenhaus. TÜV SÜD Sec-IT GmbH

Transkript

1 Datenschutz im Krankenhaus Slide 1

2 Ihre Ansprechpartner für Datenschutz und Datensicherheit Kontaktdaten: Wolf Heidemann TÜV SÜD Sec-IT GmbH Telefon Kontaktdaten: Marcel Mangel TÜV SÜD Sec-IT GmbH Telefon TÜV SÜD Sec-IT GmbH Slide 2

3 Agenda Vorstellung TÜV SÜD Sec-IT Der Paragraphendschungel Die wichtigsten Patientenrechte Aufbewahrungsfristen Aktuelles aus der Praxis IT-Penetrationstest Slide 4

4 Prüf- und Beratungsleistungen Externer Datenschutzbeauftragter Datenschutzcheck Geprüfte Auftragsdatenverarbeitung Ab 10 Mitarbeiter müssen Unternehmen einen Datenschutzbeauftragten bestellen. TÜV SÜD Experten übernehmen diese Rolle und schaffen damit Vertrauen bei Kunden und Partnern. Datenschutz ist keine Option, sondern ein gesetzliche Pflicht. TÜV SÜD überprüft die Wirksamkeit der Datenschutzorganisation von Unternehmen und zeigt Optimierungspotenziale auf. TÜV SÜD überprüft die Datenverarbeitung von Dritten Dienstleistern im Auftrag eines Unternehmens. Damit unterstützt TÜV SÜD Unternehmen bzgl. Ihrer gesetzlichen Pflicht zur Prüfung dieser Dienstleister. TÜV SÜD Sec-IT GmbH Folie 7

5 Prüf- und Beratungsleistungen IT-Penetrationstests IT-Schwachstellen-Scans Website-Checks Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern Risikoabschätzung für identifizierte Sicherheitslücken Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit Ableitung konkreter Verbesserungspotenziale TÜV SÜD Sec-IT GmbH Folie 8

6 Referenzen im Bereich Gesundheitswesen TÜV SÜD Sec-IT GmbH Folie 9

7 Lotse durch den Paragraphendschungel Prinzipien des Datenschutzrechts (BDSG und EU DS-GVO) Verbot mit Erlaubnisvorbehalt Zweckbindung Datensparsamkeit Transparenz TÜV SÜD Sec-IT GmbH Slide 10

8 Lotse durch den Paragraphendschungel Auswahl einiger relevanter Spezialgesetze Infektionsschutzgesetz Medizinproduktegesetz Röntgenverordnung Strahlenschutzverordnung Arzneimittelgesetz, Betäubungsmittelgesetz Berufsspezifische Vorschriften Berufsordnungen für Ärzte, Psychotherapeuten Ergotherapeutengesetz TÜV SÜD Sec-IT GmbH Slide 11

9 Lotse durch den Paragraphendschungel Krankenhausspezifische Vorschriften Krankenhausgesetze der Länder (falls vorhanden, z. B. in Bayern, Hessen) Regelungen aus den Sozialgesetzbüchern SGB V (Vorschriften zu Offenbarungspflichten von Patientendaten z. B. im Zusammenhang der Leistungsabrechnung) Sonstige Regelungen AGG, ArbSchG, BDSG Handelsgesetzbuch, Abgabenordnung BGB, GG Telemediengesetz, Telekommunikationsgesetz, IT Sicherheitsgesetz Vorgaben aus dem EU-Recht Hinweise auf die EU-DSGVO TÜV SÜD Sec-IT GmbH Slide 12

10 Lotse durch den Paragraphendschungel Vorgaben hinsichtlich Zeugnisverweigerung Zeugnisverweigerungsrecht in Straf- und Zivilprozessen 53 Abs. 1 Nr. 3 StPO und 383 Abs. 1 Nr. 6 ZPO) Vorgaben aus dem Strafrecht (StGB) 203 StGB Verletzung von Privatgeheimnissen 34 StGB rechtfertigender Notstand 138 StGB Nichtanzeige geplanter Straftaten Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) TÜV SÜD Sec-IT GmbH Slide 13

11 Patientenrechtegesetz Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (PRG Patientenrechtegesetz) Februar 2013 in Kraft getreten Ziel: - wesentlichen Beitrag zu mehr Transparenz und Rechtssicherheit - Bündelung der bis dato verstreuten Patientenrechte Änderung wichtiger Gesetze (u.a. Bürgerliches Gesetzbuch, Sozialgesetzbuch V, Krankenhausfinanzierungsgesetz, Bundesärzteordnung) Slide 15

12 Patientenrechtegesetz Einwilligung "Vor der Durchführung einer medizinischen Maßnahme, insbesondere eines Eingriffs in den Körper oder die Gesundheit, ist der Behandelnde verpflichtet, die Einwilligung des Patienten einzuholen." Aufklärungspflichten "Dem Patienten sind Abschriften von Unterlagen, die er im Zusammenhang mit der Aufklärung oder Einwilligung unterzeichnet hat, auszuhändigen." Slide 16

13 Patientenrechtegesetz Regelungen im Bundesdatenschutzgesetz (BDSG) Einwilligung nach dem Bundesdatenschutzgesetz: 4a BDSG (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. Slide 17

14 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Einwilligung nach der EU-DSGVO Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; ( ) Slide 18

15 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Artikel 7 Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Slide 19

16 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Neu: Einwilligungsvoraussetzungen des Kindes Vollendung des 16. Lebensjahres erforderlich Oder Zustimmung der Eltern für die Datenverarbeitung Slide 20

17 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Sensible Daten nach der EU-DSGVO: rassische und ethnische Herkunft politischen Meinung religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit hervorgehen Gesundheitsdaten Daten zum Sexualleben und der sexuellen Ausrichtung genetische und biometrischen Daten Slide 21

18 Patientenrechtegesetz Einsichtnahme in die Patientenakte "Dem Patienten ist auf Verlangen unverzüglich Einsicht in die ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische oder sonstige erhebliche Rechte Dritter entgegenstehen. Die Ablehnung der Einsichtnahme ist zu begründen. " Slide 22

19 Aufbewahrungsfristen Art der Daten Frist Rechtsgrundlage Aufzeichnungen der Messergebnisse zu überwachender Personen Aufzeichnungen über Röntgenbehandlung Röntgenbilder und Aufzeichnungen von Röntgenuntersuchungen. Die 10-jährige Aufbewahrungsfrist beginnt erst ab dem 18. Lebensjahr bei Patienten, so dass alle Röntgenbilder von Kindern und Jugendlichen mindestens bis zur Vollendung des 28. Lebensjahres aufbewahrt werden müssen. Mind. 30 Jahre nach Beschäftigungsende 30 Jahre nach der letzten Behandlung 10 Jahre bzw. bis Vollendung des 28. Lebensjahres 42 Abs. 1 StrahlenschutzVO 28 Abs. 3 S. 1 RöntgenVO 28 Abs. 3 S. 3 RöntgenVO TÜV SÜD Sec-IT GmbH Slide 23

20 Aufbewahrungsfristen Art der Daten Frist Rechtsgrundlage Aufzeichnung einschl. EDV-erfasster Daten bei Anwendung von Blutprodukten und von genetisch hergestellten Plasmaproteinen zur Behandlung von Hämostasestörungen Ärztliche Aufzeichnungen Arbeitsunfähigkeitsbescheinigungen (Durchschlag Muster 1d, der vom Arzt aufzubewahren ist) Mind. 15 Jahre, ggf. bis 30 Jahre, danach nur anonymisiert Mind. 10 Jahre nach Abschluss der Behandlung, ggf. Aufbewahrungsfrist anderer Vorschriften zu beachten (RöV) Mind. 12 Monate 14 Abs. 3 Transfusionsgesetz 57 Abs. 2 Bundesmantelvertrag-Ärzte (BMV-Ä) KVB Bayern TÜV SÜD Sec-IT GmbH Slide 24

21 Aktuelles aus der Praxis Online-Videosprechstunde, Quelle: TK aktuell, Ausgabe 01/2016, Seite 4 Slide 25

22 Aktuelles Online-Kontaktformular Auswirkungen IT-Sicherheitsgesetz: 13 Abs. 7 TMG Pflichten des Diensteanbieters Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Slide 26

23 Aktuelles Online-Kontaktformular Folge: Verstärkte Prüfung von Kontaktformularen auf Websites durch die Aufsichtsbehörden Nicht relevant: ob Wahl- oder Pflichtfeld Entscheidend: Übertragung von personenbezogenen Daten Darüber hinaus zu beachten: Grundsatz der Datensparsamkeit! Ist IHRE Website angreifbar? Slide 27

24 Prüf- und Beratungsleistungen IT-Penetrationstests IT-Schwachstellen-Scans Website-Checks Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern Risikoabschätzung für identifizierte Sicherheitslücken Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit Ableitung konkreter Verbesserungspotenziale TÜV SÜD Sec-IT GmbH Folie 28