Vernetzung ohne Nebenwirkung, das Wie entscheidet

Transkript

1 Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, Wiesbaden Telefon 0611 / r.wehrmann@datenschutz.hessen.de

2 Vernetzung Worum es geht Was sichere Kommunikation ausmacht Wie man sie umsetzen kann Was ist besonders an KV-SafeNet und der Telematikinfrastruktur? 2

3 Worum es geht Vernetzung im Gesundheitswesen Kommunikation (Konsultation, Arztbriefe, Telemedizin, Abrechnungen,...) Aber sicher ärztliche Schweigepflicht wahren, Sozialdaten schützen, Vertrauenswürdigkeit der Technik,... 3

4 Was sichere Kommunikation ausmacht Nicht elektronisch: Gespräch, Telefon, Brief Mit wem spreche / schreibe ich? Kenne ich die Person? Stimmt die Adresse? Wie kann ich (unbefugtes) Zuhören verhindern? Wie kann ich (unbefugtes) Mitlesen verhindern? Gespräche wo führen. Briefe in verschlossenem Umschlag. Wie kann ich die Urheberschaft und Unversehrtheit von Dokumenten prüfen? Ist der Inhalt plausibel? Passt die Unterschrift? 4

5 Was sichere Kommunikation ausmacht elektronisch ( , Chat, Telemedizin,...) Mit wem kommuniziere ich? Wie kann ich eine unbefugte Kenntnisnahme verhindern? Wie kann ich die Urheberschaft und Unversehrtheit von Dokumenten prüfen? 5

6 Wie man sie umsetzen kann (1) Mit wem kommuniziere ich? Austausch von Zertifikaten Verzeichnisdienste (Wer pflegt sie?) Wie kann ich eine unbefugte Kenntnisnahme verhindern? Verschlüsselung (Algorithmen, Zufallszahlen, Schlüssellängen, Implementierung) und Schlüsselmanagement Wie kann ich die Urheberschaft und Unversehrtheit (von Dokumenten) prüfen? Elektronische Signaturen (Kette, Schale??, weitere Themen wie bei Verschlüsselung) 6

7 Wie man sie umsetzen kann (2) Die Datenschutzgesetze schreiben keine bestimmte Lösung vor. Der Aufwand muss angemessen sein. Maßnahmen müssen die Anforderungen der Gesetze umsetzen; beim BDSG: Anlage zu 9 BDSG Maßnahmen müssen (BDSG: bei Verschlüsselungsverfahren) dem Stand der Technik entsprechen. 7

8 Wie man sie umsetzen kann (3) Aber zur Vernetzung gehört mehr: Sicherheit der IT beim Sender und beim Empfänger siehe hierzu Unterlagen der KBV, Ärztekammer u.a. Entschließung der Datenschutzbeauftragten Verfügbarkeit Vertrauenswürdigkeit von Technik und Umfeld Zertifizierung, Handeln von Institutionen, Dienstleister,... 8

9 Was ist besonders an KV-SafeNet und der Telematikinfratruktur? Sie wurden bzw. werden auf Grundlage eines gesetzlichen Auftrages entwickelt KV-SafeNet: 295 Abs. 4 SGB V Durch Beschlüsse der Vertreterversammlungen vorgegeben Lösung Telematikinfrastruktur: 291a Abs. 7 9

10 Vielen Dank für Ihre Aufmerksamkeit! 10

11 BDSG Anlage (zu 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),... 11

12 BDSG Anlage zu 9 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 12

13 SGB V 291a Elektronische Gesundheitskarte... (7) Der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die für die Einführung und Anwendung der elektronischen Gesundheitskarte, insbesondere des elektronischen Rezeptes und der elektronischen Patientenakte, erforderliche interoperable und kompatible Informations-, Kommunikations und Sicherheitsinfrastruktur (Telematikinfrastruktur). Sie nehmen diese Aufgabe durch eine Gesellschaft für Telematik nach Maßgabe des 291b wahr, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt

14 SGB V 295 Abrechnung ärztlicher Leistungen... (4) Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und medizinischen Versorgungszentren haben die für die Abrechnung der Leistungen notwendigen Angaben der Kassenärztlichen Vereinigung im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern zu übermitteln. Das Nähere regelt die Kassenärztliche Bundesvereinigung