Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

12. Datenschutz und Datensicherheit

Veröffentlicht von:Griselda Heiliger Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "12. Datenschutz und Datensicherheit"—  Präsentation transkript:

1 12. Datenschutz und Datensicherheit
Wintersemester 2010/11 Dozent: Univ.-Prof. Dr. med. Stefan Schulz

2 Beispiel (I) Turnusarzt erhält den Auftrag, Daten für eine prospektive Studie zu Melanom zu sammeln: Für jede Biopsie muss er klinische Daten aus der elektronischen Krankenakte heraussuchen, pro Patient einen Lifestyle-Fragebogen ausfüllen, und alle Daten tabellarisch zusammenzustellen Der Arzt hat keinen eigenen PC in der Klinik zur Verfügung

3 Beispiel (II) Der Arzt erhält von der IT-Abteilung für jede Präparatenummer die zugehörige Patienten-ID Mit der Patienten-ID greift er auf die elektronische Krankenakte zu Für die Studiendaten legt er eine Excel-Tabelle an Die Excel-Tabelle speichert er auf seinem USB-Stick am Schlüsselanhänger

4 Beispiel (III) Alle Daten werden aus der Krankenakte händisch in die Excel-Tabelle übertragen

5 Frage Welche Defizite erkennen Sie bei dieser Methode?
Wo kann die Medizinische Informatik die gestellte Aufgabe unterstützen? Wo sehen Sie Probleme hinsichtlich Datenschutz Datensicherheit

6 Rechtliche Grundlagen (I)
Datenschutzgesetz 2000: Personenbezogene Daten: Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind (Name SV-Nr., Adresse) Indirekt personenbezogene Daten: Personenbezug mit rechtlich zulässigen Mitteln nicht bestimmbar. Sensible Daten: ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben. Zustimmung:  ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten in Kenntnis der Sachlage (keine Formvorschrift).

7 Rechtliche Grundlagen (II)
Datengeheimnis: Daten aus Datenanwendungen, die Anwendern ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden sind geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung dieser Daten besteht. Daten dürfen nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermittelt werden. Das Datengeheimnis muss auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden

8 Informationelle Selbstbestimmung:
Der Datenschutz schützt Menschen, nicht Daten! Erweitertes Persönlichkeitsrecht: Möglichkeit für eine Person zu wissen, wer, was, wann, wo und bei welcher Gelegenheit über sie weiß Anspruch einer Person darauf, dass „ihre Daten“ nicht unbefugt erhoben, verarbeitet oder genutzt werden

9 Datenschutz im Gesundheitswesen
Bedeutung des Datenschutzes Unmittelbare Bedrohung der sozialen Stellung und psychischen und physischen Unversehrtheit des Menschen Verletzung des Datenschutzes: überwiegend bedroht durch Verstöße von Mitarbeitern, meist ohne böse oder kriminelle Absicht; basierend auf Neugier, Mitteilungsbedürfnis oder Fahrlässigkeit Schutzobjekte: personenbezogene Daten. Medium: Dateien und Akten (nicht unbedingt elektronisch) Quelle:

10 Datenschutz - Grundregel
Verbot mit Erlaubnisvorbehalt

11 Datenschutz – Grundregel
die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die verantwortlichen Stellen ist nur zulässig, sofern sie gesetzlich erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat die verantwortliche Stelle darf Daten nur zu dem Zweck verarbeiten und nutzen, zu dem sie erhoben wurden es dürfen nur Daten erhoben, verarbeitet und genutzt werden, die für die jeweilige Aufgabe erforderlich sind Entsprechend Schweigepflicht (1) Der Arzt hat über das, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist – auch über den Tod des Patienten hinaus – zu schweigen. Dazu gehören auch schriftliche Mitteilungen des Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde. (2) Der Arzt ist zur Offenbarung befugt, soweit er von der Schweigepflicht entbunden worden ist oder soweit die Offenbarung zum Schutze eines höherwertigen Rechtsgutes erforderlich ist. Gesetzliche Aussage und Anzeigepflichten bleiben unberührt. Soweit gesetzliche Vorschriften die Schweigepflicht des Arztes einschränken, soll der Arzt den Patienten darüber unterrichten.

12 Datenschutz bei der Erhebung von Daten
kein Einblick für Dritte in die Krankenakten oder Monitore Schutz gegen Mithören Zulässigkeitskriterien, welche die Erhebung von Daten erlaubt: Behandlungsvertrag (Arzt – Patient) gesetzliche Regelungen sonstige (schriftliche) Zustimmungserklärungen

13 Datenschutz beim Speichern von Daten
Zur Sicherstellung sachgerechte medizinische Behandlung (einschließlich Abrechnung) Dokumentation des Behandlungsverlaufs rechtliches Dokument Quelle:

14 Übermittlung von Daten
gesetzliche Anzeigepflichten: drohende Verbrechen übertragbare Krankheiten, Infektionsschutz Geburten und Todesfälle Vernachlässigung Behinderter unnatürlicher Tod

15 Übermittlung von Daten (Krankenhaus)
zu einer anderen Fachabteilung derselben Krankenhauses nur in dem Umfang wie zur tatsächlichen Erfüllung des Behandlungsvertrages erforderlich an die Krankenhausverwaltung zum Zwecke der Abrechnung für Aus-, Fort- und Weiterbildungszwecke im Krankenhaus (möglichst Teilanonymisierung)

16 Übermittlung von Daten (Krankenhaus)
zur Qualitätssicherung (extern/ intern) zur Abrechnung (Sozialleistungsträger) für gerichtliche Verfahren zur Abwehr von gegenwärtigen Gefahren (z.B. Suizidabsicht, Kindesmisshandlung, Führen eines Kfz unter Drogeneinfluss) an im Behandlungsvertrag ausdrücklich genannte Angehörige (nur vom Arzt) bei Bewusstlosigkeit: es wird von einer mutmaßlichen Einwilligung

17 Übermittlung von Daten zwischen Krankenhaus und Arztpraxis
Voraussetzung: schriftliche, widerrufbare Einwilligung des Patienten liegt vor Krankenhaus muss Behandlungsdaten/ Befunde an den Hausarzt übermitteln Krankenhaus darf Befunde nachfragen

18 Verwendung von Daten in der medizinischen Forschung
Zulässigkeit der Verwendung von Daten: ausdrückliche Zustimmung des Betroffenen indirekt personenbezogene Daten: Genehmigung der Datenschutzkommission Daten wenn möglich anonymisieren! bei wichtigem öffentliches Interesse: explizite Regelungen (Güterabwägung)

19 Meldepflicht vor Aufnahme einer Datenverarbeitung:
Meldung an Datenschutzkommission Eintrag in Datenverarbeitungsregister von der Meldepflicht ausgenommen: Anwendungen mit nur indirekt personenbezogenen Daten einige Standardanwendungen (Rechnungswesen, Kundenbetreuung,…)

20 Anonymisierung direkter Personenbezug: Identität bestimmbar (z.B. Name, Adresse) indirekter Personenbezug: für einen Dritten (z.B. den Inhaber des Entschlüsselungscodes bei codierten Identitätsdaten) bestimmbar Erleichterter Gebrauch: „Als mögliches Mittel der Identifikation ist ein solches anzusehen, das „vernünftigerweise“ angewendet wird, d.h. das weder seiner Art nach, noch seinem Aufwand nach vollkommen ungewöhnlich ist.“

21

22

23 k-Anonymität Nach Entfernung primärer Identifikationsmerkmale
zu jeder Wertkombination sekundärer Identifikationsdaten bestehen mindestens k identische Datensätze in Beispiel: sekundäre Identifikationsdaten „Beruf“ und „Ort“: k=5: mindestens 5 Kraftfahrer in Graz mindestens 5 Tierärzte in Spielfeld (?) k ≥ 2 akzeptabel

24 Identifikationsdaten
Primäre Identifikationsdaten Attribut(kombinationen), die von Natur her oder aufgrund ihrer Definition zur Identifikation dienen (auch wenn dazu eine Verknüpfung mit anderen Daten notwendig ist): „Name und Adresse“, „Sozialversicherungsnummer“, „Aufnahmezahl“ Sekundäre Identifikationsdaten Attribute, die bei Kombination und aufgrund der möglichen Attributwerte ein eindeutiges Muster ausprägen können. Beispiel: seltener Beruf, kleiner Ort…

25

26 Datensicherheit Organisatorische, personelle und technische Maßnahmen zur Gewährleistung ordnungsgemäßer Datenverwendung (1) Quelle:

27 Datensicherheit - Grundwerte
Daten und IT-Systeme müssen geschützt werden hinsichtlich: Vertraulichkeit Integrität Verfügbarkeit Verbindlichkeit: Zuordnung von Aktionen, Unbestreitbarkeit von Prozessen Datensicherheit wird bedroht durch Fehler (Bedienung, Hardware, Software) und Zerstörung (mechanisch, Wasser, Feuer,…) Ist ein Fax-Rechtsverbindlich? NEIN

28 Datensicherheit - Grundwerte
Vertraulichkeit: Informationsgewinn aus Daten ist nur berechtigten Personen Integrität: Schutz vor Verfälschung und unberechtigter Manipulation von Daten Verfügbarkeit: Daten sind in angemessener Frist nutzbar. Verbindlichkeit: Eigenschaft eines IT-Systems, Handlungen von Personen oder Prozessen so zu vollziehen, dass die handelnde Instanz ihre Aktionen im Nachhinein nicht abstreiten kann (Authentizität = nachweisbare Urheberschaft).

29 Datensicherheit - Bedrohungen
Unbefugter Informationsgewinn: das unbefugte Lesen und Abhören von Daten: Verlust der Vertraulichkeit. Unbefugte Datenmodifikation: Verlust der Integrität, z.B. Löschen und Verändern. unbefugte Modifikation der Funktionalität – Angriff auf Verfügbarkeit: eine Beeinträchtigung der Inanspruchnahme, etwa durch Unterbrechung der Kommunikation oder Verzögerung zeitkritischer Dienste Leugnen von Kommunikationsbeziehungen - Verlust der Verbindlichkeit: Bestreiten der Teilnahme an der Kommunikation oder die Korrektheit der gesendeten und empfangenen Daten. Angriffspunkte : Speicher- und Kommunikationsmedien, Kommunikationsendpunkte (Abhören, Anzapfen, Mithören, unautorisierter Zugriff durch Vorspielen falscher Identitäten, etc.)

30 Sicherheitsgrundfunktionen
Identifikation und Authentisierung: Identifikation eines Nutzers durch durch Wissen: Passwortverfahren. Nachteile : kurze, leicht merkbare Passwörter können leicht geraten werden; lange, komplizierte Passwörter werden möglicherweise an unsicheren Orten abgelegt durch Besitz: Chipkarte (Token), wird in der Regel mit einer Passwortauthentisierung gekoppelt (PIN). Authentisierung durch biometrische Verfahren: schwer fälschbare persönliche Merkmale (Stimme, Fingerabdruck, Unterschrift , Irisscan) Zugriffskontrolle: Regelung, welche Person bevollmächtigt wird, welche IT-Anwendungen oder Daten zu nutzen. Nur so viele Zugriffsrechte vergeben, wie für die Aufgabenwahrnehmung nötig Zugriffsrechte (zu Anwendungen und Daten) Gewährleistung der Unverfälschtheit (Integrität) , z.B. durch Prüfsummen Nachweis der Datenursprungs (elektronische Unterschrift) Beweissicherung: Protokollierung von Zugriff, Veränderung, Löschen, … Zuverlässigkeit der Dienstleistung: bei Ausfall einzelner Funktionen eines Systems sollten andere Funktionen unbeeinträchtigt bleiben.

31 Allgemeine Schutzmaßnahmen
~ 75% sicherheitsrelevanter Schäden an Computersystemen und Netzen mindestens teilweise durch menschliches Versagen (Nachlässigkeit, Irrtum, mangelnde Kenntnis der Mitarbeiter) verursacht Personelle Schutzmaßnahmen: Personalauswahl, Einbindung der Mitarbeiter in die IT-Sicherheitskonzeption Geregelte Einarbeitung/ Unterweisung Schulungen zur IT-Sicherheit, Sensibilisierung und Motivation Infrastrukturelle Schutzmaßnahmen Datensicherungskonzept: redundanter Datenbestand sichert Betrieb bei Verlust des operativen Datenbestandes, z.B. durch Anlegen mehrerer Kopien der Daten und Programme. Es gibt verschiedene Arten der Datensicherung (Datenspiegelung, Volldatensicherung, inkrementelle Datensicherung, differentielle Datensicherung). Bauliche Maßnahmen: Brandschutz, Lagerung von Sicherheitsmedien Gewährleistung der Vertraulichkeit: Zutritts- (in Räume), Zugangs- (zu IT-Komponenten und Netzen)

32 Zusammenfassung Datenschutz
Datenschutz schützt Personen hinsichtlich ihrer „informationellen Selbstbestimmung“ Grundregel des Datenschutzes: Verbot mit Erlaubnisvorbehalt Prinzipien: Zweckbindung Erforderlichkeit

33 Zusammenfassung Datensicherheit
Daten und Informationssysteme werden bedroht durch Mißbrauch, Fehler und Zerstörung Daten müssen geschützt werden hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit (Grundwerte der Datensicherheit)

34 Gesetzeslage (EU) Europäische Menschenrechtskonvention (EMRK): Art. 8 Abs. 1 Anspruch eines jeden Menschen auf Achtung seines Privatlebens, seines Familienlebens, seiner Wohnung und seines Briefverkehrs Grundrechte-Charta der EU: Art. 7 Achtung des Privat- und Familienlebens, Art. 8 Schutz personenbezogener Daten, Art. 11 Freiheit der Meinungsäußerung und Informationsfreiheit, Art. 13 Freiheit von Kunst und Wissenschaft, Art. 52 Tragweite der garantierten Rechte EG Datenschutzrichtlinie: Richtlinie 95/46/EG des Europäischen Parlaments vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr EG Datenschutzrichtlinie für die elektronische Kommunikation (bereichsspezifische Regelung): Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

35 Gesetzeslage (Österreich)
Datenschutz in Österreich ist im DSG 2000 geregelt (2005 novelliert): 165.Bundesgesetz: Datenschutzgesetz 2000 – DSG Bundesgesetzblatt für die Republik Österreich v. 17.August Teil I, S.1277– Die rechtlichen Rahmenbedingungen für die elektronische Unterschrift und die damit verbundene Infrastruktur finden sich im: 190. Bundesgesetz: Signaturgesetz – SigG. Bundesgesetzblatt für die Republik Österreich v.19. August Teil I, S. 1451–1462. Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung; § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

36 Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung
(1) Der Arzt ist verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person, insbesondere über den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen im Sinne des § 26 Abs. 8 des Arzneimittelgesetzes, BGBl. Nr. 185/1983, erforderlichen Daten zu führen und hierüber der beratenen oder behandelten oder zu ihrer gesetzlichen Vertretung befugten Person alle Auskünfte zu erteilen.

37 Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung
(2) Ärzte sind zur automationsunterstützten Ermittlung und Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten an die Sozialversicherungsträger und Krankenfürsorgeanstalten in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, sowie an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Zustimmung des Kranken berechtigt. Die zur Beratung oder Behandlung übernommene Person hat das Recht auf Einsicht, Richtigstellung unrichtiger und Löschung unzulässigerweise verarbeiteter Daten. (3) Die Aufzeichnungen sowie die sonstigen der Dokumentation im Sinne des Abs. 1 dienlichen Unterlagen sind mindestens zehn Jahre aufzubewahren.

38 Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht
(1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. (2) Die Verschwiegenheitspflicht besteht nicht, wenn nach gesetzlichen Vorschriften eine Meldung des Arztes über den Gesundheitszustand bestimmter Personen vorgeschrieben ist Mitteilungen oder Befunde des Arztes an die Sozialversicherungsträger und Krankenfürsorgeanstalten oder sonstigen Kostenträger in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, erforderlich sind, die durch die Offenbarung des Geheimnisses bedrohte Person den Arzt von der Geheimhaltung entbunden hat, die Offenbarung des Geheimnisses nach Art und Inhalt zum Schutz höherwertiger Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege unbedingt erforderlich ist.

39 Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht
(3) Die Verschwiegenheitspflicht besteht auch insoweit nicht, als die für die Honorar- oder Medikamentenabrechnung gegenüber den Krankenversicherungsträgern, Krankenanstalten, sonstigen Kostenträgern oder Patienten erforderlichen Unterlagen zum Zweck der Abrechnung, auch im automationsunterstützten Verfahren, Dienstleistungsunternehmen überlassen werden. Eine allfällige Speicherung darf nur so erfolgen, dass Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind. Diese anonymen Daten sind ausschließlich mit Zustimmung des Auftraggebers an die zuständige Ärztekammer über deren Verlangen weiterzugeben.

Herunterladen ppt "12. Datenschutz und Datensicherheit"

Ähnliche Präsentationen

Telemonitoring 27.03.2017 | Technologie-und Marketing-Management in IT-/TIMES-Märkten | Yassin Zribi | 1 20. Mai 2010 |

Telemonitoring | Technologie-und Marketing-Management in IT-/TIMES-Märkten | Yassin Zribi | Mai 2010 |
Version 5. Internal use only Network Support Center All rights reserved, property and © CAD-Computer GmbH 2002 21 CFR 11, ERES Electronic Record Electronic.

Version 5. Internal use only Network Support Center All rights reserved, property and © CAD-Computer GmbH CFR 11, ERES Electronic Record Electronic.
BAFA Beratungsförderung

BAFA Beratungsförderung
Elektronisches Verzeichnis der Gesundheitsdienstanbieter Zur Förderung des elektronischen Datenaustausches im Gesundheitswesen.

Elektronisches Verzeichnis der Gesundheitsdienstanbieter Zur Förderung des elektronischen Datenaustausches im Gesundheitswesen.
Datensicherung und Datenschutz

Datensicherung und Datenschutz
Persönliche Assistenz

Persönliche Assistenz
e-commerce monitoring gmbh

e-commerce monitoring gmbh
Compliance in der Arzneimitteltherapie

Compliance in der Arzneimitteltherapie
Die ideale Praxis……? © Dipl.-Math. Ulrich Holz Gera 2010.

Die ideale Praxis……? © Dipl.-Math. Ulrich Holz Gera 2010.
GeoWeb-Präsentation Bruchhausen-Vilsen 20.11.2002 Plenum ViR-Nordwest Oldenburg 02.11.2007 GIS in der VIR Nordwest Einsatzmöglichkeiten von Google Earth.

GeoWeb-Präsentation Bruchhausen-Vilsen Plenum ViR-Nordwest Oldenburg GIS in der VIR Nordwest Einsatzmöglichkeiten von Google Earth.
Trend SWM EDV-Beratung GmbH & Co. KG Kundenforum 2006 Datenschutz und Sicherheit Datenschutzbeauftragter Bernardo AVILES.

Trend SWM EDV-Beratung GmbH & Co. KG Kundenforum 2006 Datenschutz und Sicherheit Datenschutzbeauftragter Bernardo AVILES.
Geschwindigkeit Bewegung und Geschwindigkeit zum Zuordnen

Geschwindigkeit Bewegung und Geschwindigkeit zum Zuordnen
1 Rechtsanwalt D IRK -H AGEN M ACIOSZEK ___________________________________________________________________________________________________________ ___________________________________________________________________________________________________________

1 Rechtsanwalt D IRK -H AGEN M ACIOSZEK ___________________________________________________________________________________________________________ ___________________________________________________________________________________________________________
Netzteil Netzwerkkarte IDE-Kabel Stromversorgungsstecker

Netzteil Netzwerkkarte IDE-Kabel Stromversorgungsstecker
Ein Rechensystem ist ein aus Hard- und Software bestehendes System zur Speicherung und Verarbeitung von Informationen.

Ein Rechensystem ist ein aus Hard- und Software bestehendes System zur Speicherung und Verarbeitung von Informationen.
Ein kommando unter Windows 7

Ein kommando unter Windows 7
Www.initiative-elga.at IKT in der Medizin aus:. www.initiative-elga.at Agenda Was bedeutet IKT Was soll IKT beinhalten Die wesentlichen Elemente von IKT.

IKT in der Medizin aus:. Agenda Was bedeutet IKT Was soll IKT beinhalten Die wesentlichen Elemente von IKT.
Gefahrenstoffverordnung 2010

Gefahrenstoffverordnung 2010
Rechtliche Grundlagen für barrierefreies Web Es betrifft nicht nur das E-GOVERNMENT Martin Ladstätter BIZEPS – Zentrum für Selbstbestimmtes Leben.

Rechtliche Grundlagen für barrierefreies Web Es betrifft nicht nur das E-GOVERNMENT Martin Ladstätter BIZEPS – Zentrum für Selbstbestimmtes Leben.
Server.

Server.

Ähnliche Präsentationen

Google-Anzeigen