12. Datenschutz und Datensicherheit Wintersemester 2010/11 Dozent: Univ.-Prof. Dr. med. Stefan Schulz

Beispiel (I) Turnusarzt erhält den Auftrag, Daten für eine prospektive Studie zu Melanom zu sammeln: Für jede Biopsie muss er klinische Daten aus der elektronischen Krankenakte heraussuchen, pro Patient einen Lifestyle-Fragebogen ausfüllen, und alle Daten tabellarisch zusammenzustellen Der Arzt hat keinen eigenen PC in der Klinik zur Verfügung

Beispiel (II) Der Arzt erhält von der IT-Abteilung für jede Präparatenummer die zugehörige Patienten-ID Mit der Patienten-ID greift er auf die elektronische Krankenakte zu Für die Studiendaten legt er eine Excel-Tabelle an Die Excel-Tabelle speichert er auf seinem USB-Stick am Schlüsselanhänger

Beispiel (III) Alle Daten werden aus der Krankenakte händisch in die Excel-Tabelle übertragen

Frage Welche Defizite erkennen Sie bei dieser Methode? Wo kann die Medizinische Informatik die gestellte Aufgabe unterstützen? Wo sehen Sie Probleme hinsichtlich Datenschutz Datensicherheit

Rechtliche Grundlagen (I) Datenschutzgesetz 2000: Personenbezogene Daten: Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind (Name SV-Nr., Adresse) Indirekt personenbezogene Daten: Personenbezug mit rechtlich zulässigen Mitteln nicht bestimmbar. Sensible Daten: ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben. Zustimmung:  ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten in Kenntnis der Sachlage (keine Formvorschrift).

Rechtliche Grundlagen (II) Datengeheimnis: Daten aus Datenanwendungen, die Anwendern ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden sind geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung dieser Daten besteht. Daten dürfen nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermittelt werden. Das Datengeheimnis muss auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden

Informationelle Selbstbestimmung: Der Datenschutz schützt Menschen, nicht Daten! Erweitertes Persönlichkeitsrecht: Möglichkeit für eine Person zu wissen, wer, was, wann, wo und bei welcher Gelegenheit über sie weiß Anspruch einer Person darauf, dass „ihre Daten“ nicht unbefugt erhoben, verarbeitet oder genutzt werden

Datenschutz im Gesundheitswesen Bedeutung des Datenschutzes Unmittelbare Bedrohung der sozialen Stellung und psychischen und physischen Unversehrtheit des Menschen Verletzung des Datenschutzes: überwiegend bedroht durch Verstöße von Mitarbeitern, meist ohne böse oder kriminelle Absicht; basierend auf Neugier, Mitteilungsbedürfnis oder Fahrlässigkeit Schutzobjekte: personenbezogene Daten. Medium: Dateien und Akten (nicht unbedingt elektronisch) Quelle: http://www.rp-dresden.de/ds/awards.jpg

Datenschutz - Grundregel Verbot mit Erlaubnisvorbehalt

Datenschutz – Grundregel die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die verantwortlichen Stellen ist nur zulässig, sofern sie gesetzlich erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat die verantwortliche Stelle darf Daten nur zu dem Zweck verarbeiten und nutzen, zu dem sie erhoben wurden es dürfen nur Daten erhoben, verarbeitet und genutzt werden, die für die jeweilige Aufgabe erforderlich sind Entsprechend Schweigepflicht (1) Der Arzt hat über das, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist – auch über den Tod des Patienten hinaus – zu schweigen. Dazu gehören auch schriftliche Mitteilungen des Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde. (2) Der Arzt ist zur Offenbarung befugt, soweit er von der Schweigepflicht entbunden worden ist oder soweit die Offenbarung zum Schutze eines höherwertigen Rechtsgutes erforderlich ist. Gesetzliche Aussage und Anzeigepflichten bleiben unberührt. Soweit gesetzliche Vorschriften die Schweigepflicht des Arztes einschränken, soll der Arzt den Patienten darüber unterrichten.

Datenschutz bei der Erhebung von Daten kein Einblick für Dritte in die Krankenakten oder Monitore Schutz gegen Mithören Zulässigkeitskriterien, welche die Erhebung von Daten erlaubt: Behandlungsvertrag (Arzt – Patient) gesetzliche Regelungen sonstige (schriftliche) Zustimmungserklärungen

Datenschutz beim Speichern von Daten Zur Sicherstellung sachgerechte medizinische Behandlung (einschließlich Abrechnung) Dokumentation des Behandlungsverlaufs rechtliches Dokument Quelle: http://www.colutron.com/products/DISKETTE.JPG

Übermittlung von Daten gesetzliche Anzeigepflichten: drohende Verbrechen übertragbare Krankheiten, Infektionsschutz Geburten und Todesfälle Vernachlässigung Behinderter unnatürlicher Tod

Übermittlung von Daten (Krankenhaus) zu einer anderen Fachabteilung derselben Krankenhauses nur in dem Umfang wie zur tatsächlichen Erfüllung des Behandlungsvertrages erforderlich an die Krankenhausverwaltung zum Zwecke der Abrechnung für Aus-, Fort- und Weiterbildungszwecke im Krankenhaus (möglichst Teilanonymisierung)

Übermittlung von Daten (Krankenhaus) zur Qualitätssicherung (extern/ intern) zur Abrechnung (Sozialleistungsträger) für gerichtliche Verfahren zur Abwehr von gegenwärtigen Gefahren (z.B. Suizidabsicht, Kindesmisshandlung, Führen eines Kfz unter Drogeneinfluss) an im Behandlungsvertrag ausdrücklich genannte Angehörige (nur vom Arzt) bei Bewusstlosigkeit: es wird von einer mutmaßlichen Einwilligung

Übermittlung von Daten zwischen Krankenhaus und Arztpraxis Voraussetzung: schriftliche, widerrufbare Einwilligung des Patienten liegt vor Krankenhaus muss Behandlungsdaten/ Befunde an den Hausarzt übermitteln Krankenhaus darf Befunde nachfragen

Verwendung von Daten in der medizinischen Forschung Zulässigkeit der Verwendung von Daten: ausdrückliche Zustimmung des Betroffenen indirekt personenbezogene Daten: Genehmigung der Datenschutzkommission Daten wenn möglich anonymisieren! bei wichtigem öffentliches Interesse: explizite Regelungen (Güterabwägung)

Meldepflicht vor Aufnahme einer Datenverarbeitung: Meldung an Datenschutzkommission Eintrag in Datenverarbeitungsregister von der Meldepflicht ausgenommen: Anwendungen mit nur indirekt personenbezogenen Daten einige Standardanwendungen (Rechnungswesen, Kundenbetreuung,…)

Anonymisierung direkter Personenbezug: Identität bestimmbar (z.B. Name, Adresse) indirekter Personenbezug: für einen Dritten (z.B. den Inhaber des Entschlüsselungscodes bei codierten Identitätsdaten) bestimmbar Erleichterter Gebrauch: „Als mögliches Mittel der Identifikation ist ein solches anzusehen, das „vernünftigerweise“ angewendet wird, d.h. das weder seiner Art nach, noch seinem Aufwand nach vollkommen ungewöhnlich ist.“

k-Anonymität Nach Entfernung primärer Identifikationsmerkmale zu jeder Wertkombination sekundärer Identifikationsdaten bestehen mindestens k identische Datensätze in Beispiel: sekundäre Identifikationsdaten „Beruf“ und „Ort“: k=5: mindestens 5 Kraftfahrer in Graz mindestens 5 Tierärzte in Spielfeld (?) k ≥ 2 akzeptabel

Identifikationsdaten Primäre Identifikationsdaten Attribut(kombinationen), die von Natur her oder aufgrund ihrer Definition zur Identifikation dienen (auch wenn dazu eine Verknüpfung mit anderen Daten notwendig ist): „Name und Adresse“, „Sozialversicherungsnummer“, „Aufnahmezahl“ Sekundäre Identifikationsdaten Attribute, die bei Kombination und aufgrund der möglichen Attributwerte ein eindeutiges Muster ausprägen können. Beispiel: seltener Beruf, kleiner Ort…

Datensicherheit Organisatorische, personelle und technische Maßnahmen zur Gewährleistung ordnungsgemäßer Datenverwendung (1) Quelle: http://www.st-andrews.ac.uk/~ents/images/Ents%20Hazard%20Background.jpg

Datensicherheit - Grundwerte Daten und IT-Systeme müssen geschützt werden hinsichtlich: Vertraulichkeit Integrität Verfügbarkeit Verbindlichkeit: Zuordnung von Aktionen, Unbestreitbarkeit von Prozessen Datensicherheit wird bedroht durch Fehler (Bedienung, Hardware, Software) und Zerstörung (mechanisch, Wasser, Feuer,…) Ist ein Fax-Rechtsverbindlich? NEIN

Datensicherheit - Grundwerte Vertraulichkeit: Informationsgewinn aus Daten ist nur berechtigten Personen Integrität: Schutz vor Verfälschung und unberechtigter Manipulation von Daten Verfügbarkeit: Daten sind in angemessener Frist nutzbar. Verbindlichkeit: Eigenschaft eines IT-Systems, Handlungen von Personen oder Prozessen so zu vollziehen, dass die handelnde Instanz ihre Aktionen im Nachhinein nicht abstreiten kann (Authentizität = nachweisbare Urheberschaft).

Datensicherheit - Bedrohungen Unbefugter Informationsgewinn: das unbefugte Lesen und Abhören von Daten: Verlust der Vertraulichkeit. Unbefugte Datenmodifikation: Verlust der Integrität, z.B. Löschen und Verändern. unbefugte Modifikation der Funktionalität – Angriff auf Verfügbarkeit: eine Beeinträchtigung der Inanspruchnahme, etwa durch Unterbrechung der Kommunikation oder Verzögerung zeitkritischer Dienste Leugnen von Kommunikationsbeziehungen - Verlust der Verbindlichkeit: Bestreiten der Teilnahme an der Kommunikation oder die Korrektheit der gesendeten und empfangenen Daten. Angriffspunkte : Speicher- und Kommunikationsmedien, Kommunikationsendpunkte (Abhören, Anzapfen, Mithören, unautorisierter Zugriff durch Vorspielen falscher Identitäten, etc.)

Sicherheitsgrundfunktionen Identifikation und Authentisierung: Identifikation eines Nutzers durch durch Wissen: Passwortverfahren. Nachteile : kurze, leicht merkbare Passwörter können leicht geraten werden; lange, komplizierte Passwörter werden möglicherweise an unsicheren Orten abgelegt durch Besitz: Chipkarte (Token), wird in der Regel mit einer Passwortauthentisierung gekoppelt (PIN). Authentisierung durch biometrische Verfahren: schwer fälschbare persönliche Merkmale (Stimme, Fingerabdruck, Unterschrift , Irisscan) Zugriffskontrolle: Regelung, welche Person bevollmächtigt wird, welche IT-Anwendungen oder Daten zu nutzen. Nur so viele Zugriffsrechte vergeben, wie für die Aufgabenwahrnehmung nötig Zugriffsrechte (zu Anwendungen und Daten) Gewährleistung der Unverfälschtheit (Integrität) , z.B. durch Prüfsummen Nachweis der Datenursprungs (elektronische Unterschrift) Beweissicherung: Protokollierung von Zugriff, Veränderung, Löschen, … Zuverlässigkeit der Dienstleistung: bei Ausfall einzelner Funktionen eines Systems sollten andere Funktionen unbeeinträchtigt bleiben.

Allgemeine Schutzmaßnahmen ~ 75% sicherheitsrelevanter Schäden an Computersystemen und Netzen mindestens teilweise durch menschliches Versagen (Nachlässigkeit, Irrtum, mangelnde Kenntnis der Mitarbeiter) verursacht Personelle Schutzmaßnahmen: Personalauswahl, Einbindung der Mitarbeiter in die IT-Sicherheitskonzeption Geregelte Einarbeitung/ Unterweisung Schulungen zur IT-Sicherheit, Sensibilisierung und Motivation Infrastrukturelle Schutzmaßnahmen Datensicherungskonzept: redundanter Datenbestand sichert Betrieb bei Verlust des operativen Datenbestandes, z.B. durch Anlegen mehrerer Kopien der Daten und Programme. Es gibt verschiedene Arten der Datensicherung (Datenspiegelung, Volldatensicherung, inkrementelle Datensicherung, differentielle Datensicherung). Bauliche Maßnahmen: Brandschutz, Lagerung von Sicherheitsmedien Gewährleistung der Vertraulichkeit: Zutritts- (in Räume), Zugangs- (zu IT-Komponenten und Netzen)

Zusammenfassung Datenschutz Datenschutz schützt Personen hinsichtlich ihrer „informationellen Selbstbestimmung“ Grundregel des Datenschutzes: Verbot mit Erlaubnisvorbehalt Prinzipien: Zweckbindung Erforderlichkeit

Zusammenfassung Datensicherheit Daten und Informationssysteme werden bedroht durch Mißbrauch, Fehler und Zerstörung Daten müssen geschützt werden hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit (Grundwerte der Datensicherheit)

Gesetzeslage (EU) Europäische Menschenrechtskonvention (EMRK): Art. 8 Abs. 1 Anspruch eines jeden Menschen auf Achtung seines Privatlebens, seines Familienlebens, seiner Wohnung und seines Briefverkehrs Grundrechte-Charta der EU: Art. 7 Achtung des Privat- und Familienlebens, Art. 8 Schutz personenbezogener Daten, Art. 11 Freiheit der Meinungsäußerung und Informationsfreiheit, Art. 13 Freiheit von Kunst und Wissenschaft, Art. 52 Tragweite der garantierten Rechte EG Datenschutzrichtlinie: Richtlinie 95/46/EG des Europäischen Parlaments vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr EG Datenschutzrichtlinie für die elektronische Kommunikation (bereichsspezifische Regelung): Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

Gesetzeslage (Österreich) Datenschutz in Österreich ist im DSG 2000 geregelt (2005 novelliert): 165.Bundesgesetz: Datenschutzgesetz 2000 – DSG 2000. Bundesgesetzblatt für die Republik Österreich v. 17.August 1999. Teil I, S.1277–1303. http://de.wikipedia.org/wiki/Bundesgesetz_%C3%BCber_den_Schutz_personenbezogener_Daten Die rechtlichen Rahmenbedingungen für die elektronische Unterschrift und die damit verbundene Infrastruktur finden sich im: 190. Bundesgesetz: Signaturgesetz – SigG. Bundesgesetzblatt für die Republik Österreich v.19. August 1999. Teil I, S. 1451–1462. Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung; § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung (1) Der Arzt ist verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person, insbesondere über den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen im Sinne des § 26 Abs. 8 des Arzneimittelgesetzes, BGBl. Nr. 185/1983, erforderlichen Daten zu führen und hierüber der beratenen oder behandelten oder zu ihrer gesetzlichen Vertretung befugten Person alle Auskünfte zu erteilen.

Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung (2) Ärzte sind zur automationsunterstützten Ermittlung und Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten an die Sozialversicherungsträger und Krankenfürsorgeanstalten in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, sowie an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Zustimmung des Kranken berechtigt. Die zur Beratung oder Behandlung übernommene Person hat das Recht auf Einsicht, Richtigstellung unrichtiger und Löschung unzulässigerweise verarbeiteter Daten. (3) Die Aufzeichnungen sowie die sonstigen der Dokumentation im Sinne des Abs. 1 dienlichen Unterlagen sind mindestens zehn Jahre aufzubewahren.

Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. (2) Die Verschwiegenheitspflicht besteht nicht, wenn nach gesetzlichen Vorschriften eine Meldung des Arztes über den Gesundheitszustand bestimmter Personen vorgeschrieben ist Mitteilungen oder Befunde des Arztes an die Sozialversicherungsträger und Krankenfürsorgeanstalten oder sonstigen Kostenträger in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, erforderlich sind, die durch die Offenbarung des Geheimnisses bedrohte Person den Arzt von der Geheimhaltung entbunden hat, die Offenbarung des Geheimnisses nach Art und Inhalt zum Schutz höherwertiger Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege unbedingt erforderlich ist.

Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht (3) Die Verschwiegenheitspflicht besteht auch insoweit nicht, als die für die Honorar- oder Medikamentenabrechnung gegenüber den Krankenversicherungsträgern, Krankenanstalten, sonstigen Kostenträgern oder Patienten erforderlichen Unterlagen zum Zweck der Abrechnung, auch im automationsunterstützten Verfahren, Dienstleistungsunternehmen überlassen werden. Eine allfällige Speicherung darf nur so erfolgen, dass Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind. Diese anonymen Daten sind ausschließlich mit Zustimmung des Auftraggebers an die zuständige Ärztekammer über deren Verlangen weiterzugeben.