Versenden digitaler Patientendaten: Probleme aus Sicht des Juristen

Transkript

1 Versenden digitaler Patientendaten: Probleme aus Sicht des Juristen Marco Donatsch Dr. iur., Rechtsanwalt Jahrestagung der Schweizerischen Gesellschaft für Dentomaxillofaziale Radiologie Montreux, 28. Mai 2008

2 Überblick Schutz von Patientendaten/Gesundheitsdaten (Zweck und Rechtsgrundlagen) Grundprinzipien des Datenschutzes Datensicherheit - Elektronisches Patientendossier - Versenden von Patientendaten per Rechtsfolgen und Schlussbetrachtung Marco Donatsch, 28. Mai

3 Schutz von Patientendaten Ärztliches Berufsgeheimnis (Art. 321 StGB) Schutz des Vertrauensverhältnisses zwischen Arzt und Patient Erleichterung der Berufsausübung Datenschutzgesetzgebung Konkretisierung des Grundrechts auf Schutz der Privatsphäre (Art. 8 EMRK und Art. 13 BV) Recht auf informationelle Selbstbestimmung Schutz bzw. Gewährleistung des Selbstbestimmungsrechts des Patienten Marco Donatsch, 28. Mai

4 Geltungsbereich und Gegenstand des Datenschutzrechts Regelung auf Stufe Bund und Kantone Bundesgesetz über den Datenschutz (DSG) gilt für Private und Bundesorgane für kantonale Einrichtungen (öffentlichrechtliche Spitäler) gilt das kantonale Datenschutzrecht Personendaten alle Angaben, die sich auf bestimmte oder bestimmbare Personen beziehen als Datenbearbeitung gilt jeder Umgang mit Personendaten auch Zugänglichmachen, Weitergeben Marco Donatsch, 28. Mai

5 Gesundheitsdaten alle Angaben über die Gesundheit, die direkt oder indirekt Rückschlüsse über den Gesundheitszustand einer Person zulassen, d.h. medizinische Befund i.w.s.: Behandlungsverlauf, Symptombeschreibung, Diagnosen, Laborresultate, Röntgenbilder etc. unterschiedliche tatsächliche Schutzwürdigkeit qua Gesetz besonders schützenswerte Personendaten (Art. 3 lit. c DSG) Marco Donatsch, 28. Mai

6 Grundprinzipien des Datenschutzes Rechtmässigkeit Zweckbindung Verhältnismässigkeit Integrität ( Richtigkeit ) Datensicherheit elektr. Krankengeschichte/elektr. Datenaustausch Marco Donatsch, 28. Mai

7 Rechtmässigkeit der Datenbearbeitung Einwilligung des Patienten Behandlungsvertrag bei Bearbeitung von Gesundheitsdaten muss die Einwilligung ausdrücklich erfolgen (Art. 4 Abs. 5 DSG; in Kraft seit 1. Januar 2008) gilt für Beschaffung und Weitergabe etc. auch bei Zusammenarbeit im Team? Informationspflicht beim Beschaffen besonders schützenswerter Personendaten (Art. 7a DSG; in Kraft seit 1. Januar 2008) Marco Donatsch, 28. Mai

8 Datensicherheit (Art. 7 DSG) Gesetz verlangt angemessene technische und organisatorische Massnahmen zum Schutz gegen unbefugtes Bearbeiten Datensicherheit dient dem Schutz der Information Grundsätze: Vertraulichkeit Verfügbarkeit Integrität Marco Donatsch, 28. Mai

9 Angemessenheit der Massnahmen? Frage der Verhältnismässigkeit Optimierte Sicherheit ; Berücksichtigung der konkreten Situation Art. 8 VDSG: Zweck, Art und Umfang der Datenbearbeitung Einschätzung der möglichen Risiken für die betroffenen Personen gegenwärtiger Stand der Technik Kosten der Datensicherheit? Marco Donatsch, 28. Mai

10 Besondere Massnahmen und Kontrollziele bei elektronischem Patientendossier (Art. 9 VDSG) Zugangskontrolle Speicherkontrolle Personendatenträgerkontrolle Benutzerkontrolle Transportkontrolle Zugriffskontrolle Bekanntgabekontrolle Eingabekontrolle Marco Donatsch, 28. Mai

11 Versenden von Gesundheitsdaten per ? Transport- und Bekanntgabekontrolle bei der Bekanntgabe muss verhindert werden, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können Datenempfänger muss identifiziert werden können -Kommunikation ist weniger vertraulich als Versand einer Postkarte Verschlüsselung und Identifikation des Kommunikationspartners gemäss Datenschutzbeauftragten genügt Lese-/Schreibschutz einer Office-Anwendung nicht sehr hohe technische Anforderungen Marco Donatsch, 28. Mai

12 Praktische Hinweise des Eidgenössischen Datenschutzbeauftragten Erläuterungen zum Datenschutz in der Arztpraxis Der Arzt hat den Überblick über die für seine Praxis nötige Informatik, welche auf technisch hohem Niveau konfiguriert ist. Übertragung medizinischer Daten per Internet [Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich (Achtung: teilweise veraltet)] abrufbar unter: ( Rubrik Themen bzw. Dokumentationen) Marco Donatsch, 28. Mai

13 Rechtsfolgen? Verletzung der Datensicherheit bei Fehlen angemessener Schutzmassnahmen, auch wenn keine unbefugte Datenbearbeitung, Datenverlust etc. effektiv eintreten widerrechtliche Bearbeitung von Personendaten bzw. Persönlichkeitsverletzung Anspruch auf Feststellung, Unterlassung, Schadenersatz, Genugtuung Reputation [unbefugte Bekanntgabe: Verletzung Berufsgeheimnis (Art. 321 StGB; Art. 35 DSG)] Marco Donatsch, 28. Mai

14 Schlussbetrachtung: zunehmende praktische Bedeutung elektronischer Patientendossiers besondere Verpflichtung der Ärzte aufgrund der Sensibilität der Daten (Wertung des Gesetzgebers) Vorreiterrolle für technologiebezogenen Datenschutz Praktikabilität? Patienteninteresse? Marco Donatsch, 28. Mai