Datenschutz und Patientenrechte. TÜV SÜD Sec-IT GmbH

Transkript

1 Datenschutz und Patientenrechte Slide 1

2 Agenda Vorstellung TÜV SÜD Der Paragraphendschungel Die wichtigsten Patientenrechte Aufbewahrungsfristen Aktuelles aus der Praxis IT-Penetrationstest Slide 2

3 Vorstellung TÜV SÜD TÜV SÜD Sec-IT GmbH Folie 3

4 Unsere Zertifizierungsverfahren E-Commerce-Zertifizierung Zertifiziertes Rechenzentrum Geprüfte Datenträgervernichtung TÜV SÜD geprüfte Online- Händler für mehr Sicherheit im E-Commerce Umfassendes Zertifizierungsprogramm mit Fokus auf Datenschutz und zuverlässige Bestellprozesse TÜV SÜD Standard für Betrieb, Organisation und Infrastruktur einer Rechenzentrums Standards für unterschiedliche Schutzklassen Prüfung von Maschineneinrichtungen in Anlehnung an DIN Teil 1/2 Prüfung und Zertifizierung in Anlehnung an DIN Teil 1-3 TÜV SÜD Sec-IT GmbH Folie 4

5 Prüf- und Beratungsleistungen IT-Penetrationstests IT-Schwachstellen-Scans Website-Checks Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern Risikoabschätzung für identifizierte Sicherheitslücken Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit Ableitung konkreter Verbesserungspotenziale TÜV SÜD Sec-IT GmbH Folie 5

6 Prüf- und Beratungsleistungen Externer Datenschutzbeauftragter Datenschutzcheck Geprüfte Auftragsdatenverarbeitung Ab 10 Mitarbeiter müssen Unternehmen einen Datenschutzbeauftragten bestellen. TÜV SÜD Experten übernehmen diese Rolle und schaffen damit Vertrauen bei Kunden und Partnern. Datenschutz ist keine Option, sondern ein gesetzliche Pflicht. TÜV SÜD überprüft die Wirksamkeit der Datenschutzorganisation von Unternehmen und zeigt Optimierungspotenziale auf. TÜV SÜD überprüft die Datenverarbeitung von Dritten Dienstleistern im Auftrag eines Unternehmens. Damit unterstützt TÜV SÜD Unternehmen bzgl. Ihrer gesetzlichen Pflicht zur Prüfung dieser Dienstleister. TÜV SÜD Sec-IT GmbH Folie 6

7 Referenzen im Bereich Gesundheitswesen TÜV SÜD Sec-IT GmbH Folie 7

8 Lotse durch den Paragraphendschungel Auswahl einiger relevanter Spezialgesetze Infektionsschutzgesetz Medizinproduktegesetz Röntgenverordnung Strahlenschutzverordnung Arzneimittelgesetz, Betäubungsmittelgesetz Berufsspezifische Vorschriften Berufsordnungen für Ärzte, Psychotherapeuten Ergotherapeutengesetz TÜV SÜD Sec-IT GmbH Slide 8

9 Lotse durch den Paragraphendschungel Krankenhausspezifische Vorschriften Krankenhausgesetze der Länder (falls vorhanden, z. B. in Bayern, Hessen) Regelungen aus den Sozialgesetzbüchern SGB V (Vorschriften zu Offenbarungspflichten von Patientendaten z. B. im Zusammenhang der Leistungsabrechnung) Sonstige Regelungen AGG, ArbSchG, BDSG Abgabenordnung, Handelsgesetzbuch BGB, GG Telemediengesetz, Telekommunikationsgesetz Vorgaben aus dem EU-Recht Hinweise auf die EU-DSGVO TÜV SÜD Sec-IT GmbH Slide 9

10 Lotse durch den Paragraphendschungel Vorgaben hinsichtlich Zeugnisverweigerung Zeugnisverweigerungsrecht in Straf- und Zivilprozessen 53 Abs. 1 Nr. 3 StPO und 383 Abs. 1 Nr. 6 ZPO) Vorgaben aus dem Strafrecht (StGB) 203 StGB Verletzung von Privatgeheimnissen 34 StGB rechtfertigender Notstand 138 StGB Nichtanzeige geplanter Straftaten Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) TÜV SÜD Sec-IT GmbH Slide 10

11 Patientenrechtegesetz Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) Februar 2013 in Kraft getreten Ziel: wesentlichen Beitrag zu mehr Transparenz und Rechtssicherheit Änderung wichtiger Gesetze (u.a. Bürgerliches Gesetzbuch, Sozialgesetzbuch V, Krankenhausfinanzierungsgesetz, Bundesärzteordnung) Slide 11

12 Patientenrechtegesetz Regelungen im Bürgerlichen Gesetzbuch (BGB) Vertragstypische Pflichten beim Behandlungsvertrag, 630a Absatz 1 BGB "Durch den Behandlungsvertrag wird derjenige, welcher die medizinische Behandlung eines Patienten zusagt (Behandelnder), zur Leistung der versprochenen Behandlung, der andere Teil (Patient) zur Gewährung der vereinbarten Vergütung verpflichtet, soweit nicht ein Dritter zur Zahlung verpflichtet ist." Slide 12

13 Patientenrechtegesetz Regelungen im Bürgerlichen Gesetzbuch (BGB) Einwilligung, 630d Absatz 1 BGB "Vor der Durchführung einer medizinischen Maßnahme, insbesondere eines Eingriffs in den Körper oder die Gesundheit, ist der Behandelnde verpflichtet, die Einwilligung des Patienten einzuholen." Aufklärungspflichten, 630e Absatz 1 BGB "Dem Patienten sind Abschriften von Unterlagen, die er im Zusammenhang mit der Aufklärung oder Einwilligung unterzeichnet hat, auszuhändigen." Slide 13

14 Patientenrechtegesetz Regelungen im Bundesdatenschutzgesetz (BDSG) Einwilligung nach dem Bundesdatenschutzgesetz: 4a BDSG (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. Slide 14

15 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Einwilligung nach der EU-DSGVO Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; ( ) Slide 15

16 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Artikel 7 Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Slide 16

17 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Neu: Einwilligungsvoraussetzungen des Kindes Vollendung des 16. Lebensjahres erforderlich Oder Zustimmung der Eltern für die Datenverarbeitung Slide 17

18 Patientenrechtegesetz Regelungen in der Datenschutz-Grundverordnung (EU-DSGVO) Sensible Daten nach der EU-DSGVO: rassische und ethnische Herkunft politischen Meinung religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit hervorgehen Gesundheitsdaten Daten zum Sexualleben und der sexuellen Ausrichtung genetische und biometrischen Daten Slide 18

19 Patientenrechtegesetz Regelungen im Bürgerlichen Gesetzbuch (BGB) Einsichtnahme in die Patientenakte, 630g Absatz 1 BGB "Dem Patienten ist auf Verlangen unverzüglich Einsicht in die ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische oder sonstige erhebliche Rechte Dritter entgegenstehen. Die Ablehnung der Einsichtnahme ist zu begründen. 811 ist entsprechend anzuwenden." Was passiert nach dem Tod? Im Fall des Todes des Patienten stehen die Rechte aus den Absätzen 1 und 2 zur Wahrnehmung der vermögensrechtlichen Interessen seinen Erben zu. Gleiches gilt für die nächsten Angehörigen des Patienten, soweit sie immaterielle Interessen geltend machen. Die Rechte sind ausgeschlossen, soweit der Einsichtnahme der ausdrückliche oder mutmaßliche Wille des Patienten entgegensteht. Slide 19

20 Aufbewahrungsfristen Art der Daten Frist Rechtsgrundlage Aufzeichnungen der Messergebnisse zu überwachender Personen Aufzeichnungen über Röntgenbehandlung Röntgenbilder und Aufzeichnungen von Röntgenuntersuchungen. Die 10-jährige Aufbewahrungsfrist beginnt erst ab dem 18. Lebensjahr bei Patienten, so dass alle Röntgenbilder von Kindern und Jugendlichen mindestens bis zur Vollendung des 28. Lebensjahres aufbewahrt werden müssen. Mind. 30 Jahre nach Beschäftigungsende 30 Jahre nach der letzten Behandlung 10 Jahre bzw. bis Vollendung des 28. Lebensjahres 42 Abs. 1 StrahlenschutzVO 28 Abs. 3 S. 1 RöntgenVO 28 Abs. 3 S. 3 RöntgenVO TÜV SÜD Sec-IT GmbH Slide 20

21 Aufbewahrungsfristen Art der Daten Frist Rechtsgrundlage Aufzeichnung einschl. EDV-erfasster Daten bei Anwendung von Blutprodukten und von genetisch hergestellten Plasmaproteinen zur Behandlung von Hämostasestörungen Mind. 15 Jahre, ggf. bis 30 Jahre, danach nur anonymisiert 14 Abs. 3 Transfusionsgesetz Ärztliche Aufzeichnungen Mind. 10 Jahre 57 Abs. 2 nach Abschluss Bundesmantelvertrag-Ärzte der Behandlung, (BMV-Ä) ggf. Aufbewahrungsfrist anderer Vorschriften zu beachten (RöV) Arbeitsunfähigkeitsbescheinigungen (Durchschlag Muster 1d, der vom Arzt aufzubewahren ist) Mind. 12 Monate KVB Bayern TÜV SÜD Sec-IT GmbH Slide 21

22 Aktuelles aus der Praxis Online-Videosprechstunde, Quelle: TK aktuell, Ausgabe 01/2016, Seite 4 Slide 22

23 Aktuelles Online-Kontaktformular Auswirkungen IT-Sicherheitsgesetz: 13 Abs. 7 TMG Pflichten des Diensteanbieters Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Slide 23

24 Aktuelles Online-Kontaktformular Folge: Verstärkte Prüfung von Kontaktformularen auf Websites durch die Aufsichtsbehörden Nicht relevant: ob Wahl- oder Pflichtfeld Entscheidend: Übertragung von personenbezogenen Daten Darüber hinaus zu beachten: Grundsatz der Datensparsamkeit! Ist IHRE Website angreifbar? Slide 24

25 Prüf- und Beratungsleistungen IT-Penetrationstests IT-Schwachstellen-Scans Website-Checks Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern Risikoabschätzung für identifizierte Sicherheitslücken Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit Ableitung konkreter Verbesserungspotenziale TÜV SÜD Sec-IT GmbH Folie 25

26 Ihre Ansprechpartner für Datenschutz und Datensicherheit Kontaktdaten: Kontaktdaten: Doris Brandl TÜV SÜD Sec-IT GmbH Telefon Marcel Mangel TÜV SÜD Sec-IT GmbH Telefon TÜV SÜD Sec-IT GmbH Slide 26