Die elektronische Gesundheitskarte Die Payback -Karte für Gesundheit? PrivSec - Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit 07.12.2006 GDD ERFA-Kreis Detmold (Herford Minden Lübbecke)
Übersicht zur elektronischen Gesundheitskarte Meilensteine der egk / HPA Gesetzliche Grundlagen KVK, egk und HBA im Überblick Funktionsbeispiele Meinungsumfragen Kosten und Komplikationen Lösungsansätze Zukunftsaussichten Quelle (Bilder): Siemens 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 2
egesundheitskarte warum? Prozesse Kostendruck Finanzierungsprobleme lange Arbeitsprozesse Medienbrüche Aktenablage Kartenmissbrauch Leistungserschleichung Doppeluntersuchungen Paragraph nicht gesicherte Technik offene Scheunentore Insellösungen Medienbrüche Mangelnde Sensibilisierung wenig Diskretion Patient unzufriedener Patient kein Herr der Daten Keine Patientenhistorie Datentransfer bei Arztwechsel nicht erfolgt Arzneimittel- Interaktion (Nebenwirkungen) 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 3
Ist-Stand / Meilensteine der egk und dem HBA GKV-Gesundheits-Modernisierungsgesetz GMG) 26.09/17.10 2003 ( 291, 291a SGB V) Rahmenarchitektur CeBIT 2004 Lösungsarchitektur CeBIT 2005 Spezifikation HBA Oktober 2005 Spezifikation Krankenversicherungsnummer November 2005 Einführung in Testregionen Januar 2006 ( 8 Testregionen, 10.000 Test) (Plan) 2007 ( 3 Testregionen, 100.000 Test) Umsetzung??? Quelle (Bild): G&D, BMGS 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 4
Testregionen Deutschland 47 Praxen mit 73 Haus- und Fachärzten, 2 Kliniken, 10 Apotheken 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 5
Gesetzliche Grundlagen 203 StGB (ärztliche Schweigepflicht) 291 SGB V (Ergänzung Krankenkassenkarte) 291a SGB V (elektronische Gesundheitskarte) Weitere allgemeine Regelungen: Verwendung innerhalb der gesetzlichen Rahmen 3 Abs. 9 BDSG (besondere personenbezogene Daten) 6c Abs. 2 BDSG (Mobile pb Speicher- und Verarbeitungsmedien) 9 BDSG (Datensicherheit) 28 Abs. 7 ff. BDSG (Verarbeitung und Nutzung von bes. pb Daten) 2, 4, 5 SigG (digitale Signatur) 97 Abs. 2 StPO (Beschlagnahmeverbot) 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 6
Unterschiede: KVK vs. egk Speicherkarte 256 Byte EEPROM Datenspeicher ohne autorisiertem Zugriff auslesbar (Nur Lesen) kopierbar Datenmanipulation möglich Prozessorkarte ca. 32 bis 64 kb Datenspeicher mit autorisiertem Zugriff (Lesen, Speichern, Ändern) Zugriff mit PIN nicht kopierbar kryptografische Dienste, Signatur 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 7
Mehrwert: KVK vs. egk Pflichtteil freiwillig administrative Daten Zuzahlungsstatus Elektronisches Rezept Bild EU- Krankenschein Notfalldaten (auch Offline) Arzneimitteldokumentation earztbrief epatientenakte Patientenfach 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 8
Der eheilberufsausweis (ehba) / ehpc Zugriffsrechte durch gestaffelte Berechtigung Organisationsausweis oder Berufsausweis Mitarbeiterkarten 291a Abs. 4: Zum Vollausweis Zwecke des Erhebens, Verarbeiten oder Nutzens mittels egk dürfen [...] zugreifen Ärzte, Zahnärzte Apotheker pharmazeutisches Personal Erbringer sonst. Leistungen Quelle für Fotos: ORGA,BMG 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 9
Wie soll es funktionieren? Quelle: Siemens 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 10
Beispiel wie funktioniert s e-rezept Animation starten Quelle: Bundesministerium für Gesundheit und Soziales www.bmgs.bund.de Weitere Quellen: www.bit4health.de 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 11
Sicherheitsinfrastruktur einer Praxis IT-Ausstattung in Arztpraxen und Kliniken geringe elektronische Kommunikation 35-40% MS-DOS-basierte Systeme bei Vertragsärzten vielfach nur DOS-basierte Anwendungen kein Internetzugang in der Praxis 80% der Ärzte nutzen Internet und E-Mail auf privaten Rechner zu Hause oder auf separaten PCs in der Praxis (Quellen: Recherchen der KBV, LA-MED) 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 15
Standards setzen, um Kosten zu senken Gesamt-Investitionsvolumen für Telematikstruktur und deren Einbindung min. 1,4 1,8 Mrd. Euro Investitionsvolumen für Arztpraxen und Apotheken ca. 290 Mio. Euro/gesamt ca. 2.000 20.000 Euro/Praxis Investition für ein mittelgroßes Krankenhaus (Infrastruktur, Hard- und Software) ca. 100-250 TEuro/Krankenhaus und Karten 80 Mio. elektronische Gesundheitskarten ca. 13,50 Euro/St 350.000 Heilberufsausweise (HBA, HPC) ca. 30 Euro/St 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 16
Komplikationen 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 18
egesundheitskarte stößt auf Skepsis bei niedergelassenen Ärzte für (egk und HBA) Beeinträchtigung des Arzt-Patienten-Verhältnisses Belastung der Praxisabläufe Hohe Kosten und geringer Nutzen Probleme mit dem Datenschutz 27 % der befragten Ärzte für Einführung egk bei Patienten für (egk) Sorge vor Missbrauch durch Arbeitgeber, Lebensoder Krankenversicherungen Probleme mit der Sicherheit Gläserner Patient (Quelln: ZVFK, abgedruckt in Ärzte Zeitung vom 15. 02. 2005) (Quelle: Umfrage Flensburger Testregion 11/05 / BMG) 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 19
egesundheitskarte beim Patienten Patienten sehen Vorteile in neuer Gesundheitskarte 75 % sehen egk positiv 96 % schnelle Bereitstellung von Notfalldaten 92 % bessere Diagnosen und Therapien 90 % befürworten verbesserte Identifikation 50 % Vorlage Personalausweis in Praxis In der Testregion Flensburg 80 % würden Zusatzfunktionen nutzen 58 % Nutzung der epatientenakte 39 % Sorge vor Missbrauch von Daten ((Quellen: Ärzte Zeitung 15.02.05 / TNS Emnid / TK / KKH) 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 20
Beispiel: Gesundheitsakte LifeSensor von ICW ICW erwirbt ein jederzeit widerrufliches Nutzungsrecht [...] kommerzielle und nicht-kommerzielle Weitergabe der persönlichen und medizinischen Daten in anonymisierter Form (z.b. Statistiken) an Dritte ( 9 Abs. 4.1) [...] Nach Beendigung des Vertragsverhältnisses können die gespeicherten Daten bis auf einen extra Widerruf anonymisiert weiterhin von ICW verwendet werden. [...] ( 11 Abs. 4.1) [...] speichert in jedem Falle der Vertragsbeendigung [...] die Daten auf einem geeigneten Datenträger und bewahrt sie im Rahmen der gesetzlichen Pflichten auf. Jahresbeitrag von 34,80 bis 59,40 EUR zzgl. besondere Pakete für Risikogruppen 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 21
Ausblick - Mut zum Handeln Prozesse Qualitative Versorgung verbessert Kartenmissbrauch reduziert Optimierte Arbeitsprozesse implementiert Sichere Infrastruktur mit Verschlüsselung Paragraph Gesetzeskonforme IT- Sicherheits- Infrastruktur Volle Verfügbarkeit Schulungsmaßnahmen zu Datenschutz erfolgt Gewährleistung der TOM Patient Patient für freiwillige Speicherung Erhöhung der Akzeptanz Schreibrechte zum Verbergen von Daten Transparenz der Zugriffe Kundenanreize durch Marketing 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 22
Noch Fragen? Danke More Questions? Thank you questions? Merci 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 24
Wir beraten und unterstützen Sie! Klaus Mönikes Expo Plaza 3 30539 Hannover Tel: +49 (0)511 220 36 96 Fax: +49 (0)511 220 36 98 Email: klaus.moenikes@privsec.de http:// 07.12.06 GDD-ERFA Detmold 2006 PrivSec Klaus Mönikes Unternehmensberatung für Datenschutz und Datensicherheit, Hannover 25