Upload
jutta-gerber
View
216
Download
0
Embed Size (px)
Citation preview
IHE-konformer Datenaustausch und rechtliche Aspekte
96. Deutscher Röntgenkongress Dr. Bernd Schütze
???
Agenda
- Worum geht es?- Datenschutz – was versteht man eigentlich darunter?- Rechtliche Grundlage- Sicherer Zugang der Daten- Nachweis von Handlungen- Anforderungen an die Datensicherheit- Werbeblock: IHE Deutschland
96. Deutscher Röntgenkongres
Worum geht es eigentlich? Datenaustausch
… zwischen Krankenhäusern
96. Deutscher Röntgenkongres
KISKIS PACSPACS
......Komm-ServerKomm-Server
KISKIS PACSPACS
......Komm-ServerKomm-Server
Krankenhaus 1
Krankenhaus 2
Zur Verbindung nutzen wir Standardprotokolle wie HL7, DICOM, blablabla
Worum geht es eigentlich? Datenaustausch
… zwischen Krankenhäusern und niedergelassenen Praxen
96. Deutscher Röntgenkongres
KISKIS PACSPACS
......Komm-ServerKomm-Server
KISKIS PACSPACS
......Komm-ServerKomm-Server
Krankenhaus 1
Krankenhaus 2
… und dann geschieht ein Wunder
Arztpraxis 1
PVSPVS
Worum geht es eigentlich? Datenaustausch
Welche Randbedingungen sollte ich beim Einsatz einer datenaustauschplattform wie XDS beachten?
96. Deutscher Röntgenkongres
Krankenhaus 1Krankenhaus 1
RegistryRegistry
IHE XDS Affinity Domain
Arztpraxis 1Arztpraxis 1
Arztpraxis3Arztpraxis3
Reha 1Reha 1
KrebsregisterKrebsregister
whoeverwhoever
Datenschutz – aber was ist das?
1. Datenschutz ǂ Schutz der Daten
2. Datenschutz = Schutz der Freiheit einer Person, selbst zu entscheiden, was mit ihren/seinen Daten geschieht
96. Deutscher Röntgenkongres
Datenschutz: Rechtliche GrundlagenBundesrecht- Bundesdatenschutzgesetz (BDSG)- Telekommunikationsgesetz (TKG)- Telemediengesetz (TMG)- Signaturgesetz (SigG)- Verordnung zur elektronischen Signatur (SigV)- Mediendienstestaatsvertrag (MDStV)
Kirchenrecht- Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-
EKD)- Verordnung über die in das Gemeindeverzeichnis aufzunehmenden
Daten der Kirchenmitglieder mit ihren Familienangehörigen- Verordnung über den automatisierten zwischenkirchlichen
Datenaustausch- Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in
der Vereinigten Evangelisch-Lutherischen Kirche Deutschlands- Anordnung über die Sicherung und Nutzung der Archive der
Katholischen Kirche - Anordnung über das kirchliche Meldewesen (KMAO) für Bistum …- Anordnung über den kirchlichen Datenschutz (KDO) für Bistum …- Durchführungsverordnung zur KDO (KDO-DVO)
Landesrecht (z.B. NRW)- Archivgesetz (ArchivG)- Gesetz über die Ausführung des Gesetzes zu Artikel 10
Grundgesetz (AG G 10 NW)- Berufsordnung der Ärztekammer Westfalen-Lippe- Berufsordnung für die nordrheinischen Ärztinnen und Ärzte- Berufsordnung für Apothekerinnen und Apotheker der
Apothekerkammer Nordrhein- Berufsordnung für Apothekerinnen und Apotheker
derApothekerkammer Westfalen-Lippe- Datenschutzgesetz (DSG NRW)- Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG)- Gesetz über den Feuerschutz und die Hilfeleistung- Gesetz über Hilfen und Schutzmaßnahmen bei
psychischen Krankheiten (PsychKG)- Gesetz über Tageseinrichtungen für Kinder (GTK)- Gesundheitsdatenschutzgesetz (GDSG NW)- Gutachterausschussverordnung (GAVO NRW)- Heilberufsgesetz (HeilBerG)- Hochschulgesetz (HG)- Krankenhausgesetz (KHG NRW) - Meldedatenübermittlungsverordnung (MeldDÜV NRW)- Meldegesetz (MG NRW)- Sicherheitsüberprüfungsgesetz (SÜG NRW)- Verordnung zur Durchführung des Meldegesetzes (DVO
MG NRW)
Medizinisches Umfeld- Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO)
• §9 Abs. 1 Schweigepflicht des Arztes- Strafprozessordnung (StPO)
• §53 Ab2. 1 Zeugnisverweigerungsrecht• §97 Abs.1 Beschlagnahmeverbot• §103 Abs.1 eingeschränktes Durchsuchungsrecht für
Arztpraxen- Strafgesetzbuches (StGB)
• §203 Abs.1 4.2.1.2.c Ärztliche Schweigepflicht - Zivilprozessordnung (ZPO)
• § 383 Zeugnisverweigerung aus persönlichen Gründen- Sozialgesetzbuch V (SGB V)
• § 73 Kassenärztliche Vereinigung• § 140a Integrierte Versorgung
EU- Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie)
- Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)
- Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten- Richtlinie 2009/136/EG („Cookie“-Richtlinie)
96. Deutscher Röntgenkongres
Datenschutzrecht im RechtssystemEU
Europäische Grundrechte-ChartaDatenschutz-Richtlinie
Wirkung über Umsetzung in deutsche Gesetze
Datenschutz-Verordnung(derzeit im Entwurf, sie würde unmittelbar gelten und deutsches Recht ersetzen)
Bundesdatenschutzgesetz (BDSG)PrivatpersonenPrivatwirtschaftBundesbehörden
Kirchliche DatenschutzgesetzeEinrichtungen der evang. und kath. Kirche
Landesdatenschutzgesetzeöffentliche Verwaltung in Land und
KommunenSpezialgesetze
(Vorrang vor allg. Gesetzen)TeleMedienGesetzTeleKommunikationsGesetzGesundheitsdatenschutzHochschulgesetzSGB, AO, Polizeigesetz, Passgesetz,
Personalausweisgesetz, Aufenthaltsgesetz, LandesMeldeGesetz, Landesverwaltungsgsetz, …
Rechtmäßigkeit der DatenverarbeitungGesetzliche GrundlagenEinwilligung
Grundsatz der ZweckbindungGrundsatz der ErforderlichkeitGrundsatz der Datenvermeidung und
DatensparsamkeitGrundsatz der TransparenzGrundsatz der klaren VerantwortlichkeitenGrundsatz der KontrolleGrundsatz der Gewährleistung der
BetroffenenrechteVerbot der ProfilbildungVerbot der Datensammlung auf VorratVerbot der automatisierten Einzelentscheidung
Nutzung pseudonymisierter oder anonymisierter Daten
Verpflichtung zum Schutz der Daten
96. Deutscher Röntgenkongres
Rechtliche Grundlage
• Für jede Datenweitergabe brauche ich a) eine Rechtsvorschrift als Erlaubnisnorm (z. B. Gesetz, Vertrag)
oder b) die Einwilligung des Betroffenen
• Bei Patientendaten brauche ich zusätzlich eine Schweigepflichtentbindung! Cave: datenschutzrechtliche Einwilligung ǂ
Scheigepflichtentbindung
96. Deutscher Röntgenkongres
Sicherer Zugang der Daten:Verschlüsselte Verbindung / Authentifizierung
• HTTPS (HTTP)- TLS
• Sichere Authentifizierung = Benutzername / Passwort +- Einmal Passwort / Hardware Token- Einmal Passwort / Mobiltelefon- PKI / zertifikatsbasierte Anmeldung- SMS Passwort- Sicherheitsfragen- Geo-Lokalisation- Verhaltensbasierend- Geräte-Identifikation- Virtuelle Smartcards
96. Deutscher Röntgenkongres
Sicherer Zugang der Daten:Sichere Zuordnung - elektronische Signatur
• Von wem stammt das Dokument? Wurde es geändert? Kann ich dem Dokument „vertrauen“?
• IHE IT Infrastructure (ITI) Technical Framework Supplement „Document Digital Signature“ Trial Implementation Supplement
Stand: 12. März 2015 XML-Signature Erlaubt eindeutige Identifikation
Autor Einsteller (Ggfs. Übersetzer)
• Problem: von Anwender nicht nachgefragt, daher bis heute faktisch nicht implementiert
96. Deutscher Röntgenkongres
Nachweis von Handlungen: Protokollierung
- Standards im Gesundheitswesen• DICOM
Supplement 95 „Audit Trail Messages“ (2009): Grundlage von IHE ATNA
96. Deutscher Röntgenkongres
Nachweis von Handlungen: DIN EN ISO 27789
Audit-Trails für elektronische Gesundheitsakten
- Seit Juni 2013 Status „Deutsche Norm“(vormals mehrere Jahre „Vor-Norm“)
- Grundlage war DICOM Supplement 95 sowie IHE ATNA
- Definiert• Anforderungen an und Verwendung
von Auditdaten• Auslösende Ereignisse• Einzelheiten zum Auditeintrag• Auditeinträge für einzelne Ereignisse• Sichere Verwaltung von
Auditeinträgen
96. Deutscher Röntgenkongres
Nachweis von Handlungen: DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten- Anforderungen an und Verwendung von Auditdaten
• Ethische und formale Anforderungen• Verwendung von Auditdaten
Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Ethischer oder rechtlicher Aktionsnachweis von Gesundheitsdienstleistern
- Auslösende Ereignisse- Einzelheiten zum Auditeintrag- Auditeinträge für einzelne Ereignisse- Sichere Verwaltung von Auditeinträgen
96. Deutscher Röntgenkongres
Nachweis von Handlungen: DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten- Anforderungen an und Verwendung von Auditdaten- Auslösende Ereignisse
• Einzelheiten zu den Ereignistypen und deren Inhalten Zugriffereignisse auf persönliche Gesundheitsinformationen Abfrageereignisse zu den persönlichen Gesundheitsinformationen
- Einzelheiten zum Auditeintrag• Entspricht Vorgaben von RFC 3881 und DICOM • Folgt den Empfehlungen von IHE, genauer ATNA
- Auditeinträge für einzelne Ereignisse- Sichere Verwaltung von Auditeinträgen
96. Deutscher Röntgenkongres
Nachweis von Handlungen: DIN EN ISO 27789 oder ATNA
Meine Aussage:Wer ATNA kann, kann auch nach DIN EN ISO 27789 protokollieren(nach ein paar Anpassungen)
96. Deutscher Röntgenkongres
Nachweis von Handlungen: Protokollierung durch Nutzung DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten- Anforderungen an und Verwendung von Auditdaten- Auslösende Ereignisse- Einzelheiten zum Auditeintrag- Auditeinträge für einzelne Ereignisse
• Zugriffsereignisse• Abfrageergebnisse
- Sichere Verwaltung von Auditeinträgen• Sichern der Verfügbarkeit des Auditsystems• Anforderungen an die Aufbewahrung• Sicherung der Vertraulichkeit und Integrität von Audit-Trails• Zugriff auf Auditdaten
96. Deutscher Röntgenkongres
Privilegienmanagement und Zugriffssteuerunga. Teil 1
- Zieldefinition- Definitionen- Beispiel einer Textschablone für die Dokumentation- Grundlegende Checklisten, z.B.
b. Teil 2- Darstellung der verschiedenen Modelle wie beispielsweise
Domainenmodell Dokumentenmodell Policy-Modell
- Darstellung von funktionellen Rollen- Darstellung von strukturellen Rollen
Anforderungen an die Datensicherheit: Wer darf was? Berechtigungskonzept und DIN 22600
96. Deutscher Röntgenkongres
Anforderungen an die Datensicherheit: Berechtigungskonzept und IHE XDS- Abbildung der Einverständniserklärung durch IHE Profil „Basic Patient
Privacy Consents“ (BPPC) - Entsprechend BPPC wird entschieden, wer auf welche Dokumente
zugreifen darf- BPPC verweist dabei auf vordefinierte Datenschutzrichtlinien (Privacy
Policies)- Zu einem Dokument können mehrere BPPC-Policies vorhanden sein BPPC schützt die in IHE XDS abgelegten Dokumente zu einem
Patienten Je fein-ganularer die Berechtigungsstruktur ist, desto schwieriger wird
es, diese mittels BPPC umzusetzen (dann evtl. XACML engine nutzen*) Dass ein bestimmter Patient in der XDS-Struktur vorhanden ist, ist von
jedem XDS-Client abfragbar Hier muss der Patient entsprechend aufgeklärt werden
(organisatorische Maßnahme), denn allein die Tatsache, dass ein Mensch Patient ist, ist aus rechtlicher Sicht ein schützenswertes Gesundheitsdatum.* IHE-XACML Binding: http://wiki.hl7.de/index.php/ihecb:IHE-XACML_Binding
96. Deutscher Röntgenkongres
Anforderungen an die Datensicherheit:Die Pflicht zum Löschen- IHE XDS
Delete Document Set Physikalische Löschung (derzeit) nicht vorgesehen
- Aber Delete Document Set = Trial Implementation
bisher nicht umgesetzt (aber kann mit gazelle getestet werden)
96. Deutscher Röntgenkongres
Anforderungen an die Datensicherheit: Revisionssicherheit
- Ordnungsmäßigkeit- Vollständigkeit- Sicherheit des
Gesamtverfahrens- Schutz vor Veränderung und
Verfälschung- Sicherung vor Verlust- Nutzung nur durch Berechtigte- Einhaltung der
Aufbewahrungsfristen- Dokumentation des Verfahrens- Nachvollziehbarkeit- Prüfbarkeit
Elektronische SignaturElektronische SignaturOrganisatorische BeschreibungElektronische SignaturBackup / XDS-HistoryBerechtigungskonzept / AuthentifizierungLagerung und LöschungOrganisatorische BeschreibungProtokollierungProtokollierung
96. Deutscher Röntgenkongres
Anforderung …und Umsetzung
Werbeblock „IHE Deutschland“Elektronische Akten und das IHE-Cookbook- Zielsetzung: Aktenbasierte einrichtungsübergreifende Bild- und
Befund-Kommunikation- Erarbeitung von Umsetzungsempfehlungen
Einrichtungsübergreifende elektronische Patientenakte (eEPA)Persönliche einrichtungsübergreifende elektronische
Patientenakte (PEPA)Fallbezogene einrichtungsübergreifende elektronische
Patientenakte (eFA)- Berücksichtigung der deutschen Sicherheitsanforderungen und
Vokabularien, insbesondere datenschutzrechtliche Anforderungen
- Öffentlich verfügbar (http://wiki.hl7.de/index.php/IHE_DE_Cookbook)
- Derzeit in Überarbeitung, - Mitarbeit
erwünscht!!!- Kontakt: info@ihe-
d.de96. Deutscher Röntgenkongres
Fazit
• Die rechtlichen Anforderungen an Patientenakten sind - organisatorischer und- technischer Natur.
• Die technischen Anforderungen sind (überwiegend) mit IHE XDS umsetzbar
• Herausforderungen:- Nachweisbarkeit (fehlende elektronische Signatur)- Löschen von Daten
• Beide Herausforderungen gelten auch für alle anderen IT-Systeme (KIS, RIS, PACS, …)
• Daher: Machen, nicht wartenDie Patienten werden es danken
96. Deutscher Röntgenkongres
Diskussion
Kontakt: [email protected]