Datenschutz und IT-Sicherheit im Krankenhaus

Transkript

1 Datenschutz und IT-Sicherheit im Krankenhaus Doris Kiefer, Rechtsanwältin TÜV SÜD Sec-IT GmbH TÜV SÜD Sec-IT GmbH Slide 1

2 Lotse durch den Paragraphendschungel Auswahl einiger relevanter Spezialgesetze Infektionsschutzgesetz Medizinproduktegesetz Röntgenverordnung Strahlenschutzverordnung Arzneimittelgesetz, Betäubungsmittelgesetz Berufsspezifische Vorschriften Berufsordnungen für Ärzte, Psychotherapeuten Ergotherapeutengesetz TÜV SÜD Sec-IT GmbH Slide 2

3 Lotse durch den Paragraphendschungel Krankenhausspezifische Vorschriften Krankenhausgesetze der Länder (falls vorhanden, z. B. in Bayern, Hessen) Regelungen aus den Sozialgesetzbüchern SGB V (Vorschriften zu Offenbarungspflichten von Patientendaten z. B. im Zusammenhang der Leistungsabrechnung) Sonstige Regelungen AGG, ArbSchG Handelsgesetzbuch, Abgabenordnung BGB, GG Telemediengesetz, Telekommunikationsgesetz, IT Sicherheitsgesetz StGB TÜV SÜD Sec-IT GmbH Slide 3

4 Lotse durch den Paragraphendschungel BDSG TÜV SÜD Sec-IT GmbH Slide 4

5 Lotse durch den Paragraphendschungel EU-DSGVO TÜV SÜD Sec-IT GmbH Slide 5

6 Final Countdown 449 Tage Mit anderen Worten... 1 Jahr, 2 Monate und 23 Tage Sekunden Minuten Stunden 64 Wochen und 1 Tag TÜV SÜD Sec-IT GmbH Slide 6

7 Lotse durch den Paragraphendschungel TÜV SÜD Sec-IT GmbH Slide 7

8 Risikomanagement im Gesundheitswesen RISIKO Management TÜV SÜD Sec-IT GmbH Slide 8

9 Risikomanagement im Gesundheitswesen Risikobasierter Ansatz (risk-based approach) Datenschutzrechtliche Anforderungen Risiko, das von der Datenverarbeitung ausgeht TÜV SÜD Sec-IT GmbH Slide 9

10 Grundprinzipien, Art. 5 EU-DSGVO Integrität & Vertraulichkeit Rechtmäßigkeit, Verarbeitung nach Treu & Glauben, Transparenz Speicherbegrenzung Datenminimierung Richtigkeit Zweckbindung Rechenschaftspflicht (Accountability) TÜV SÜD Sec-IT GmbH Slide 10

11 Risikomanagement im Gesundheitswesen Sensible Daten rassische und ethnische Herkunft politische Meinung religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit Gesundheitsdaten Daten zum Sexualleben und der sexuellen Orientierung genetische Daten biometrische Daten TÜV SÜD Sec-IT GmbH Slide 11

12 Risikomanagement im Gesundheitswesen Technische und organisatorische Maßnahmen Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) [ ] TÜV SÜD Sec-IT GmbH Slide 12

13 Risikomanagement im Gesundheitswesen Technische und organisatorische Maßnahmen Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) [ ] TÜV SÜD Sec-IT GmbH Slide 13

14 Risikomanagement im Gesundheitswesen Technische und organisatorische Maßnahmen Art. 32 DSGVO Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden verbunden sind. [ ] TÜV SÜD Sec-IT GmbH Slide 14

15 Risikomanagement im Gesundheitswesen Einwilligung Art. 7 DSGVO Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. TÜV SÜD Sec-IT GmbH Slide 15

16 Risikomanagement im Gesundheitswesen Datenschutz-Folgenabschätzung Voraussichtlich hohes Risiko für Rechte & Freiheiten der betroffenen Personen Abschätzung der Folgen für den Schutz personenbezogener Daten Überprüfung/ Review Konsultation des Datenschutzbeauftragten Abhilfemaßnahmen, um Risiken zu bewältigen TÜV SÜD Sec-IT GmbH Slide 16

17 Risikomanagement im Gesundheitswesen Meldepflicht 42a BDSG Art. 33, 34 EU-DSGVO nur bei bestimmten Datenarten unverzüglich Art der Kenntniserlangung, Empfehlungen zur Minderung der Nachteile, Möglichkeit nachteiliger Folgen, ergriffene Maßnahmen Geldbuße bis zu Euro grs. jede Verletzung, außer kein Risiko für Rechte & Freiheiten der natürlichen Person möglichst binnen 72 Stunden Art der Verletzung, Kategorien & ungefähre Anzahl der Betroffenen, Name & Kontaktdaten DSB, wahrscheinliche Verletzungsfolgen, ergriffene oder vorgeschlagene Maßnahmen, Dokumentation für Aufsichtsbehörde Geldbuße bis zu Euro oder 2% des weltweiten Jahresumsatzes TÜV SÜD Sec-IT GmbH Slide 17

18 Fazit Definieren von Verantwortlichkeiten (Projektteam- Bildung ) Analyse des zeitlichen & finanziellen Aufwands Analyse des Ist-Zustands Implementierung von Prozessen/ Prozess-Strukturen TÜV SÜD Sec-IT GmbH Slide 18

19 Fazit TÜV SÜD Sec-IT GmbH Slide 19

20 Prüf- und Beratungsleistungen Externer Datenschutzbeauftragter Datenschutzcheck Geprüfte / Zertifizierte Auftragsdatenverarbeitung Ab 10 Mitarbeiter müssen Unternehmen einen Datenschutzbeauftragten bestellen. TÜV SÜD Experten übernehmen diese Rolle und schaffen damit Vertrauen bei Kunden und Partnern. Datenschutz ist keine Option, sondern ein gesetzliche Pflicht. TÜV SÜD überprüft die Wirksamkeit der Datenschutzorganisation von Unternehmen und zeigt Optimierungspotenziale auf. TÜV SÜD überprüft die Datenverarbeitung von Dritten Dienstleistern im Auftrag eines Unternehmens. Damit unterstützt TÜV SÜD Unternehmen bzgl. Ihrer gesetzlichen Pflicht zur Prüfung dieser Dienstleister. TÜV SÜD Sec-IT GmbH Folie 20

21 Prüf- und Beratungsleistungen IT-Penetrationstests IT-Schwachstellen-Scans Website-Checks Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern Risikoabschätzung für identifizierte Sicherheitslücken Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit Ableitung konkreter Verbesserungspotenziale TÜV SÜD Sec-IT GmbH Folie 21

22 Ihre Ansprechpartner für Datenschutz und Datensicherheit Kontaktdaten: Doris Kiefer Rechtsanwältin TÜV SÜD Sec-IT GmbH Telefon TÜV SÜD Sec-IT GmbH Slide 22