Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister

Transkript

1 GMDS Heidelberger Archivtage 28.Treffen 04./ Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister Zum Nachlesen überarbeiteter Vortrag Marco Biewald VERDATA DATENSCHUTZ GmbH & Co. KG Externer Datenschutzbeauftragter im Krankenhaus Rechtsanwalt I. Rechtsgrundlage Extern Auslagern: 2 Themen Rechtlich Dürfen!! Wenn erlaubt, Wie? Externe Stelle in die Verarbeitung von Patientendaten einzubinden erfordert bestimmte rechtliche Voraussetzungen. Dieser Punkt wurde beim 26.GMDS Treffen besprochen Seite 1

2 I. Rechtsgrundlage Die rechtl. Grundlagen die das WIE regeln sind abhängig von der Rechtsform, dem Bundesland. Es gibt viele Rechtsgrundlagen im Bundesgebiet, z.b Abs.2 LKHG BaWü Art. Art Abs.1 u.6 u.6 BayKHG Abs.1 HessKHG 36 Abs.9 LKHG RhPf 36 Abs.9 LKHG RhPf Es gelten allgemeine Regeln Sicherstellungspflicht + Anweisung 7 Abs.3 u.4 GDSG NRW 7 Abs.3 u.4 GDSG NRW 21 LKHG MV 21 LKHG MV 27b Abs.1 u.2 ThürKHG 27b Abs.1 u.2 ThürKHG 11 BDSG 11 BDSG Diverse Vorgaben Sicherstellungspflicht +Kontrolle Am Ende verweisen alle Vorschriften Auf ähnliche Voraussetzungen. I. Rechtsgrundlage! Das Wie der Archivierung durch Externe ist nicht extra geregelt. Es gilt das, was auch für andere externe Tätigkeiten gilt: -Erfüllung Anforderungen der Auftragsdatenverarbeitung - Gewährleistung ärztl. Schweigepflicht Seite 2

3 Die allg. Pflichten sind zu erfüllen: schriftlich Festlegung Zwecke Festlegung Zwecke Festlegung Maßnahmen Festlegung Maßnahmen Weisungsmöglichkeit Überzeugen Wenn die Vorschriften verlangen, Die allgemeinen Datenschutzverpflichtungen zu erfüllen, was heißt das? Was muss man tun? Die genannten Pflichten ergeben sich z.b. gemäß 11 BDSG, 7 GDSG Allgemeine Pflichten: schriftlich Datenschutzkonzept vorgelegt? Festlegung Zwecke Besichtigt? Festlegung Vorgänge Maßnahmen erläutert? Weisungsmöglichkeit Datenschutzbeauftragter beteiligt? Überzeugen z.b. Seite 3

4 Allgemeine Pflichten: schriftlich Festlegung Sind Zwecke Sie überzeugt davon, dass die Festlegung Vertraulichkeit Maßnahmen bei diesem Archivierer gewährleistet bleibt? Weisungsmöglichkeit Überzeugen 11 Abs.2 BDSG: Bei Auswahl auch die Eignung von Maßnahmen berücksichtigen! 1. Unser Unternehmen ist ist nach Bundesdatenschutzgesetz geprüft. Wer ist zuverlässiger? 2. Die Verpflichtung der Mitarbeiter wird vertraglich zugesichert. Beispiel 1: Wer mit solch Prüfungs- und Zertifizierungsbehauptungen auftritt, dessen Zuverlässigkeit ist fraglich: Es gibt keine allgemeinen Prüfungen oder Zeritifzierungen nach Bundesdatenschutzgesetz oder ähnliches. Beispiel 2 zeigt eine möglichen Weg: die vertragliche Zusicherung! Seite 4

5 Allgemeine Pflichten: schriftlich Festlegung Zwecke Festlegung Zwecke Welche Datenverarbeitungsvorgänge gehören zu den Aufgaben des Archivierers? Das ist genau zu klären! z.b. Festlegung Maßnahmen Reine Lagerung Weisungsmöglichkeit Herausgabe bei Aufforderung Überzeugen (Verfahren beschreiben!) Auskunftsverbot an an Dritte Genau Beschreiben! Beispiele; daran muss man in jedem Fall denken, es mit dem Dienstleister zu regeln. Zutrittsschutz: Schließanlage schriftlich Zugriffsschutz: IT-Sicherheitskonzept Festlegung Zugangsschutz: Zwecke Video im im Lager Festlegung Maßnahmen Festlegung Maßnahmen z.b. Weisungsmöglichkeit Beteiligung Subunternehmer Überzeugen Löschungsfristen Trennung von anderen Kunden Kontrollmöglichkeiten Anforderung Transportboxen Seite 5

6 Hauptaufgabe: Einzelmaßnahmen genau beschreiben! Ziel: Maßnahmen für alle Prozessabschnitte festlegen! Abholung, Transport Scannen Einlagern Dauerlagern Verbuchen Herausgeben Vernichten 1. Transportregeln nur in Boxen nur mit Beteiligung von MA Klinikum 1. Vorgaben für das Scannen: ausgewählte Personen, Zugriffsregeln etc Zugriffsberec htigte, IT_Sicherheit sregeln usw, Wer darf was wie und warum wie sichergestellt das Auskunft an Klinikum Vernichtung von Papier nach bestimmten Regeln, ebenso elektr, Dokumente Datenschutzvereinbarungen Seite 6

7 Gut oder schlechter Dienstleister? Was hat man von so einer Zusicherung zu halten? Wir arbeiten streng nach Bundesdatenschutzgesetz. Eine solche Aussage zeugt nur von einem: mangelnden Datenschutzkenntnissen. Das BDSG ist voll von unbestimmten Rechtsbegriffen und Unklarheiten. Was sagt also dieser Satz? Im Übrigen: Selbstverständlichkeiten zu betonen zeigt, dass sie nicht selbstverständlich sind. Beispiel für Unklarheiten und Schwammigkeiten der Datenschutzvorschriften: 9 BDSG, technisch organisatorische Schutzmaßnahmen haben die Maßnahmen zu treffen die erforderlich sind, um das Gesetz auszuführen. Erforderlich sind die Maßnahmen die in einem angemessenes Verhältnis Aufwand und Zweck stehen. Alles Klar? Was heißt also: streng nach BDSG? Seite 7

8 1. 1. Es sind KONKRETE Maßnahmen festzulegen Gut ist, wer Prozesse genau beschreiben kann Eine nur allgemeine Pflicht, Datenschutz zu gewährleisten, ist keine Alternative und nicht ausreichend. Beispiele, was man beim Archivieren genauer beschreiben sollte: Beschreibung der Aufbewahrungsboxen Beschreibung der Aufbewahrungsboxen Beschreibung des Versands Beschreibung des Versands Beschreibung Lagersicherheit Beschreibung Lagersicherheit Beschreibung Anforderungen an Personen Beschreibung Anforderungen an Personen Beschreibung Löschungsmethodiken Beschreibung Löschungsmethodiken Beschreibung Herausgabeverfahren Beschreibung Herausgabeverfahren Seite 8

9 I Einzelmaßnahmen Beispiel für eine Detailmaßnahme: Bestätigung Haftungsmöglichkeit bei Datenschutzverletzungen Beispiel für eine Beschreibung einer Lagerung I Einzelmaßnahmen Frage: Warum Maßnahmen so konkret beschreiben? Antwort: Das Krankenhaus haftet, auch wenn es ausgelagert wird. Siehe stellvertretend: 11 Abs.1 BDSG Und 17.Tätigkeitsbericht NRW, Seite 65. ist der Auftraggeber für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. Seite 9

10 IV. Sicherstellung Möglichkeiten Maßnahmen festzulegen ist die eine Seite, deren Einhaltung zu kontrollieren eine andere. Das auslagernde Krankenhaus muss die Maßnahmen aus sicherstellen. Direktkontrolle Weisungen Vertragsstrafe Kontrollbesuche Unangekündigt Erledigungsnachweise IV. Sicherstellung Allgemeine Vorschrift, die die Sicherstellung ausdrücklich verlangt: z.b. 11 Abs.2 BDSG Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Seite 10

11 IV. Sicherstellung Das Krankenhaus muss auch dafür sorgen, dass die elementaren Datenschutzrechte gewährleistet sind: Sicherstellung Betroffenenrechte z.b. 34 BDSG Auskunftsrecht Löschungsrecht Wie wird dies gewährleistet? Das?muss geklärt werden. IV. Sicherstellung Das der Kontrollaufwand notwendig ist, zeigt folgendes Zitat:. 25. Tätigkeitsbericht Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, 2005 Seite 88 Wenn beim Auftraggeber nicht das erforderliche Wissen verfügbar ist, um die Arbeit des Auftragnehmers zu zu überprüfen, entsteht dort ein kontrollfreier Raum, den man im im eigenen Hause nie und nimmer dulden würde. Seite 11

12 Zusammenfassung: Schritt 1: den Richtigen auswählen hierzu ALLE Umstände beim Archivierer prüfen, vor allem sein Verständnis vom Datenschutz. Schritt 2: konkrete Einzelmaßnahmen für alle Prozesse festlegen und schriftlich vereinbaren. Schritt 3: Kontrollieren. Sie haben Fragen? Marco Biewald Uerdinger Str Düsseldorf Seite 12