Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Rechtliche Einflüsse auf das Management von ITSicherheit (im Krankenhaus)

Ähnliche Präsentationen


Präsentation zum Thema: "Rechtliche Einflüsse auf das Management von ITSicherheit (im Krankenhaus)"—  Präsentation transkript:

1 Rechtliche Einflüsse auf das Management von ITSicherheit (im Krankenhaus)

2 2 Warum muss ich als Informatiker mich mit rechtlichen Regelungen für die Daten im Krankenhaus beschäftigen? Anwendungsentwicklung, z. B. bei diagnostischen Verfahren und zur Datenerstellung und Datenhaltung (z. B. digitale Röntgenbilder) Archivsysteme, die Aufbewahrungsfristen, Löschfristen und Anforderungen an die Daten selbst erfüllen müssen Planung von Rechtesystemen - wer darf wie an welche Informationen kommen Planung von Rechenzentren - zu erwartendes Datenaufkommen, Verwendung entsprechend sicherer Medien Planung des Umfeldes der Daten – Verschlüsselung, Authentifizierung Juni 2010Jens Walter

3 3 Übersicht 1.Jur. Grundlage für elektronische Dokumentation (was darf digital gespeichert werden) 2.Aktualität / Löschung / Sperrung (Datenschutz) 3.Aufbewahrungsfristen 4.Grundsätze ordnungsgemäßer Buchführung 5.Beweissicherung Juni 2010Jens Walter

4 4 Was darf gespeichert werden Ärztliche Musterberufsordnung (MBO-Ä §10) –Es besteht Dokumentationspflicht über den Patienten –Patientenakte darf digital gespeichert werden, wenn: Sicherungs- und Schutzmaßnahmen, … deren Veränderung, Vernichtung oder unrechtmäßige Verwendung verhindern Juni 2010Jens Walter

5 5 Was darf gespeichert werden Sozialgesetzbuch V (§294 ff.) –Verpflichtung Angaben, die aus der Erbringung, der Verordnung sowie der Abgabe von Versicherungsleistungen entstehen, aufzuzeichnen und … den Krankenkassen, den Kassenärztlichen Vereinigungen oder den mit der Datenverarbeitung beauftragten Stellen mitzuteilen Juni 2010Jens Walter

6 6 Was darf gespeichert werden Zu den ärztlichen Aufzeichnungen zählen z. B.: Karteikarten (einschließlich ärztlicher Aufzeichnungen und Untersuchungsbefunde) Behandlung mit Medikation Arztbriefe und Befundmitteilungen Operationsberichte Anästhesieprotokolle sonographische Untersuchungen EKG – Streifen Langzeit-EKG (Computerauswertung, keine Tapes) EEG – Streifen Laborbefunde Krankenhausberichte Lungenfunktionsdiagnostik (Diagramme) Röntgenbilder und Aufzeichnungen über Röntgenuntersuchungen aus Deutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008 Juni 2010Jens Walter

7 7 Was darf gespeichert werden Röntgenverordnung (§§ 28 und 43) …Die Aufzeichnungen müssen enthalten: –… –2. den Zeitpunkt und die Art der Anwendung, –3. die untersuchte Körperregion, –4. Angaben zur rechtfertigenden Indikation nach § 23 Abs. 1 Satz 1, –5. bei einer Untersuchung zusätzlich den erhobenen Befund, –6. die Strahlenexposition des Patienten, soweit sie erfasst worden ist, oder die zu deren Ermittlung erforderlichen Daten und Angaben und –7. bei einer Behandlung zusätzlich den Bestrahlungsplan nach § 27 Abs. 1 Satz 1 und das Bestrahlungsprotokoll nach § 27 Abs. 3. Röntgenbilder und die Aufzeichnungen nach Absatz 1 Satz 2 können als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden… Juni 2010Jens Walter

8 8 Was darf gespeichert werden Kernaussage –alle patientenbezogenen Stammdaten dürfen / müssen erfasst werden –für die Erstellung der Kartei bedarf es keiner Einwilligung des Patienten –für digitale Speicherung bedarf es keiner gesonderten Einwilligung –Dokumentiert werden dürfen / müssen behandlungsrelevanten Daten Daten über getroffene Maßnamen Daten die der Arzt/in für dokumentationswürdig halten Feststellungen, die während der Ausübung der ärztlichen Tätigkeit gemacht werden abrechnungsrelevante Daten (nach Bereitstellung der Leistung) u. a. aus Deutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008 Juni 2010Jens Walter

9 9 Aktualität / Löschung Bundesdatenschutzgesetz (BDSG) §35 (1) personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen. Es wird die Löschung bzw. Sperrung verlangt, wenn Daten nicht nachweisbar falsch oder richtig sind, außer bei Verdachtsdiagnosen. Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden wenn, –1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder … sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und –2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Juni 2010Jens Walter

10 10 Aktualität / Löschung Deutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008| Abs. 3.3 Ein Anspruch auf Löschung und Sperrung der patientenbezogenen Daten kommt nicht in Betracht, solange eine aus dem Behandlungsvertrag und aus dem Berufsrecht vorliegende Aufbewahrungsfrist besteht. … Eine Löschung von personenbezogenen Daten kann in dem Zeitraum, in dem eine Verpflichtung zur Aufbewahrung der ärztlichen Dokumentation besteht, nicht verlangt werden. Juni 2010Jens Walter

11 11 Aufbewahrungsfristen Abhängig von der Art der Daten: Patientenakten i. a. 10 Jahre (MBO-Ä §10 Abs. 4) Auf Antrag auch länger, sollte/muss aber begründet werden Bei Möglichkeit auf Schadensersatzansprüche 30 Jahre Abwägen ob fallbezogen die Geltendmachung wahrscheinlich ist Risikoabschätzung -> Verlängerte Speicherung / Löschung Röntgenuntersuchungen 10 Jahre Röntgenbehandlungen30 Jahre Mord und Totschlag verjährt nicht (StGb §78) -> Akten müssen aufbewahrt werden bis sie endgültig nicht mehr benötigt werden -> wann ist das ? Juni 2010Jens Walter

12 12 Aufbewahrungsfristen Abhängig von der Art der Daten: Durchschriften der Arbeitsunfähigkeitsbescheinigungen 1 Jahr Durchschriften von Betäubungsmittelrezepten und Betäubungsmittel-Karteikarten 3 Jahre Sicherungskopie der Abrechnungsdatei bei Abrechnung mittels EDV & Überweisungsscheine 4 Jahre Zytologische Befunde, Röntgenuntersuchungen von Minderjährigen, ärztliche Aufzeichnungen nach Abschluss der Behandlung 10 Jahre Jede Anwendung von Blutprodukten und von gentechnisch hergestellten Plasmaproteinen & Durchgangsarztverfahren, alle ärztlichen Unterlagen, einschließlich Röntgenaufnahme 15 Jahre Angewendete Blutprodukte und Plasmaproteine vom verabreichenden Arzt 30 Jahre Juni 2010Jens Walter

13 13 Aufbewahrungsfristen Viel verschiedene Fristen in unterschiedlichen Dokumenten (Transfusionsgesetz, KVT, Röntgenverordnung, Betäubungsmittel Verordnung, ….) Quelle Seite 12: Aufbewahrungsfristen für ärztliche Aufzeichnungen Juni 2010Jens Walter

14 14 Aufbewahrungsfristen Salopp gesagt, wer lang genug und an der richtigen Stelle sucht, findet immer ein Regelung, die es ihm erlaubt, die Daten länger zu speichern als vorgesehen. Eine vorfristige Löschung von persönlichen Daten im Bereich Medizin als Patient zu erreichen ist nahezu unmöglich. Eine Sperrung kann erreicht werden, die jedoch nach BDSG §35 einen fragwürdigen Effekt hat. Juni 2010Jens Walter

15 15 ordnungsgemäße Buchführung für alle Geschäftsbereiche gültig Regelungen nach handels- und steuerrechtlichen Gesichtspunkten Zweck: Sicherung der Ordnungsmäßigkeit über Jahrhunderte gewachsen für klassische Archivierung 1977 erstmals Anerkennung von Datenträgern als Archivmedium, wenn sie diesen Regelungen (GoB) entsprechen seit 1995 GoBS für Datenverarbeitungssystem gestützte Buchführung Regeln Behandlung von aufbewahrungspflichtigen Daten und Belegen in elektronischen Buchführungssystemen datensicheren Dokumentenmanagementsystemen revisionssicheren Archivsystemen behandeln auch Verfahrenstechniken wie Scannen und Datenübernahme enthalten Vorgaben für Verfahrensdokumentation (zum Nachweis des ordnungsmäßigen Betriebes erforderlich) Juni 2010Jens Walter

16 16 ordnungsgemäße Buchführung Anforderungen an Daten und Dokumente nach GoB & GoBS vollständig geordnet sachlich richtig für Sachkundige nachvollziehbar mit dem Original inhaltlich und bildlich übereinstimmend veränderungssicher fälschungssicher zeitgerecht – ohne größere Verzögerung bereitstellbar (Anzeigeprogramm? / Datenformat?) Juni 2010Jens Walter

17 17 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation I -Zwingend erforderlich für den Nachweis, dass Forderungen für die Aufbewahrung von Daten und Bildern nach HGB und GoBS erfüllt sind -Umfang nicht vorgegeben, jedoch als Faustregel: ein Dritter muss anhand der Doku den ordnungsgemäßen Einsatz der Lösung überprüfen können -Beschreibt organisatorische und technische Prozesse: -der Entstehung (Erfassung) -der Indizierung -der Speicherung -des eindeutigen Wiederfindens -der Absicherung gegen Verlust und Verfälschung -der Reproduktion der archivierten Informationen Juni 2010Jens Walter

18 18 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation II - Elemente 1.Rechtsgrundlagen für die Archivierung 2.Beschreibung der sachlogischen Lösung aus Anwendersicht durch Archivierung betroffene Bereiche, sowie deren Aufgabenstellung und organisatorische Einbindung Beschreibung der Ablauf- und Aufbauorganisation als Basis für das erforderliche Berechtigungskonzept Archivordnung (wie lang liegt welches Dokument auf welchem Datenträger) Beschreibung der Archivfunktionalität Dokumentenhandling (Erfassung bis Entsorgung) 3.Beschreibung der programmtechnischen Lösung I verwendete Standardsoftware ggf. speziell erstellte Softwarebestandteile Nachweis über Inhalt eingesetzter Programme (Programmprotokoll) Erfassung analoger Dokumente Organisationsanweisungen Juni 2010Jens Walter

19 19 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation III – Elemente 3. Beschreibung der programmtechnischen Lösung II Organisationsanweisungen –wer darf scannen –wann ist was zu scannen –ist bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich –QS auf Lesbarkeit und Vollständigkeit –Fehlerprotokollierung –das gescannte Dokument ist mit einem unveränderbaren Index zu versehen –das Scannergebnis muss unveränderbar sein Juni 2010Jens Walter

20 20 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation IV - Elemente 4. Erfassung digitaler Dokumente I Transformation: –Übertragung von Inhalt und Formatierung auf digitale Datenträger –Sicherstellen das während der Transformation Daten nicht bearbeitet werden können –Dokument ist mit unveränderbaren Index zu versehen –das so archivierte Element darf nur unter seinem Index verwaltet und bearbeitet werden –Bearbeitungsvorgänge müssen protokolliert und im Dokument gespeichert werden (wie z. B. bei Word Dateien) –bearbeitete Dokumente müssen als Kopie gekennzeichnet werden Juni 2010Jens Walter

21 21 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation V - Elemente 4.Erfassung digitaler Dokumente II Speicherung –Beschreibung wie Integrität der archiv. Daten gewährleistet wird (inkl. der notwendigen techn. Voraussetzungen) –Änderungen an der Datenbank dürfen nicht zum Informationsverlust führen –technische Komponente des Archivierungsverfahren (z. B. die zulässigen bzw. verwendeten Speichermedien) Juni 2010Jens Walter

22 22 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation VI - Elemente 4. Erfassung digitaler Dokumente III Wiedergabe –Manipulations- und Verlustsicherheit –Lesbarkeit –Hard- und Software muss über Archivierungszeitraum funktionsfähig vorgehalten werden –Aktuelle Sicherheitskopie (z. B. bei Systemausfall) –Bei Migration muss alter Archivbestand vollkommen und unverändert lesbar sein, sonst alte Hard- und Software weiter betriebsfähig halten –Festlegungen, ob Archivdaten bildlich oder inhaltlich wiederzugeben sind Juni 2010Jens Walter

23 23 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation VII - Elemente 5. Datensicherheit Sicherheitskonzept für Daten, Hardware, Software und Datensicherung Verwendete Datenformate Versionen Normen und Standards 6. Internes Kontrollsystem Benutzerverwaltung Zugangskontrolle Zugriffsberechtigung Juni 2010Jens Walter

24 24 ordnungsgemäße Buchführung Forderung nach Verfahrensdokumentation VIII - Elemente 7.Datenschutz Regelungen für die Einhaltung der Gesetzmäßigkeiten des BDSG bei der Verarbeitung persönlicher Daten 8.Nachweis der Programmidentität Verzeichnis der installierten Komponenten Test der eingesetzten Programme, ob beschriebene Funktionalitäten erfüllt werden Dokumentation der Testergebnisse Freigabeklärung für Produktiveinsatz (Version und Zeitpunkt) Juni 2010Jens Walter

25 25 ordnungsgemäße Buchführung Revisionsicherheit Forderungen nach Gob und GoBS müssen erfüllt werden Nachvollziehbar wer wann was mit welchen Daten gemacht hat Verfahrensdokumentation muss vorliegen Überprüfung für Dokumentenmanagement System mit PK-DML Prüfkriterien für Dokumentmanagementlösungen, (nutzt der TÜV zur Zertifizierung) IT-Grundschutzkatalog des BSI bildet Grundlage, muss aber an entsprechenden Daten den höheren Sicherheitsanforderungen angepasst werden (z. B. im Bereich Patientendatenhandling) Weitere Anregungen in DOMEA Dokumentenmanagement und elektronische Archivierung im IT-gestützten Geschäftsgang –Richtlinien für die Übertragung der papierbasierten Regelungen in das IT Umfeld –Ziel ist elektronische Akte Juni 2010Jens Walter

26 26 Beweissicherung Oder auch digitale Signierung -Relevante Paragrafen: -§§126 und 126a BGB -§1 SigG -§§ 286, 371 und 371a ZPO -Qualifizierte elektronische Signaturen ermöglichen beweiskräftige, revisionssichere und rechtlich anerkannte elektronische Beurkundung / Archivierung -Akkreditierung der Zertifizierungsstelle nicht gefordert -bei Privaturkunden, Anscheinsvermutung der Echtheit -bei öffentlichen Dokumenten, Vermutung der Echtheit -Echtheitsvermutung muss vom Prozessgegner widerlegt werden Juni 2010Jens Walter

27 27 Juni 2010Jens Walter Vielen Dank für die Aufmerksamkeit


Herunterladen ppt "Rechtliche Einflüsse auf das Management von ITSicherheit (im Krankenhaus)"

Ähnliche Präsentationen


Google-Anzeigen