Austausch von Gesundheitsdaten

Transkript

1 ??? Austausch von Gesundheitsdaten Datenschutzrechtliche Betrachtungen zum Einsatz von IHE XDS Dr. Bernd Schütze TELEMED Nationales Forum für Gesundheitstelematik und Telemedizin

2 Agenda Abgrenzung Was ist das eigentlich Datenschutz? Versuch einer Begriffserklärung Datenschutz: rechtliche Grundlagen Umsetzung datenschutzrechtlicher Anforderungen

3 Abgrenzung Datenschutz wird durch die Umsetzung von organisatorischen und technischen Maßnahmen erzielt. Technische Maßnahmen alleine können niemals datenschutzrechtlichen Anforderungen genügen. Dieser Vortrag beschäftigt sich alleine mit den technischen Maßnahmen, denn etwas anderes kann mit technischen Mitteln wie IHE XDS nicht umgesetzt werden. D.h. jede Implementierung einer Datenaustauschplattform mittels IHE XDS muss von organisatorischen Maßnahmen flankiert werden.

4 Was ist das eigentlich Datenschutz? Die Grundlage des Datenschutzes Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt. (3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht. Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.

5 Was ist das eigentlich Datenschutz? Die Grundlage des Datenschutzes Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen unveräußerlichen Menschenrechten als Andere Grundlage jeder Artikel menschlichen desgemeinschaft, Grundgesetzes des Friedens und sind der Gerechtigkeit nachrangig. in der Welt. (3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht. D.h. beispielsweise Art. 5 Meinungsfreiheit, Freiheit Lehre und Forschung Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben Art. und 10körperliche Briefgeheimnis Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden. sind bzgl. Art. 1 und Art. 2 GG nachrangig.

6 Also: Was ist Datenschutz? 1. Datenschutz ǂ Schutz der Daten 2. Datenschutz = Schutz der Freiheit einer Person, selbst zu entscheiden, was mit ihren/seinen Daten geschieht

7 Datenschutz = Personenschutz Die Person soll selbst entscheiden, was mit ihren Daten geschieht Datenschutz ist überall dort vorhanden, wo eine asymmetrische Machtbeziehung zwischen Personen und Organisationen existiert: Öffentliche Verwaltung und Bürger Private Unternehmen und Kunden Patienten Arbeitgeber und Arbeitnehmer Praxen, Krankenhäuser und Patienten Institute, Gemeinschaften und Mandanten Wissenschaftsorganisationen und Forschungsobjekte (wenn diese Menschen darstellen) Verein und Mitglieder Schule und Schüler

8 Datenschutz: Rechtliche Grundlagen Bundesrecht - Bundesdatenschutzgesetz (BDSG) - Telekommunikationsgesetz (TKG) - Telemediengesetz (TMG) - Signaturgesetz (SigG) - Verordnung zur elektronischen Signatur (SigV) - Mediendienstestaatsvertrag (MDStV) Landesrecht (z.b. NRW) - Archivgesetz (ArchivG) - Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz (AG G 10 NW) - Berufsordnung der Ärztekammer Westfalen-Lippe - Berufsordnung für die nordrheinischen Ärztinnen und Ärzte - Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein - Berufsordnung für Apothekerinnen und Apotheker derapothekerkammer Westfalen-Lippe - Datenschutzgesetz (DSG NRW) - Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG) - Gesetz über den Feuerschutz und die Hilfeleistung - Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG) - Gesetz über Tageseinrichtungen für Kinder (GTK) - Gesundheitsdatenschutzgesetz (GDSG NW) - Gutachterausschussverordnung (GAVO NRW) - Heilberufsgesetz (HeilBerG) - Hochschulgesetz (HG) - Krankenhausgesetz (KHG NRW) - Meldedatenübermittlungsverordnung (MeldDÜV NRW) - Meldegesetz (MG NRW) - Sicherheitsüberprüfungsgesetz (SÜG NRW) - Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW) EU - Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr - Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie) - Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) - Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten - Richtlinie 2009/136/EG ( Cookie -Richtlinie) Kirchenrecht - Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) - Verordnung über die in das Gemeindeverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen - Verordnung über den automatisierten zwischenkirchlichen Datenaustausch - Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der Vereinigten Evangelisch-Lutherischen Kirche Deutschlands - Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche - Anordnung über das kirchliche Meldewesen (KMAO) für Bistum - Anordnung über den kirchlichen Datenschutz (KDO) für Bistum - Durchführungsverordnung zur KDO (KDO-DVO) Medizinisches Umfeld - Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO) 9 Abs. 1 Schweigepflicht des Arztes - Strafprozessordnung (StPO) 53 Ab2. 1 Zeugnisverweigerungsrecht 97 Abs.1 Beschlagnahmeverbot 103 Abs.1 eingeschränktes Durchsuchungsrecht für Arztpraxen - Strafgesetzbuches (StGB) 203 Abs c Ärztliche Schweigepflicht - Zivilprozessordnung (ZPO) 383 Zeugnisverweigerung aus persönlichen Gründen - Sozialgesetzbuch V (SGB V) 73 Kassenärztliche Vereinigung 140a Integrierte Versorgung

9 Datenschutz im Kirchen- u. Landesrecht = 23 Gesetzgeber! 1. Baden-Württemberg 2. Bayern 3. Berlin 4. Brandenburg 5. Bremen 6. Hamburg 7. Hessen 8. Mecklenburg Vorpommern 9. Niedersachsen 10. Nordrhein-Westfalen 11. Rheinland-Pfalz 12. Saarland 13. Sachsen 14. Sachsen-Anhalt 15. Schleswig-Holstein 16. Thüringen Evangelische Kirche 1. Evang. Kirchenrecht Katholische Kirche 1. Erzbistum Berlin 2. Erzbistum Hamburg 3. Bistum Hildesheim 4. Bistum Magdeburg 5. Bistum Osnabrück 6. Offizialat Vechta (Oldenburgischen Teil des Bistums Münster)

10 Datenschutzrecht im Rechtssystem EU Europäische Grundrechte-Charta Datenschutz-Richtlinie Wirkung über Umsetzung in deutsche Gesetze Datenschutz-Verordnung (derzeit im Entwurf, sie würde unmittelbar gelten und deutsches Recht ersetzen) Bundesdatenschutzgesetz (BDSG) Privatpersonen Privatwirtschaft Bundesbehörden Kirchliche Datenschutzgesetze Einrichtungen der evang. und kath. Kirche Landesdatenschutzgesetze öffentliche Verwaltung in Land und Kommunen Spezialgesetze (Vorrang vor allg. Gesetzen) TeleMedienGesetz TeleKommunikationsGesetz Gesundheitsdatenschutz Hochschulgesetz SGB, AO, Polizeigesetz, Passgesetz, Personalausweisgesetz, Aufenthaltsgesetz, LandesMeldeGesetz, Landesverwaltungsgsetz, Rechtmäßigkeit der Datenverarbeitung Gesetzliche Grundlagen Einwilligung Grundsatz der Zweckbindung Grundsatz der Erforderlichkeit Grundsatz der Datenvermeidung und Datensparsamkeit Grundsatz der Transparenz Grundsatz der klaren Verantwortlichkeiten Grundsatz der Kontrolle Grundsatz der Gewährleistung der Betroffenenrechte Verbot der Profilbildung Verbot der Datensammlung auf Vorrat Verbot der automatisierten Einzelentscheidung Nutzung pseudonymisierter oder anonymisierter Daten Verpflichtung zum Schutz der Daten

11 Datenschutz: technische Maßnahmen Anforderungen: 1) Rechtmäßigkeit der Datenverarbeitung 2) Grundsatz der Zweckbindung 3) Grundsatz der Erforderlichkeit 4) Grundsatz der Datenvermeidung und Datensparsamkeit 5) Grundsatz der Transparenz 6) Grundsatz der klaren Verantwortlichkeiten 7) Grundsatz der Kontrolle 8) Grundsatz der Gewährleistung der Betroffenenrechte 9) Verpflichtung zum Schutz der Daten Abbildung: 1) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe 2) - (organisatorisch) 3) - (organisatorisch) 4) - (organisatorisch) 5) Protokollierung: wer hat wann welche Daten (wozu) genutzt bzw. an wen weitergegeben 6) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe 7) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe sowie Protokollierung 8) Auskunft (Protokollierung), Berichtigung falscher Daten, Löschen 9) - (organisatorisch)

12 Datenschutz: technische Maßnahmen Anforderungen: 1) Rechtmäßigkeit der Datenverarbeitung 2) Grundsatz der Zweckbindung 3) Grundsatz der Erforderlichkeit 4) Grundsatz der Datenvermeidung und Datensparsamkeit 5) Grundsatz der Transparenz 6) Grundsatz Anwenders klaren Verantwortlichkeiten 7) Grundsatz der Kontrolle 8) Grundsatz der Gewährleistung der Betroffenenrechte 5. Löschen von Daten 9) Verpflichtung zum Schutz der Daten Abbildung: 1) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe 2) - (organisatorisch) 3) - (organisatorisch) 4) - (organisatorisch) 5) Protokollierung: wer hat wann welche Daten (wozu) genutzt bzw. an wen weitergegeben 6) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe 7) Abbildung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe sowie Protokollierung 8) Auskunft (Protokollierung), Berichtigung falscher Daten, Löschen 9) - (organisatorisch) D.h. technische Maßnahmen sind insbesondere: 1. Die Abbildung des Berechtigungskonzeptes 2. Durchsetzung des Berechtigungskonzeptes D.h. die Verhinderung jeglicher Datennutzung (lesen, schreiben, ändern, löschen) außerhalb der Berechtigung des jeweiligen 3. Protokollierung der Datenzugriffe 4. Korrektur falscher Dateneinträge

13 Datenschutz in einer Patientenakte: Nutzung von Normen und Standards IHE Cross-Enterprise Document Sharing (XDS) Patient Identifier Cross-referencing (PIX) Patient Identifier Cross-referencing HL7 V3 (PIXV3) Patient Demographics Query (PDQ) Patient Demographics Query HL7 V3 (PDQV3) Normung / DIN ISO Medizinische Informatik. Anforderungen an die Architektur einer elektronischen Gesundheitsakte DIN CEN ISO Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA- Systemen ISO Archivierung elektronischer Gesundheitsakten, Teil 1: Prinzipien und Anforderungen ISO Archivierung elektronischer Gesundheitsakten, - Teil 2: Leitlinien DIN EN ISO Funktionales Modell für ein elektronisches Gesundheitsaktensystem (EHRS FM) ISO/TR Elektronische Gesundheitsakte - Definition, Anwendungsbereich und Kontext

14 Berechtigungskonzept Standards im Gesundheitswesen IHE Enterprise User Authentication (EUA) Basic Patient Privacy Consents (BPPC) Normung / DIN DIN EN ISO Privilegienmanagement und Zugriffssteuerung, Teil 1: Übersicht und Policy- Management DIN EN ISO Privilegienmanagement und Zugriffssteuerung, Teil 2: Formale Modelle DIN EN ISO Privilegienmanagement und Zugriffssteuerung, - Teil 3: Implementierungen ISO/IEC Sicherheitsverfahren - Rahmenwerk für Identitätsmanagement, Teil 1: Terminologie und Konzept ISO/TS Funktionelle und strukturelle Rollen ISO/IEC Security techniques - Privacy framework ISO/IEC Security techniques - Privacy architecture framework ISO/IEC Security techniques - A framework for access management

15 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 Zieldefinition Definitionen, z.b. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.b.

16 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 Zieldefinition Definitionen, z.b. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.b.

17 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.b. Person, die etwas ver- oder vorschreibt Unterzeichner Darstellung von strukturellen Rollen, z.b. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

18 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.b. Person, die etwas ver- oder vorschreibt Unterzeichner Darstellung von strukturellen Rollen, z.b. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

19 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 c. Teil 3 Umgang mit Zugriffssteuerungsinstrumenten (ACI) Initiator-ACI, Benutzer-ACI Ziel-ACI Aktions-ACI Kontextuelle-ACI Infrastrukturdienste X.509-basierte Zertifikatsspezifikationen XACML-basierte Rollenzuweisung

20 Berechtigungskonzept und IHE XDS Abbildung der Einverständniserklärung durch IHE Profil Basic Patient Privacy Consents (BPPC) Entsprechend BPPC wird entschieden, wer auf welche Dokumente zugreifen darf BPPC verweist dabei auf vordefinierte Datenschutzrichtlinien (Privacy Policies) Zu einem Dokument können mehrere BPPC-Policies vorhanden sein BPPC schützt die in IHE XDS abgelegten Dokumente zu einem Patienten Je fein-ganularer die Berechtigungsstruktur ist, desto schwieriger wird es, diese mittels BPPC umzusetzen (dann evtl. XACML engine nutzen * ) Dass ein bestimmter Patient in der XDS-Struktur vorhanden ist, ist von jedem XDS-Client abfragbar Hier muss der Patient entsprechend aufgeklärt werden (organisatorische Maßnahme), denn allein die Tatsache, dass ein Mensch Patient ist, ist aus rechtlicher Sicht ein schützenswertes Gesundheitsdatum. * IHE-XACML Binding:

21 Protokollierung Standards im Gesundheitswesen DICOM Supplement 95 Audit Trail Messages (2009): Grundlage von IHE ATNA

22 Protokollierung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Seit Juni 2013 Status Deutsche Norm (vormals mehrere Jahre Vor-Norm ) Grundlage war DICOM Supplement 95 sowie IHE ATNA Definiert Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

23 Protokollierung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen Anforderung, aus der Beziehung zur Gesundheitsversorgung resultierender berufsethischer Verantwortung nachzukommen Erstellung einer Zugriffsleitlinie Eindeutige Identifikation der Benutzer von Informationssystemen Benutzerrollen müssen klar definiert und dem Benutzer eindeutig zugewiesen werden Sichere Auditeinträge entsprechend ISO 27799:2008 Verwendung von Auditdaten Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Ethischer oder rechtlicher Aktionsnachweis von Gesundheitsdienstleistern Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

24 Protokollierung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zu den Ereignistypen und deren Inhalten Zugriffereignisse auf persönliche Gesundheitsinformationen Abfrageereignisse zu den persönlichen Gesundheitsinformationen Einzelheiten zum Auditeintrag Entspricht Vorgaben von RFC 3881 und DICOM Folgt den Empfehlungen von IHE, genauer ATNA Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

25 Uuups, da war doch was in ATNA

26 Uuups, da war doch was in ATNA Meine Aussage: Wer ATNA kann, kann auch nach DIN EN ISO protokollieren (nach ein paar Anpassungen)

27 Protokollierung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten

28 Protokollierung: DIN EN ISO Vorteile: Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse gemeinsam ausgewertet werden Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Was fehlt: Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten 1) Ein einheitliches Format 2) Damit können Logdateien mehrerer Informations-Systeme 1) Forderung nach Auswertemechanismen Einlesen mehrerer Protokolldateien Filtermechanismen

29 Löschen IHE XDS Delete Document Set Physikalische Löschung (derzeit) nicht vorgesehen Normung / DIN DIN EN Sichere Vernichtung von vertraulichen Unterlagen Verfahrensregeln DIN Vernichten von Datenträgern, Teil 1: Grundlagen und Begriffe DIN Vernichten von Datenträgern, Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern DIN Vernichten von Datenträgern, Teil 3: Prozess der Datenträgervernichtung

30 Löschen: derzeit nutzbar in

31 Elektronische Akten: das IHE-Cookbook Zielsetzung: Aktenbasierte einrichtungsübergreifende Bild- und Befund-Kommunikation Erarbeitung von Umsetzungsempfehlungen Einrichtungsübergreifende elektronische Patientenakte (eepa) Persönliche einrichtungsübergreifende elektronische Patientenakte (PEPA) Fallbezogene einrichtungsübergreifende elektronische Patientenakte (efa) Berücksichtigung der deutschen Sicherheitsanforderungen und Vokabularien, insbesondere datenschutzrechtliche Anforderungen Öffentlich verfügbar ( Einsatz Eindeutige einrichtungsübergreifende Patientenzuordnung Eindeutige Benutzeridentifikation bzw. -authentifizierung Protokollierung, wem wann welches Recht zugewiesen wurde Protokollierung, wer wann auf was zugegriffen hat Feinstgranulare (falls notwendig Dokumentenbezogen) Rechtezuweisung möglich

32 Diskussion Kontakt: