Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Transkript

1 Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Session 4: IT-Compliance im Gesundheitssektor IT-Sicherheitsgesetz, Patientenrechte und Schweigepflicht 6. Mai 2014

2 Seite EC European Hospital Survey Hindernisse? Übermittlung von Patientendaten IT Security welcher Standard? IT Risikomanagement als zentrale Aufgabe des Managements 6. Mai 2014

3 1 EC European Hospital Survey Quelle: EC European Hospital Survey: Benchmarking Deployment of e-health Services ( ) 6. Mai 2014 Seite 3

4 1 EC European Hospital Survey Quelle: EC European Hospital Survey: Benchmarking Deployment of e-health Services ( ) 6. Mai 2014 Seite 4

5 1 EC European Hospital Survey Quelle: EC European Hospital Survey: Benchmarking Deployment of e-health Services ( ) 6. Mai 2014 Seite 5

6 2 Hindernisse? keine Vergütung (79 %) fehlende IT-Kenntnisse (72 %) mangelnde Interoperabilität der Systeme (73 %) mangelnde rechtliche Rahmenbedingungen insbesondere in Bezug auf die Vertraulichkeit und den Schutz der Privatsphäre zwischen Arzt und Patient (71 %). 6. Mai 2014 Seite 6

7 3 Übermittlung von Patientendaten Kein Mangel an Tatbeständen für die Weitergabe und Zugriff auf Patientendaten Angehörige bei Notarzteinsätzen (Rettungsdienstegesetze der Länder) Berufsgenossenschaften ( 201, 202, 203 SGB VII) Betreuer ( 1896, 1901 BGB) Drogen-Substitutionsbehandlung ( 5a BtMG) Infektionsschutzgesetz Insolvenz ( 97 InsO) Jugendämter bei Kindeswohlgefährdung ( 4 KKG) Jugendarbeitsschutzgesetz ( 32 ff. JSchG) KV, GK ( 294 ff. SGB V) Krebsregister (Landesgesetze) MDK ( 276 SGB V) Prüfungsstelle ( 296 ff. SGB V) Röntenverordnung ( 28 RV) Personenstandsregister ( 20 PStG) 6. Mai 2014 Seite 7

8 3 Übermittlung von Patientendaten Agentur für Arbeit ( 100 SGB X) Arbeitgeber / Überprüfung durch MDK ( 275 SGB V) Weiterbehandelnder Arzt ( 73 SGB V, 28 RöntgenVO) DMP ( 137f SGB V) Pflegeversicherung / MDK ( 8, 18 SGB X) Polizei / StA ( 34, 138 StGB) Rentenversicherungsträger ( 100 SGB X) Sozialämter ( 100 SGB X) Privatärztliche Verrechnungsstellen ( 4 BDSG) Private Versicherer ( 213 VVG) Versorgungsamt ( 100 SGB X) Finanzbehörden/ Fahrtenbuch ( 6 EStG) 6. Mai 2014 Seite 8

9 3 Übermittlung von Patientendaten Zentrale Rechtsgrundlage bleibt aber nach wie vor die Einwilligung des Patienten und der Behandlungsvertrag ( 28 BDSG) 6. Mai 2014 Seite 9

10 4 IT Security welcher Standard? Derzeit: 9 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Angemessen, aber nicht Stand der Technik 6. Mai 2014 Seite 10

11 4 IT Security welcher Standard? Derzeit: 9 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Angemessen, aber nicht Stand der Technik Interpretiert und konkretisiert durch OH Telemedezin und OH KIS ( handhabbare Handreichung für die datenschutzgerechte Gestaltung und Nutzung von Krankenhausinformationssystemen ) 6. Mai 2014 Seite 11

12 4 IT Security welcher Standard? Künftig: 8a IT Sicherheitsgesetz (1)Betreiber kritischer Infrastrukturen sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen und sonstige Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht. Angemessen, unter Berücksichtigung des Standes der Technik 6. Mai 2014 Seite 12

13 4 IT Security welcher Standard? EU Ansatz: IT Sicherheit by Design Datenvermeidung Datenverarbeitungssysteme sollten so ausgelegt und ausgewählt werden, dass keine oder möglichst wenig personenbezogene Daten erhoben, verarbeitet und verwendet werden. Kontrollierbarkeit Ein IT-System sollte den Datensubjekten die wirksame Kontrolle über ihre personenbezogenen Daten geben. Die Zustimmungs- bzw. Widerspruchsmöglichkeit sollte durch technologische Mittel unterstützt werden. Transparenz Sowohl die Entwickler als auch die Betreiber von IT-Systemen haben sicherzustellen, dass die Datensubjekte detailliert über die Funktionsweise der Systeme informiert werden. 6. Mai 2014 Seite 13

14 4 IT Security welcher Standard? EU-Ansatz: IT Sicherheit by Design Vertraulichkeit der Daten IT-Systeme sind so zu konzipieren und zu sichern, dass nur entsprechend autorisierte Stellen Zugriff auf personenbezogene Daten haben. Datenqualität Die Datenverantwortlichen müssen die Datenqualität durch technische Mittel unterstützen. Einschlägige Daten sollten im Bedarfsfall für rechtmäßige Zwecke zugänglich sein. Möglichkeit der Trennung IT - Systeme, die für verschiedene Zwecke eingesetzt werden können oder in einer Mehrbenutzerumgebung betrieben werden müssen sicherstellen, dass Daten und Prozesse, die für verschiedene Aufgaben oder Zwecke verwendet werden, sicher voneinander getrennt werden können. 6. Mai 2014 Seite 14

15 5 IT Risikomanagement als zentrale Aufgabe des Managements Gesetzliche Managementverantwortung zur Kontrolle und Vermeidung unternehmensgefährdender Risiken ( 93AktG) Identifikation von Risiken, Risikoanalyse und Risikobewertung Zuordnung von Aufgaben und Verantwortlichkeiten Dokumentation der getroffenen Maßnahmen zur Bewältigung von Risiken und Risikokontrolle Berichtspflicht im Rahmen des Jahresabschlusses (IDW PS 980 (2011) Konzeption des Compliance-Management-Systems Angemessenheit des Compliance-Management-Systems Wirksamkeit des Compliance-Management-Systems 6. Mai 2014 Seite 15

16 Werner Bachmann Rechtsanwalt Telefon: Fax: Mobil: Mai 2014 Seite 16