IHE-konformer Datenaustausch und rechtliche Aspekte

Slides:



Advertisements
Ähnliche Präsentationen
Datenschutz im IT-Grundschutz
Advertisements

Medizinische Telematik und Datenschutz
Surfen im Internet.
Agenda Einleitung Risiken und Gefahren Vorbeugung
Datenschutz am Mittag Videoüberwachung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Ulrich Kähler, DFN-Verein
Von Klasse 11a Svenja Kissel Nadine Opp Jasmin Geyer
Datenschutz-Unterweisung
Einführung in die Ausbildung
Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.
KIS-orientierte Behandlungspfad-Ermittlung und -Implementierung
Datenschutz? Unwissenheit schützt vor Strafe nicht!
Datenschutz in der Social-Media-Nutzung durch öffentliche Verwaltungen
Branchennetz Gesundheitswesen IT Grundlagen der
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz- Einführung und Prinzipien
Datenschutz in the small
Wie E-Health & ELGA unser Leben verändern APA E-Business-Community 25. Juli 2013 Susanne Herbek, ELGA GmbH.
Datenschutz als Grundrecht
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Die neue europäische Datenschutzverordnung
Gliederung Einleitung eID-Infrastruktur und Komponenten
Informationsveranstaltung „Erweitertes Sicherheitskonzept für die Fachhochschule Dortmund“ am
Ambient Assisted Living: Relevante Aspekte des Datenschutzes
Workflow-Management, Workflow-Analyse und Identity Management
Datenschutz und Datensicherheit
Datenschutz?!?!.
eHealth - datenschutzrechtliche Herausforderungen
Die EDV und damit verbundene Gefahren
DICOM – Kommunikation und Datenschutz
Datenschutz als Grundrecht
1 Herzlich willkommen Medienkonferenz Tätigkeitsbericht April 2011.
BEM aus Datenschutzsicht
Datenschutz- und IT-Sicherheitsaudit
Datenschutz und Datensicherheit
Datenschutz und Datensicherheit
Datenschutz und Datensicherheit
Datenschutz und Datensicherheit
Datensicherheit.
Datenschutzrechtliche Anforderungen an medizinische Portallösungen
Datenschutz und Datensicherheit
Die Professionalität maximieren Modul 6. Inhalt Die Aufgaben Die Rollen Die Kollaboration zwischen Mitarbeitern Die Kommunikation zwischen den Mitarbeitern.
Datenschutz - Datensicherheit
Datenschutz im Cyberspace Rechtliche Pflichten für Treuhänder Mathias Kummer Weblaw GmbH Laupenstrasse Bern Mathias.
Ist das DANRW vertrauenswürdig? Manfred Thaller Universität zu Köln Köln, Die Herausforderung der Elektronischen Archivierung 16. Januar 2013.
IT-Sicherheit im Krankenhaus
Bundesdatenschutzgesetz (BDSG)
Datenschutz und Datensicherheit
Agenda 1. Titelfolie 2. Agenda 3.
Rechtliche Rahmenfaktoren der Netzwerksicherheit
HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.
Digitale Transformation: Zentrale Rechtsfragen von Datenschutz und IT-Sicherheit beachten! CeBIT Mittelstandslounge 5 - Stand D04 Dr. Thomas.
Kann die Freiheit im Netz grenzenlos sein – Datenschutz und Digitalisierung des Lebens Netzpolitische Konferenz DIE LINKE 7. Juli 2015, Schwerin.
Muster-Auftragsdatenverarbeitungsvertrag Eine AG von bvitg, BvD, GDD und GMDS Dr. Bernd Schütze BvD Verbandstag, 12. Mai 2015.
Eine DICOM-Treffen-Geschichte
DatenschutzManagement mit Verinice
Datenschutz in der Praxis Datenschutz im Gesundheitsbereich Aufgaben des Datenschutzbeauftragten Andrea Gruber Direktion Technologie und Informatik Stv.
Warum Schulung jetzt? - Neuer DSB
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Alles mit rechten Dingen − juristische Fragen rund ums eLearning Impulsreferat lernPause 11. Oktober 2011 Andreas Brennecke (IMT)
© Handwerkskammer des Saarlandes, Hohenzollernstraße 47-49, Saarbrücken IT-Sicherheit im Handwerksunternehmen Gefahr erkannt – Gefahr gebannt! IT.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Datenaustauschplattformen Eine Praxishilfe bzgl. datenschutzrechtlicher Anforderungen  Dr. Bernd Schütze ???
DICOM – Kommunikation und Datenschutz
Datenschutzrechtliche Anforderungen an medizinische Portallösungen
Am 25.Mai 2018 tritt die EU-DSGVO in Kraft
Umsetzung neues Datensschutzrecht
 Präsentation transkript:

IHE-konformer Datenaustausch und rechtliche Aspekte ??? IHE-konformer Datenaustausch und rechtliche Aspekte Dr. Bernd Schütze 96. Deutscher Röntgenkongress

Dr. Bernd Schütze Studium Zusatz-Ausbildung Berufserfahrung Studium Informatik (FH-Dortmund) Studium Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) Studium Jura (Fern-Uni Hagen) Zusatz-Ausbildung Zusatzausbildung Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) Zusatzausbildung Datenschutz-Auditor (TüV Süd) Zusatzausbildung Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut) Berufserfahrung 10 Jahre klinische Erfahrung 20 Jahre IT im Krankenhäusern 20 Jahre Datenschutz im Gesundheitswesen Mitarbeit in wiss. Fachgesellschaften Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) Gesellschaft für Informatik (GI) Mitarbeit in Verbänden Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) Berufsverband Medizinischer Informatiker e.V. (BVMI) Fachverband Biomedizinische Technik e.V. (fbmt) HL7 Deutschland e.V.

Agenda Worum geht es? Datenschutz – was versteht man eigentlich darunter? Rechtliche Grundlage Sicherer Zugang der Daten Nachweis von Handlungen Anforderungen an die Datensicherheit Werbeblock: IHE Deutschland 96. Deutscher Röntgenkongres

Worum geht es eigentlich? Datenaustausch … zwischen Krankenhäusern 96. Deutscher Röntgenkongres

Worum geht es eigentlich? Datenaustausch … zwischen Krankenhäusern und niedergelassenen Praxen 96. Deutscher Röntgenkongres

Worum geht es eigentlich? Datenaustausch Welche Randbedingungen sollte ich beim Einsatz einer datenaustauschplattform wie XDS beachten? 96. Deutscher Röntgenkongres

Datenschutz – aber was ist das? Datenschutz ǂ Schutz der Daten Datenschutz = Schutz der Freiheit einer Person, selbst zu entscheiden, was mit ihren/seinen Daten geschieht 96. Deutscher Röntgenkongres 7

Datenschutz: Rechtliche Grundlagen EU Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie) Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten Richtlinie 2009/136/EG („Cookie“-Richtlinie) Bundesrecht Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) Signaturgesetz (SigG) Verordnung zur elektronischen Signatur (SigV) Mediendienstestaatsvertrag (MDStV) Landesrecht (z.B. NRW) Archivgesetz (ArchivG) Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz (AG G 10 NW) Berufsordnung der Ärztekammer Westfalen-Lippe Berufsordnung für die nordrheinischen Ärztinnen und Ärzte Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein Berufsordnung für Apothekerinnen und Apotheker derApothekerkammer Westfalen-Lippe Datenschutzgesetz (DSG NRW) Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG) Gesetz über den Feuerschutz und die Hilfeleistung Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG) Gesetz über Tageseinrichtungen für Kinder (GTK) Gesundheitsdatenschutzgesetz (GDSG NW) Gutachterausschussverordnung (GAVO NRW) Heilberufsgesetz (HeilBerG) Hochschulgesetz (HG) Krankenhausgesetz (KHG NRW) Meldedatenübermittlungsverordnung (MeldDÜV NRW) Meldegesetz (MG NRW) Sicherheitsüberprüfungsgesetz (SÜG NRW) Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW) Kirchenrecht Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) Verordnung über die in das Gemeindeverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen Verordnung über den automatisierten zwischenkirchlichen Datenaustausch Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der Vereinigten Evangelisch-Lutherischen Kirche Deutschlands Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche Anordnung über das kirchliche Meldewesen (KMAO) für Bistum … Anordnung über den kirchlichen Datenschutz (KDO) für Bistum … Durchführungsverordnung zur KDO (KDO-DVO) Medizinisches Umfeld Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO) §9 Abs. 1 Schweigepflicht des Arztes Strafprozessordnung (StPO) §53 Ab2. 1 Zeugnisverweigerungsrecht §97 Abs.1 Beschlagnahmeverbot §103 Abs.1 eingeschränktes Durchsuchungsrecht für Arztpraxen Strafgesetzbuches (StGB) §203 Abs.1 4.2.1.2.c Ärztliche Schweigepflicht Zivilprozessordnung (ZPO) § 383 Zeugnisverweigerung aus persönlichen Gründen Sozialgesetzbuch V (SGB V) § 73 Kassenärztliche Vereinigung § 140a Integrierte Versorgung 96. Deutscher Röntgenkongres 8

Datenschutzrecht im Rechtssystem EU Europäische Grundrechte-Charta Datenschutz-Richtlinie Wirkung über Umsetzung in deutsche Gesetze Datenschutz-Verordnung (derzeit im Entwurf, sie würde unmittelbar gelten und deutsches Recht ersetzen) Bundesdatenschutzgesetz (BDSG) Privatpersonen Privatwirtschaft Bundesbehörden Kirchliche Datenschutzgesetze Einrichtungen der evang. und kath. Kirche Landesdatenschutzgesetze öffentliche Verwaltung in Land und Kommunen Spezialgesetze (Vorrang vor allg. Gesetzen) TeleMedienGesetz TeleKommunikationsGesetz Gesundheitsdatenschutz Hochschulgesetz SGB, AO, Polizeigesetz, Passgesetz, Personalausweisgesetz, Aufenthaltsgesetz, LandesMeldeGesetz, Landesverwaltungsgsetz, … Rechtmäßigkeit der Datenverarbeitung Gesetzliche Grundlagen Einwilligung Grundsatz der Zweckbindung Grundsatz der Erforderlichkeit Grundsatz der Datenvermeidung und Datensparsamkeit Grundsatz der Transparenz Grundsatz der klaren Verantwortlichkeiten Grundsatz der Kontrolle Grundsatz der Gewährleistung der Betroffenenrechte Verbot der Profilbildung Verbot der Datensammlung auf Vorrat Verbot der automatisierten Einzelentscheidung Nutzung pseudonymisierter oder anonymisierter Daten Verpflichtung zum Schutz der Daten 96. Deutscher Röntgenkongres 9 9

Rechtliche Grundlage Für jede Datenweitergabe brauche ich eine Rechtsvorschrift als Erlaubnisnorm (z. B. Gesetz, Vertrag) oder die Einwilligung des Betroffenen Bei Patientendaten brauche ich zusätzlich eine Schweigepflichtentbindung! Cave: datenschutzrechtliche Einwilligung ǂ Scheigepflichtentbindung 96. Deutscher Röntgenkongres

Sicherer Zugang der Daten: Verschlüsselte Verbindung / Authentifizierung HTTPS (HTTP) TLS Sichere Authentifizierung = Benutzername / Passwort + Einmal Passwort / Hardware Token Einmal Passwort / Mobiltelefon PKI / zertifikatsbasierte Anmeldung SMS Passwort Sicherheitsfragen Geo-Lokalisation Verhaltensbasierend Geräte-Identifikation Virtuelle Smartcards 96. Deutscher Röntgenkongres

Sicherer Zugang der Daten: Sichere Zuordnung - elektronische Signatur Von wem stammt das Dokument? Wurde es geändert? Kann ich dem Dokument „vertrauen“? IHE IT Infrastructure (ITI) Technical Framework Supplement „Document Digital Signature“ Trial Implementation Supplement Stand: 12. März 2015 XML-Signature Erlaubt eindeutige Identifikation Autor Einsteller (Ggfs. Übersetzer) Problem: von Anwender nicht nachgefragt, daher bis heute faktisch nicht implementiert 96. Deutscher Röntgenkongres

Nachweis von Handlungen: Protokollierung Standards im Gesundheitswesen DICOM Supplement 95 „Audit Trail Messages“ (2009): Grundlage von IHE ATNA 96. Deutscher Röntgenkongres

Nachweis von Handlungen: DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten Seit Juni 2013 Status „Deutsche Norm“ (vormals mehrere Jahre „Vor-Norm“) Grundlage war DICOM Supplement 95 sowie IHE ATNA Definiert Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen 96. Deutscher Röntgenkongres

Nachweis von Handlungen: DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen Verwendung von Auditdaten Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Ethischer oder rechtlicher Aktionsnachweis von Gesundheitsdienstleistern Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen 96. Deutscher Röntgenkongres

Nachweis von Handlungen: DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zu den Ereignistypen und deren Inhalten Zugriffereignisse auf persönliche Gesundheitsinformationen Abfrageereignisse zu den persönlichen Gesundheitsinformationen Einzelheiten zum Auditeintrag Entspricht Vorgaben von RFC 3881 und DICOM Folgt den Empfehlungen von IHE, genauer ATNA Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen 96. Deutscher Röntgenkongres

Nachweis von Handlungen: DIN EN ISO 27789 oder ATNA Meine Aussage: Wer ATNA kann, kann auch nach DIN EN ISO 27789 protokollieren (nach ein paar Anpassungen) 96. Deutscher Röntgenkongres

Nachweis von Handlungen: Protokollierung durch Nutzung DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten 96. Deutscher Röntgenkongres

Anforderungen an die Datensicherheit: Wer darf was Anforderungen an die Datensicherheit: Wer darf was? Berechtigungskonzept und DIN 22600 Privilegienmanagement und Zugriffssteuerung Teil 1 Zieldefinition Definitionen Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.B. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen Darstellung von strukturellen Rollen 96. Deutscher Röntgenkongres

Anforderungen an die Datensicherheit: Berechtigungskonzept und IHE XDS Abbildung der Einverständniserklärung durch IHE Profil „Basic Patient Privacy Consents“ (BPPC) Entsprechend BPPC wird entschieden, wer auf welche Dokumente zugreifen darf BPPC verweist dabei auf vordefinierte Datenschutzrichtlinien (Privacy Policies) Zu einem Dokument können mehrere BPPC-Policies vorhanden sein BPPC schützt die in IHE XDS abgelegten Dokumente zu einem Patienten Je fein-ganularer die Berechtigungsstruktur ist, desto schwieriger wird es, diese mittels BPPC umzusetzen (dann evtl. XACML engine nutzen*) Dass ein bestimmter Patient in der XDS-Struktur vorhanden ist, ist von jedem XDS-Client abfragbar Hier muss der Patient entsprechend aufgeklärt werden (organisatorische Maßnahme), denn allein die Tatsache, dass ein Mensch Patient ist, ist aus rechtlicher Sicht ein schützenswertes Gesundheitsdatum. * IHE-XACML Binding: http://wiki.hl7.de/index.php/ihecb:IHE-XACML_Binding 96. Deutscher Röntgenkongres

Anforderungen an die Datensicherheit: Die Pflicht zum Löschen IHE XDS Delete Document Set Physikalische Löschung (derzeit) nicht vorgesehen Aber Delete Document Set = Trial Implementation bisher nicht umgesetzt (aber kann mit gazelle getestet werden) 96. Deutscher Röntgenkongres

Anforderungen an die Datensicherheit: Revisionssicherheit …und Umsetzung Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit  Elektronische Signatur Organisatorische Beschreibung Backup / XDS-History Berechtigungskonzept / Authentifizierung Lagerung und Löschung Protokollierung 96. Deutscher Röntgenkongres

Werbeblock „IHE Deutschland“ Elektronische Akten und das IHE-Cookbook Zielsetzung: Aktenbasierte einrichtungsübergreifende Bild- und Befund-Kommunikation Erarbeitung von Umsetzungsempfehlungen Einrichtungsübergreifende elektronische Patientenakte (eEPA) Persönliche einrichtungsübergreifende elektronische Patientenakte (PEPA) Fallbezogene einrichtungsübergreifende elektronische Patientenakte (eFA) Berücksichtigung der deutschen Sicherheitsanforderungen und Vokabularien, insbesondere datenschutzrechtliche Anforderungen Öffentlich verfügbar (http://wiki.hl7.de/index.php/IHE_DE_Cookbook) Derzeit in Überarbeitung, Mitarbeit erwünscht!!! Kontakt: info@ihe-d.de 96. Deutscher Röntgenkongres

Fazit Machen, nicht warten Die Patienten werden es danken Die rechtlichen Anforderungen an Patientenakten sind organisatorischer und technischer Natur. Die technischen Anforderungen sind (überwiegend) mit IHE XDS umsetzbar Herausforderungen: Nachweisbarkeit (fehlende elektronische Signatur) Löschen von Daten Beide Herausforderungen gelten auch für alle anderen IT-Systeme (KIS, RIS, PACS, …) Daher: Machen, nicht warten Die Patienten werden es danken 96. Deutscher Röntgenkongres

Diskussion Kontakt: schuetze@medizin-informatik.org

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.