Versorgungsunterstützende Software- und IT-Lösungen in der Klammer des Datenschutzes. 6. Mai 2014

Transkript

1 Betriebswirtschaft Versorgungsunterstützende Software- und IT-Lösungen in der Klammer des Datenschutzes 6. Mai Alle Rechte vorbehalten O.P.P. - Beratung 1

2 Unser Handeln ist getragen von ständigem Lernen, dass uns eine stetige Entwicklung ermöglicht und uns in die Lage versetzt Gelerntes zum Nutzen unserer Kunden anzuwenden. Unsere Philosophie ist den Nutzen für unsere Kunden zu maximieren. Wir erreichen dies durch absoluten Praxisbezug, durch Bereitstellung eines großen Netzwerks und durch echte Handschlagqualität!. Was wir versprechen, halten wir! O.P.P. seit 2002 Die O.P.P. - Beratung wurde gegründet mit dem Fokus auf Organisationsentwicklung Produktivitätsentwicklung Prozessentwicklung Seit mehreren Jahren fokussiert sich die Leistung der O.P.P. auf die zwei Bereiche IT Recht / Ordnungsmäßigkeit und auf den Bereich Effizienz. Mit 2009 ist auch noch der Bereich Rechnungswesen - Dienstleistungen dazugekommen Alle Rechte vorbehalten O.P.P. - Beratung 2

3 Technische Koordination, Innovationsmanagement, Anbieterverhandlungen, Umsetzungsbegleitung, Ordnungsgemäße Dokumentation Nutzen IT-Compliance: Datenschutz, IT-Steuerrecht, Lizenzmanagement; DSG, SigG, UWG, BAO, UStG, BVergG Koordination mit WP, RA & Behörden Betriebswirtschaft Input zur Optimierung von: Finanz-, Organisations- & Planungsprozessen Ressourceneinsatz/ROI, öff. Ausschreibungen Budgetierung & Controlling Einbringung der langjährigen Erfahrung im Bereich: Ordnungsmäßigkeit, Rechnungslegung, IT-Recht, earchive, Workflow, IKS, IT-Sicherheit, Prozessmanagement und als Sachverständige. Effizienzsteigerung Rechtssicherheit Optimierter Prozess Einführungsbegleitung, richtige Systemauswahl und gesamte ordnungsgemäße Dokumentation, Vorbereitung & Koordination eines Prüfgutachtens Alle Rechte vorbehalten O.P.P. - Beratung 6

4 Die Herausforderungen Datenschutz Compliance versus Usability versus Effizienz Datenschutz Alle Rechte vorbehalten O.P.P. - Beratung 7

5 Grundlegende Fakten Die Erbringung von Pflegedienstleistungen ist ohne den Einsatz von Datenverarbeitungssystemen nur noch schwer vorstellbar. Informationen über betreute Personen werden hier ebenso verarbeitet wie die Daten der Pflegenden, sowie jener Personen, die unmittelbar oder unmittelbar zur Erbringung der Gesamtdienstleistung beitragen. Daten werden erhoben, gespeichert, abgefragt, gedruckt, übermittelt und schließlich archiviert und gelöscht. Dabei gilt es einerseits diese Informationen im erforderlichen Ausmaß verfügbar zu halten und andererseits den strengen Bestimmungen des Schutzes personenbezogener Daten zu entsprechen Alle Rechte vorbehalten O.P.P. - Beratung 8

6 Gesetzliche Grundlagen Gesetzliche Bestimmungen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten dienen insbesondere dem Schutz der des Privat- und Familienlebens der betroffenen Personen. Dieser Schutz ist auf grundrechtlicher Ebene durch Art 8 EMRK und Art 7+8 EU Grundrechte-Charta gewährleistet. In der österreichischen Rechtsordnung ist dieser Schutz im Datenschutzgesetz (DSG 2000) verankert, das den allgemeinen Rahmen für die Zulässigkeit der Verarbeitung personenbezogener Daten bildet. Besondere Bestimmungen zum Datenaustausch zwischen Gesundheitsdiensteanbietern sind insbesondere im Gesundheitstelematik-Gesetz (GTelG) und der Gesundheitstelematik- Verordnung (GTelV) geregelt Alle Rechte vorbehalten O.P.P. - Beratung 9

7 Die Herausforderungen - Compliance Zulässigkeit der Verarbeitung ( 7 DSG 2000) Zweck und Inhalt der Datenanwendung müssen von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sein die schutzwürdigen Geheimhaltungsinteressen der Betroffenen dürfen nicht verletzt werden. Datenschutzrechtliche Grundsätze ( 6 DSG 2000) Grundsatz der Fairness und Rechtmäßigkeit Zweckbindungsgrundsatz Sparsamkeitsgrundsatz (Beschränkung des Umfanges) Richtigkeits- und Aktualitätsgrundsatz Grundsatz der zeitlichen Begrenzung Alle Rechte vorbehalten O.P.P. - Beratung 10

8 Die Herausforderungen - Compliance Maßnahmen zur Datensicherheit ( 14 DSG 2000) Für alle Organisationseinheiten die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind Alle Rechte vorbehalten O.P.P. - Beratung 11

9 Die Herausforderungen - Compliance Alle Rechte vorbehalten O.P.P. - Beratung 12

10 Die Herausforderungen - Compliance Meldepflichten Jeder Auftraggeber hat vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzbehörde zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. 17 Abs 1 DSG Genehmigungspflichten Wenn Datenanwendungen sensible Daten enthalten oder in Form eines Informationsverbundsystems durchgeführt werden sollen, ist eine Vorabgenehmigung der Datenschutzbehörde erforderlich. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken (Änderungsmeldung) Alle Rechte vorbehalten O.P.P. - Beratung 13

11 Die Herausforderungen - Compliance Seit ist das Datenverarbeitungsregister öffentlich einsehbar! Alle Rechte vorbehalten O.P.P. - Beratung 14

12 Die Herausforderungen - Usability Alle Rechte vorbehalten O.P.P. - Beratung 15

13 Die Herausforderungen - Usability Sachverhalt Es besteht der begründete Verdacht, dass in Bezug auf die EDVgestützte Patientendokumentation P[ ]dok die gemäß 14 DSG 2000 vorgeschriebenen Datensicherheitsmaßnahmen nicht oder nicht gänzlich eingehalten werden. Insbesondere besteht der Verdacht, dass der Zugang zu Patientendaten durch diverse Personen auch ohne konkreten Anlass möglich ist. Das KH gibt an, dass der Zugang zu P[ ]dok Mitarbeitern nur mittels eines individuellen Zugangsschlüssels eingeräumt wird, sämtliche Zugriffe protokolliert werden, P[ ]dok-arbeitsplätze nicht öffentlich zugänglich sind und per Dienstanweisung und Verschwiegenheitsverpflichtung festgelegt ist, dass Zugriffe nur anlass- und zweckbezogen erfolgen, wobei die Einhaltung dieser Dienstanweisung stichprobenartig erfolgt. Es wird jedoch auch ausgeführt, dass Ärzte, Therapeuten und Pflegekräfte grundsätzlich dieselben technischen Zugriffsmöglichkeiten haben und dass es trotz bestehender Dienstanweisungen drei dokumentierte Fälle gibt, in welchen ein Zugriff ohne sachlichen Grund für eine Einsichtnahme erfolgte Alle Rechte vorbehalten O.P.P. - Beratung 16

14 Die Herausforderungen - Usability Erläuterungen Eine Verletzung im Grundrecht auf Datenschutz wird immer dann vorliegen, wenn unbefugt oder ohne konkreten Anlass auf Patientendaten zugegriffen wird. Bei einem Krankenhaus ist in Bezug auf Datensicherheitsmaßnahmen und auf die Möglichkeit von deren Ausgestaltung ein strenger Maßstab anzulegen, zumal es sich bei den in P[ ]dok gespeicherten Daten um sensible Daten handelt. Für die Datenschutzkommission steht daher fest, dass der Schutz von Patientendaten vor unbefugten und grundlosen Zugriffen mittels Dienstanweisung sowie stichprobenartiger Kontrolle von deren Einhaltung nicht ausreichend gewährleistet ist. Empfehlung Es wird daher empfohlen, die Zugriffsberechtigungen technisch so zu gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind, sodass ein unbefugter und grundloser Zugriff auf Patientendaten nicht möglich ist Alle Rechte vorbehalten O.P.P. - Beratung 17

15 Die Herausforderungen - Usability Das DSG fordert eine nachweisliche Belehrung aller MitarbeiterInnen. Eindeutige Begriffe und klare Verhaltensregeln zum Umgang mit personenbezogenen Daten gewährleisten die Einhaltung betrieblicher Vorgaben und gesetzlicher Bestimmungen. Als sehr zweckdienlich hat sich hierbei elearning erweisen. Folgen Sie dem Link, um ein Demovideo zum Thema Datenschutz im Gesundheitsbereich mittels elearning zu sehen: Alle Rechte vorbehalten O.P.P. - Beratung 18

16 Die Herausforderungen - Effizienz Useability Sicherheit Aufwand Kosten Die Faktoren Aufwand/Kosten, Usability und Sicherheit müssen jeweils in einem akzeptablen (ausgewogenen) Ausmaß erreicht werden. Durch die gegenseitige Wechselwirkung beeinflusst ein zu wenig eines einzelnen Faktors das angestrebte Schutzziel Alle Rechte vorbehalten O.P.P. - Beratung 19

17 Die Herausforderungen - Effizienz Wirksamer Datenschutz erfordert Benutzerakzeptanz! Erzwungene Neuanmeldungen bzw. Benutzerwechsel kosten Zeit! Alle Rechte vorbehalten O.P.P. - Beratung 20

18 Die Herausforderungen - Effizienz Wirksamer Datenschutz erfordert Benutzerakzeptanz! Erzwungene Neuanmeldungen bzw. Benutzerwechsel kosten Zeit! Smarte Prozesse entwerfen und diese dann in IT-Lösungen gießen! Nur die tatsächlichen Risiken managen (den Rest beobachten) Denn - bezahlbare Compliance ist ein MUSS! Alle Rechte vorbehalten O.P.P. - Beratung 21

19 Lösungsansätze Einfache, aber strukturierte Analysen Vorgehensmodell 1. Systematische Erfassung aller IT-Anwendungen (mit grober Beschreibung von Inhalt und Zweck, z.b. mit O.P.P. - Tool) 2. Ermittlung, welche dieser IT-Anwendungen personenbezogene Daten enthalten (Eliminationsverfahren) 3. Detailliertere inhaltliche Analyse der verbleibenden IT-Anwendungen (welche Betroffenen, sensible Daten J/N, Übermittlungen, Veröffentlichungen, Video) 4. Sinnvolle Zusammenfassung der IT-Anwendungen zu Datenanwendungen (mit gleichem Zweck und Inhalt) 5. Abgleich mit den bestehenden DVR-Meldungen 6. Ermittlung der aktuellen Melde- und Genehmigungspflichten 7. Vorbereitung der Meldungen (z.b. mit O.P.P. - Tool) 8. Meldung der Datenanwendungen Alle Rechte vorbehalten O.P.P. - Beratung 22

20 Lösungsansätze Vorausschauende Planung Compliance beachten, aber sich auch nicht zu Tode fürchten Einführung IT- und Datenschutzbeirat (kurz IDB) Ziele und Zweck des IDB: Beirat zur Sicherstellung der Ordnungsmäßigkeit und Effizienz von Informations- und Kommunikationstechnik Prozessen, in der gesamten Organisation Urheberrecht zum IT- und Datenschutzbeirat und IDB liegt bei der O.P.P. Alle Rechte vorbehalten O.P.P. - Beratung 23

21 Satzung IDB (Aufgaben/Rechte/Pflichten) Kommunikation der aktuellen IKT Compliance* Anforderungen an den IDB und die Mitglieder tragen diese Informationen in Ihre Bereiche Die Bereiche kommunizieren alle IKT-relevanten Themen an den IDB Alle IKT Projekte sind dem IDB bekannt zu geben und durch diesen hinsichtlich der IKT-Compliance*-Anforderungen frei zu geben. Jede Kommunikation zu Dritten ist hinsichtlich IKT-Compliance*-Anforderungen zu prüfen und gegebenenfalls mit dem IDB abzustimmen; IDB hat Vetorecht. Neben diesen Statuten sind bei Unklarheiten die Regeln eines Aufsichtsrates anzuwenden. Unterlagen werden 14 Tage vor jedem großen IDB an alle IDB-Mitglieder versendet Es wird eine Anwesenheitsliste geführt Mitglieder bleiben bis zur Abberufung durch den IDB-Vorsitzenden oder die Entscheidergruppe oder Rücktritt auf unbestimmte Zeit bestellt. Anregungen für Gäste und Agendapunkte sind über den Vorsitzenden einzubringen Generell alle Aufgaben eines betrieblichen Datenschutzbeauftragten *Compliance. bezeichnet die Einhaltung von Verhaltensmaßregeln, Gesetzten und Richtlinien und den Nachweis darüber Urheberrecht zum IT- und Datenschutzbeirat und IDB liegt bei der O.P.P Alle Rechte vorbehalten O.P.P. - Beratung 24

22 Mitglieder des IDB (IT & Datenschutzbeirat) Entscheidergruppe (GF, ÄD, PD, VD): GF (verantwortlich für IT eventuell Risikomanagment) Pflegeleitung, Med. Leitung Vorsitzender (Aufgaben: zentraler Ansprechpartner, Sitzungsleiter, Anwesenheitsliste): Anfangs zumeist ein Externer Spezialist 2 Stellvertreter: CIO COO Schriftführer + Stv. (Protokollführung, Vorabstimmung, Aussendung): Finanz QS weitere Mitglieder aus: IT Organisation Rechtsabteilung Leitender MA aus den Töchterbetrieben: Urheberrecht zum IT- und Datenschutzbeirat und IDB liegt bei der O.P.P Alle Rechte vorbehalten O.P.P. - Beratung 25

23 Conclusio Datenschutz nicht unterschätzen Alle Beteiligten einbinden Anwender IT Hersteller Führung Prozess etablieren und in den Arbeitsallteig einbinden Kosten beachten... aber, auch nicht zu Tode fürchten! Alle Rechte vorbehalten O.P.P. - Beratung 26

24 Markus Oman Mag. Ing. Markus Oman, BiBu, CSE Allgemein beeideter und gerichtlich zertifizierter Sachverständiger Tel. +43 (699) BERATUNGSSCHWERPUNKTE Datenschutz im betrieblichen Umfeld Ordnungsmäßigkeit von Systemen (erechnung, earchiv, Workflow, esignatur) Rechnungswesennahe Prozesse und IT-Systeme, GRC Managementberatung, Informationsmanagement Sanierung, Produktivitätsoptimierung, Geschäftsprozessmanagement Forensic (Aufdeckung und Vorbeugung wirtschaftskrimineller Handlungen) BERUFLICHER WERDEGANG O.P.P. Beratung (gegründet 2002), Geschäftsführender Gesellschafter Deloitte Linz & Wien, Geschäftsführer KPMG Alpen-Treuhand GmbH, Linz, Prokurist und Leitender Senior Manager HNC Consulting GmbH (IDS-Scheer), Linz, Leiter Consulting & Training Czipin & Proudfoot Produktivitätsberatung GmbH, Senior Berater AUSBILDUNG Studium der Betriebswirtschaftslehre an der Universität Linz Allgemein beeideter und gerichtlich zertifizierter Sachverständiger für das Fachgebiet der Betriebsberatung Wirtschaftstreuhänder (SBH - Selbständiger Buchhalter) CSE - CERTIFIED SUPERVISORY EXPERT, ist eine Zertifizierung von speziell für Aufsichtsräte und Stiftungsvorstände relevanten Erfahrungen, Kenntnissen und Fähigkeiten Alle Rechte vorbehalten O.P.P. - Beratung 27

25 Siegfried Gruber Mag. jur. Siegfried Gruber, CISM, CISA IT Recht Tel. +43 (650) BERATUNGSSCHWERPUNKTE IT-Recht (Datenschutz, erechnung, earchiv, esignatur, Compliance) Urheberrecht, Markenrecht Informationssicherheit, Risikomanagement Managementberatung, Prozess- und Qualitätsmanagement Ausbilder im Lehrgang zertifizierter Datenschutzbeauftragter BERUFLICHER WERDEGANG selbständiger Unternehmensberater Cryptas IT Security GmbH,Wien, Sales Executive AutstiaCard GmbH Wien, Sales Manager International ID&Industry BEKO Ing. P. Kotauczek GmbH, Wien, Leitung Business Development AUSBILDUNG Studium der Rechtswissenschaften an der Universität Linz Incite Akademie / geprüfter Unternehmensberater Certified Information Security Manager (CISM) ISO Information Security Auditor (CISA) Alle Rechte vorbehalten O.P.P. - Beratung 28