Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Transkript

1 Datenschutzkonforme digitale Patientenakten im Outsourcing AuthentiDate International AG Referent: Alfonso Concellón Copyright , AuthentiDate International AG Datenschutzkonforme digitale Patientenakten im Outsourcing Die Verarbeitung medizinischer Daten stellt aufgrund der Sensibilität der Information von jeher hohe Anforderungen an die Vertraulichkeit und Integrität dieser Daten. Die Anforderungen an die Technik, die dadurch die Digitalisierung entstehen, sind jedoch in den allermeisten Fällen durch den Leistungserbringer nicht ohne weiteres in einer wirtschaftlich sinnvollen Form zu realisieren. Lösung besteht häufig darin für diese Zwecke Dienstleister zu beauftragen, die sich auf diese Themen spezialisiert haben. Seite 2 1

2 Material und Methoden Dabei gilt es eine Reihe von Aspekten zu berücksichtigen Rechtlich Fachlich Technisch Rechtliche Aspekte Zulässigkeit einer Datenverarbeitung im Auftrag (Bsp. Krankenhaus) Die Vorgaben zum Datenschutz (BDSG/LDSGe/SGB je nach Anwendbarkeit) Anlage zu 9 BDSG technische und organisatorische Datenschutzmaßnahmen Eigenheiten des 203 StGB (Patientengeheimis) Die Vorgaben aus SigG/SigV Vorgaben zur Aufzeichnungspflicht aus MBO Besondere Vorgaben von der MBO abweichenden Vorschriften (z.b. Strahlenschutzverordnung, Röntgenverordnung, u.a.) Seite 3 Material und Methoden Dabei gilt es eine Reihe von Aspekten zu berücksichtigen Rechtlich Fachlich Technisch Fachliche Aspekte Integration in bestehende Arbeitsabläufe Ggf. Anpassung der bestehenden Arbeitsabläufe Umsetzung eines praktikablen Berechtigungskonzepts Konform den fachlichen Anforderungen Schulungen und Sensibilisierung der Mitarbeiter Benutzerfreundlichkeit Seite 4 2

3 Material und Methoden Dabei gilt es eine Reihe von Aspekten zu berücksichtigen Rechtlich Fachlich Technisch Technische Aspekte Verwendung starker Algorithmen (Algorithmenkatalog BSI) Einsatz praktikabler Verschlüsselungs- und Wiederherstellungsmechanismen Die Lösung muss performant genug sein, um akzeptable Retrievalzeiten zu liefern Die Lösung muss ausfallsicher realisiert werden, um ein akzeptables Maß an Verfügbarkeit zu gewährleisten. Seite 5 Umsetzung Der Schwerpunkt dieser Darstellung liegt dabei auf der Umsetzung der datenschutzrechtlichen Aspekte. Es gilt über entsprechende technische und organisatorische Maßnahmen die folgenden Vorgänge hinreichend sicher zu gestalten: Datenerhebung Speicherung Veränderung Übermittlung Sperrung Löschung Seite 6 3

4 Umsetzung Datenerhebung und Speicherung ergeben sie sich in den allermeisten Fällen bereits aus dem 10 der MBO Veränderung, bzw. der Übermittlung von Daten eine entsprechende Rechtsgrundlage ist erforderlich oder die Einwilligung des Patienten ist vorzuweisen. auch hier ist organisatorisch sicherzustellen, dass dies über den Dienstleister dargestellt werden kann Löschung von Daten Die Notwendigkeit bzw. des Recht der Löschung wird durch viele bereichsspezifische Vorgaben beeinflusst (Betroffenenrechte, Aufzeichnungspflichten, u.a) Es ist in der Regel eine Sperrung der Löschung vorzuziehen. Seite 7 Sicherheitsziele / Massnahmen technische Möglichkeiten für einen Datenschutz konformes Outsourcing digitaler Patientenakten. Sicherheitsziele Vertraulichkeit Authentizität Integrität Verfügbarkeit Revisionsfähigkeit Rechtssicherheit Nicht-Abstreitbarkeit Nutzungsfestlegung Massnahmen Verschlüsselung / 203 StGB SigG (qual. Signatur) SigG (qual. Signatur + Timestamp) Redundanz SigG (qual. Timestamp) SigG (qual. Signatur) / 371a ZPO SigG (qual. Signatur/Timestamp) Berechtigungkonzept muss vorhanden sein Seite 8 4

5 Notwendige Massnahme Bereits beim Design seines Dienstes muss der Anbieter dem Datenschutz den angemessen hohen Stellenwert einräumen! Christian Schmitz Seite 9 Vielen Dank für Ihre Aufmerksamkeit! Referent: Alfonso Concellón Christian Schmitz AuthentiDate International AG Rethelstraße Düsseldorf Phone info@authentidate.de 5

6 Anforderungen Die Anforderungen an die Technik, die dadurch entstehen, sind jedoch in den allermeisten Fällen durch den Leistungserbringer nicht ohne weiteres in einer wirtschaftlich sinnvollen Form zu realisieren. Lösung besteht häufig darin für diese Zwecke Dienstleister zu beauftragen, die sich auf diese Themen spezialisiert haben. Seite 11 Sicherheitsziele Es gilt sich an abstrakten und von der Technologie unabhängigen grundlegenden Sicherheitszielen zu orientieren: Vertraulichkeit Authentizität Integrität Verfügbarkeit Revisionsfähigkeit Rechtssicherheit Nicht-Abstreitbarkeit Nutzungsfestlegung Seite 12 6