PRO-KLINIK Vortrag auf der Jahrestagung der IG Software 2008 Datenschutz im Krankenhaus – Spielverderber beim neuen KIS ? Von der Auskunftspflicht über die Sensibilisierung bis zum Verfahrensverzeichnis Dr. Hans-Christian Vatteroth Göttingen - 29. Mai 2008

Referentenprofil – Hans-Christian Vatteroth Dr. Hans-Christian Vatteroth Partner der PRO-KLINIK GmbH & Co. KG Qualifikation Bankkaufmann, Deutsche Bank Dortmund Diplom-Kaufmann, Universität zu Köln Management-Studium, George Washington University, Washington D.C., USA Dr. rer. pol., Universität zu Köln Beruflicher Hintergrund CURA Beratungs- und Beteiligungs-gesellschaft für soziale Einrichtungen, Hagen Verwaltungsleiter St. Josefs-Hospital, Lennestadt-Altenhundem Geschäftsführer Malteser St. Josef gGmbH, Hamm Bereichsleiter Medical, ATOSS Software AG (Beratung, Betreuung, Vertrieb), München Seit 2004 Partner der PRO-KLINIK Seit 2007 Kaufmännischer Direktor, St. Martinus-Krankenhaus, Düsseldorf Beratungsschwerpunkte Datenschutz – speziell im Kirchlichen Bereich DRG-basierte Personalbedarfsermittlung Arbeitszeitmanagement Personaleinsatzplanung / Dienstplanung IT-Auswahl und -Einführung Computergestützte Personalplanung

Datenschutz und Datensicherheit Was bedeutet der Begriff Datenschutz ? Schutz von Daten ? Schutz der Person, deren Daten verarbeitet werden ?

Neues Datenschutzrecht seit 2004 Wesentliche Änderungen: Neue Begriffe (z. B. automatisierte Verarbeitung, verantwortliche Stelle) Grundsatz der Datenvermeidung und Datensparsamkeit (§ 2a KDO) Regelung zur Videoüberwachung (§ 5a KDO) Stärkung der Rechte der Betroffenen - bei der Datenerhebung (direkt, sonst Benachrichtigung) - bezüglich der Korrektur der Daten - Auskunftsrechte  Dem entspricht eine Auskunftspflicht des Krankenhauses.

Datenschutzrelevant - Ja oder nein ? Eine Tafel mit den Namen und Zimmernummer aller Patienten im Eingangsbereich Patientenname an der Zimmertür oder am Bett Videoüberwachung der Eingangshalle Weitergabe von privaten Telefonnummern der Mitarbeiter durch die Personalabteilung Visitenwagen auf dem Gang Kopie der Patientenakte für Beleghebamme Gruppenpasswort am Stationsarbeitsplatz

Tipp N° 1 Datenschutz darf NIE zur BREMSE werden !!! Beachten Sie bitte immer ... Datenschutz muss Sie in Ihrem Krankenhaus in der Ausübung Ihrer Tätigkeiten unterstützen. Denn: Sie haben einen Versorgungsauftrag ! Datenschutz darf NIE zur BREMSE werden !!!

Niemals mit Kanonen auf Spatzen schießen! Tipp N° 2 Niemals mit Kanonen auf Spatzen schießen!

Aufgaben des betrieblichen Datenschutzbeauftragten § 18 b KDO Abs. 1: Hinwirken auf das Einhalten der („gesetzlichen“) Vorschriften zum Datenschutz § 18 b KDO Abs. 3: Einsicht in das Verfahrensverzeichnis Aber: § 18 b KDO Abs. 2: Die verantwortliche Stelle hat dem betrieblichen Datenschutzbeauftragten eine Übersicht nach § 3 a Abs. 2 zur Verfügung zu stellen

Sinn des Verfahrensverzeichnisses Der Inhalt des Verfahrensverzeichnisses soll dem Betroffenen Anhaltspunkte geben, bezogen auf welche Daten er sein Auskunftsrecht ausüben möchte.

Bedeutung des Verfahrensverzeichnisses Gemäß BDSG: Öffentliches Verzeichnis (§ 4g BDSG) d. h. sog. „Jedermann“ – Verzeichnis Gemäß KDO: Grundsätzlich K E I N öffentliches Verzeichnis (§ 3a Abs. 4 KDO)  Einsicht für „Jedermann“, auf Antrag der ein berechtigtes Interesse nachweist (§ 18b Abs. 3 KDO)

Meldepflicht und Verfahrensverzeichnis § 3 a KDO Abs. 1: Verfahren automatisierter Verarbeitung (personenbezogener Daten) sind vor Inbetriebnahme dem Diözesandatenschutz- beauftragten zu melden. § 3 a KDO Abs. 3: Diese Meldepflicht entfällt, wenn ein betrieb- licher Datenschutzbeauftragter bestellt wurde. § 3 a KDO Abs. 4: Die Angaben nach § 3 a Abs. 2 KDO sind von der kirchlichen (verantwortlichen) Stelle in einem Verzeichnis vorzuhalten.

Erstellen des Verfahrensverzeichnisses Nur bei Verarbeitung personenbezogener Daten Für jedes automatisierte Verfahren einer verantwortlichen Stelle füllt der Rechtsträger ein Formular nach Muster 1 und Muster 2 aus. (Anlage 1. Zu Abschnitt I. KDO-DVO (§ 3 a KDO))

Muster 1: Allgemeine Angaben (1) 0. Bezeichnung des Verfahrens / Software-Lösung (Gruppe) Medizin: KIS und angeschlossene Subsysteme (nicht Module des KIS), LIS, RIS/PACS, Kardiologie-IS, EPA OP-Planung u. –Dokumentation, Anästhesie, Medizintechnik, Archivverwaltung Befundungssysteme, Terminplanung, Praxis-Software (Ambulanz, MVZ), Küche, DKS / DCW / SAP (FI, CO, MM etc.), Abrechnung (ISH-med), DALE-UV Data Warehouse, Controlling, QS-Systeme etc. Personalwesen: Entgeltabrechnung (Lohn + Gehalt), digitale Personalakte, Schulverwaltung, Bewerberverwaltung, Dienstplanung / Zeitwirtschaft / Zutritt / Parkplatz etc., Video-Überwachung, Ticket-Systeme (Technik) etc.

Muster 1: Allgemeine Angaben (2) 1. Name und Anschrift (fakultativ: Fon, Fax, e-Mail) 1.1 des Rechtsträgers (z. B. Maria Hilf NRW gGmbH / BBT e. V. ) 1.2 der verantwortlichen Stelle (z. B. Dreifaltigkeitskrankenhaus Wesseling / Brüderkrankenhaus Trier) 2. Vertretung der verantwortlichen Stelle (namentlich) 2.1 Leiter der verantwortlichen Stelle (z. B. Geschäftsführerin / Kfm. Direktor) 2.2 mit der Leitung der Datenverarbeitung beauftragte Person (EDV- / IT-Leiter oder zuständige Bereichsleiter (Personal, Technik etc. ))

Muster 1: Besondere Angaben (1) 3. Zweckbestimmung der Datenerhebung, -verarbeitung oder –nutzung 4. Betroffene Personengruppen und Daten oder Datenkategorien 4.1 Betroffene Personengruppen 4.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien

Muster 1: Besondere Angaben (2) 4. Betroffene Personengruppen und Daten oder Datenkategorien 4.1 Beschreibung der betroffenen Personengruppen KIS: Patienten / Säuglinge, ggf. Betreuer /gesetzlicher Vertreter (bei gesetzlicher Betreuung / Eltern), ggf. Angehörige, Mitarbeiter (Ärzte, Pflege etc. gem. „Rolle“), Lieferanten (soweit Einzelkaufleute) inkl. Apotheker, niedergelassene Ärzte (u. a. Einweiser, Konsilärzte) Küche: Patienten / Säuglinge, ggf. Angehörige (Begleitpersonen), Mitarbeiter (Küchenpersonal, ggf. Pflege), Zeitwirtschaft / (Zutritt) / Parkplatz / Cafeteria bei Übergabe an die Lohnbuchhaltung: Mitarbeiter

Muster 1: Besondere Angaben (3) 5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können KIS: Kostenträger (Krankenkasse, Sozialleistungsträger etc.), mit- und nachbehandelnde Ärzte + Einrichtungen statistische Auswertungen (BQS, INeK, 3M etc.) 6. Regelfristen für die Löschung der Daten 7. Geplante Datenübermittlung ins Ausland

Im Notfall zu verwenden: Dr. Hans-Christian Vatteroth PRO-KLINIK Krankenhausberatung Richard-Zanders-Str. 45 51469 Bergisch Gladbach Fon: 02202 – 96 12 - 0 Fax: 02202 – 96 12 122 Mail to: Vatteroth@PRO-KLINIK.de