12. Datenschutz und Datensicherheit

1. 12. Datenschutz und Datensicherheit Wintersemester 2010/11 Dozent: Univ.-Prof. Dr. med. Stefan Schulz

2. Beispiel(I) • Turnusarzt erhält den Auftrag, Daten für eine prospektive Studie zu Melanom zu sammeln: • Für jede Biopsie muss er klinische Daten aus der elektronischen Krankenakte heraussuchen, pro Patient einen Lifestyle-Fragebogen ausfüllen, und alle Daten tabellarisch zusammenzustellen • Der Arzt hat keinen eigenen PC in der Klinik zur Verfügung

3. Beispiel(II) • Der Arzt erhält von der IT-Abteilung für jede Präparatenummer die zugehörige Patienten-ID • Mit der Patienten-ID greift er auf die elektronische Krankenakte zu • Für die Studiendaten legt er eine Excel-Tabelle an • Die Excel-Tabelle speichert er auf seinem USB-Stick am Schlüsselanhänger

4. Beispiel(III) • Alle Daten werden aus der Krankenakte händisch in die Excel-Tabelle übertragen

5. Frage • Welche Defizite erkennen Sie bei dieser Methode? • Wo kann die Medizinische Informatik die gestellte Aufgabe unterstützen? • Wo sehen Sie Probleme hinsichtlich • Datenschutz • Datensicherheit

6. Rechtliche Grundlagen (I) • Datenschutzgesetz2000: • Personenbezogene Daten: Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind (Name SV-Nr., Adresse) • Indirekt personenbezogeneDaten: Personenbezug mit rechtlich zulässigen Mitteln nicht bestimmbar. • Sensible Daten: ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben. • Zustimmung: ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten in Kenntnis der Sachlage (keine Formvorschrift).

7. RechtlicheGrundlagen (II) • Datengeheimnis: Daten aus Datenanwendungen, die Anwendern ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden sind geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung dieser Daten besteht. • Daten dürfen nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermittelt werden. • Das Datengeheimnis muss auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden

8. Informationelle Selbstbestimmung: • Der Datenschutz schützt Menschen, nicht Daten! • Erweitertes Persönlichkeitsrecht: Möglichkeit für eine Person zu wissen, wer, was, wann, wo und bei welcher Gelegenheit über sie weiß • Anspruch einer Person darauf, dass „ihre Daten“ nicht unbefugt erhoben, verarbeitet oder genutzt werden

9. Datenschutz im Gesundheitswesen • Bedeutung des Datenschutzes • Unmittelbare Bedrohung der sozialen Stellung und psychischen und physischen Unversehrtheit des Menschen • Verletzung des Datenschutzes: • überwiegend bedroht durch Verstöße von Mitarbeitern, meist ohne böse oder kriminelle Absicht; basierend auf Neugier, Mitteilungsbedürfnis oder Fahrlässigkeit • Schutzobjekte: personenbezogene Daten. Medium: Dateien und Akten (nicht unbedingt elektronisch)

10. Datenschutz - Grundregel • Verbot mit Erlaubnisvorbehalt

11. Datenschutz – Grundregel • die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die verantwortlichen Stellen ist nur zulässig, sofern • sie gesetzlich erlaubt oder angeordnet ist oder • der Betroffene eingewilligt hat • die verantwortliche Stelle darf Daten nur zu dem Zweck verarbeiten und nutzen, zu dem sie erhoben wurden • es dürfen nur Daten erhoben, verarbeitet und genutzt werden, die für die jeweilige Aufgabe erforderlich sind

12. Datenschutz bei der Erhebung von Daten • kein Einblick für Dritte in die Krankenakten oder Monitore • Schutz gegen Mithören • Zulässigkeitskriterien, welche die Erhebung von Daten erlaubt: • Behandlungsvertrag (Arzt – Patient) • gesetzliche Regelungen • sonstige (schriftliche) Zustimmungserklärungen

13. Datenschutz beim Speichern von Daten • Zur Sicherstellung • sachgerechte medizinische Behandlung (einschließlich Abrechnung) • Dokumentation des Behandlungsverlaufs • rechtliches Dokument

14. Übermittlung von Daten gesetzliche Anzeigepflichten: • drohende Verbrechen • übertragbare Krankheiten, Infektionsschutz • Geburten und Todesfälle • Vernachlässigung Behinderter • unnatürlicher Tod

15. Übermittlung von Daten (Krankenhaus) • zu einer anderen Fachabteilung derselben Krankenhauses • nur in dem Umfang wie zur tatsächlichen Erfüllung des Behandlungsvertrages erforderlich • an die Krankenhausverwaltung zum Zwecke der Abrechnung • für Aus-, Fort- und Weiterbildungszwecke im Krankenhaus (möglichst Teilanonymisierung)

16. Übermittlung von Daten (Krankenhaus) • zur Qualitätssicherung (extern/ intern) • zur Abrechnung (Sozialleistungsträger) • für gerichtliche Verfahren • zur Abwehr von gegenwärtigen Gefahren (z.B. Suizidabsicht, Kindesmisshandlung, Führen eines Kfz unter Drogeneinfluss) • an im Behandlungsvertrag ausdrücklich genannte Angehörige (nur vom Arzt) • bei Bewusstlosigkeit: es wird von einer mutmaßlichen Einwilligung

17. Übermittlung von Daten zwischen Krankenhaus und Arztpraxis • Voraussetzung: schriftliche, widerrufbare Einwilligung des Patienten liegt vor • Krankenhaus muss Behandlungsdaten/ Befunde an den Hausarzt übermitteln • Krankenhaus darf Befunde nachfragen

18. Verwendung von Daten in dermedizinischenForschung • Zulässigkeit der Verwendung von Daten: • ausdrücklicheZustimmung des Betroffenen • indirektpersonenbezogeneDaten: GenehmigungderDatenschutzkommission • Datenwennmöglichanonymisieren! • bei wichtigem öffentliches Interesse: explizite Regelungen (Güterabwägung)

19. Meldepflicht • vor Aufnahme einer Datenverarbeitung: • Meldung an Datenschutzkommission • Eintrag in Datenverarbeitungsregister • von der Meldepflicht ausgenommen: • Anwendungen mit nur indirekt personenbezogenen Daten • einige Standardanwendungen (Rechnungswesen, Kundenbetreuung,…)

20. Anonymisierung • direkterPersonenbezug: Identitätbestimmbar (z.B. Name, Adresse) • indirekterPersonenbezug: für einen Dritten (z.B. den Inhaber des Entschlüsselungscodes bei codierten Identitätsdaten) bestimmbar • Erleichterter Gebrauch: „AlsmöglichesMittelderIdentifikation ist ein solches anzusehen, das „vernünftigerweise“ angewendet wird, d.h. das weder seiner Art nach, noch seinem Aufwand nach vollkommen ungewöhnlich ist.“

23. k-Anonymität • NachEntfernungprimärerIdentifikationsmerkmale • zujeder Wertkombination sekundärer Identifikationsdaten bestehen mindestens k identische Datensätze in • Beispiel: sekundäre Identifikationsdaten „Beruf“ und „Ort“: k=5:mindestens 5 Kraftfahrer in Grazmindestens 5 Tierärzte in Spielfeld (?) • k ≥ 2 akzeptabel

24. Identifikationsdaten PrimäreIdentifikationsdaten • Attribut(kombinationen), die von Natur her oder aufgrund ihrer Definition zur Identifikation dienen (auch wenn dazu eine Verknüpfung mit anderen Daten notwendig ist): „Name und Adresse“, „Sozialversicherungsnummer“, „Aufnahmezahl“ SekundäreIdentifikationsdaten • Attribute, die bei Kombination und aufgrund der möglichen Attributwerte ein eindeutiges Muster ausprägen können. Beispiel: seltener Beruf, kleiner Ort…

26. Datensicherheit Organisatorische, personelle und technische Maßnahmen zur Gewährleistung ordnungsgemäßer Datenverwendung

27. Datensicherheit - Grundwerte • Daten und IT-Systeme müssen geschützt werden hinsichtlich: • Vertraulichkeit • Integrität • Verfügbarkeit • Verbindlichkeit: Zuordnung von Aktionen, Unbestreitbarkeitvon Prozessen • Datensicherheit wird bedroht durch Fehler (Bedienung, Hardware, Software) und Zerstörung (mechanisch, Wasser, Feuer,…)

28. Datensicherheit - Grundwerte • Vertraulichkeit: Informationsgewinn aus Daten ist nur berechtigten Personen • Integrität: Schutz vor Verfälschung und unberechtigter Manipulation von Daten • Verfügbarkeit: Daten sind in angemessener Frist nutzbar. • Verbindlichkeit: Eigenschaft eines IT-Systems, Handlungen von Personen oder Prozessen so zu vollziehen, dass die handelnde Instanz ihre Aktionen im Nachhinein nicht abstreiten kann (Authentizität = nachweisbare Urheberschaft).

29. Datensicherheit - Bedrohungen • Unbefugter Informationsgewinn: das unbefugte Lesen und Abhören von Daten: Verlust der Vertraulichkeit. • Unbefugte Datenmodifikation: Verlust der Integrität, z.B. Löschen und Verändern. • unbefugte Modifikation der Funktionalität – Angriff auf Verfügbarkeit: eine Beeinträchtigung der Inanspruchnahme, etwa durch Unterbrechung der Kommunikation oder Verzögerung zeitkritischer Dienste • Leugnen von Kommunikationsbeziehungen - Verlust der Verbindlichkeit: Bestreiten der Teilnahme an der Kommunikation oder die Korrektheit der gesendeten und empfangenen Daten. • Angriffspunkte : Speicher- und Kommunikationsmedien, Kommunikationsendpunkte (Abhören, Anzapfen, Mithören, unautorisierter Zugriff durch Vorspielen falscher Identitäten, etc.)

30. Sicherheitsgrundfunktionen • Identifikation und Authentisierung: Identifikation eines Nutzers durch • durch Wissen: Passwortverfahren. Nachteile : kurze, leicht merkbare Passwörter können leicht geraten werden; lange, komplizierte Passwörter werden möglicherweise an unsicheren Orten abgelegt • durch Besitz: Chipkarte (Token), wird in der Regel mit einer Passwortauthentisierung gekoppelt (PIN). • Authentisierung durch biometrische Verfahren: schwer fälschbare persönliche Merkmale (Stimme, Fingerabdruck, Unterschrift , Irisscan) • Zugriffskontrolle: Regelung, welche Person bevollmächtigt wird, welche IT-Anwendungen oder Daten zu nutzen. Nur so viele Zugriffsrechte vergeben, wie für die Aufgabenwahrnehmung nötig • Zugriffsrechte (zu Anwendungen und Daten) • Gewährleistung der Unverfälschtheit (Integrität) , z.B. durch Prüfsummen • Nachweis der Datenursprungs (elektronische Unterschrift) • Beweissicherung: Protokollierung von Zugriff, Veränderung, Löschen, … • Zuverlässigkeit der Dienstleistung: bei Ausfall einzelner Funktionen eines Systems sollten andere Funktionen unbeeinträchtigt bleiben.

31. AllgemeineSchutzmaßnahmen • ~ 75% sicherheitsrelevanter Schäden an Computersystemen und Netzen mindestens teilweise durch menschliches Versagen (Nachlässigkeit, Irrtum, mangelnde Kenntnis der Mitarbeiter) verursacht • Personelle Schutzmaßnahmen: • Personalauswahl, Einbindung der Mitarbeiter in die IT-Sicherheitskonzeption • Geregelte Einarbeitung/ Unterweisung • Schulungen zur IT-Sicherheit, Sensibilisierung und Motivation • Infrastrukturelle Schutzmaßnahmen • Datensicherungskonzept: redundanter Datenbestand sichert Betrieb bei Verlust des operativen Datenbestandes, z.B. durch Anlegen mehrerer Kopien der Daten und Programme. • Es gibt verschiedene Arten der Datensicherung (Datenspiegelung, Volldatensicherung, inkrementelle Datensicherung, differentielle Datensicherung). • Bauliche Maßnahmen: Brandschutz, Lagerung von Sicherheitsmedien • Gewährleistung der Vertraulichkeit: Zutritts- (in Räume), Zugangs- (zu IT-Komponenten und Netzen)

32. Zusammenfassung Datenschutz • Datenschutz schützt Personen hinsichtlich ihrer „informationellen Selbstbestimmung“ • Grundregel des Datenschutzes:Verbot mit Erlaubnisvorbehalt • Prinzipien: • Zweckbindung • Erforderlichkeit

33. Zusammenfassung Datensicherheit • Daten und Informationssysteme werden bedroht durch Mißbrauch, Fehler und Zerstörung • Daten müssen geschützt werden hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit (Grundwerte der Datensicherheit)

34. Gesetzeslage (EU) • Europäische Menschenrechtskonvention (EMRK): Art. 8 Abs. 1 Anspruch eines jeden Menschen auf Achtung seines Privatlebens, seines Familienlebens, seiner Wohnung und seines Briefverkehrs • Grundrechte-Charta der EU: Art. 7 Achtung des Privat- und Familienlebens, Art. 8 Schutz personenbezogener Daten, Art. 11 Freiheit der Meinungsäußerung und Informationsfreiheit, Art. 13 Freiheit von Kunst und Wissenschaft, Art. 52 Tragweite der garantierten Rechte • EG Datenschutzrichtlinie: Richtlinie 95/46/EG des Europäischen Parlaments vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr • EG Datenschutzrichtlinie für die elektronische Kommunikation (bereichsspezifische Regelung): Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

35. Gesetzeslage (Österreich) • Datenschutz in Österreich ist im DSG 2000 geregelt (2005 novelliert): 165.Bundesgesetz: Datenschutzgesetz 2000 – DSG 2000. Bundesgesetzblatt für die Republik Österreich v. 17.August 1999. Teil I, S.1277–1303.http://de.wikipedia.org/wiki/Bundesgesetz_%C3%BCber_den_Schutz_personenbezogener_Daten • Die rechtlichen Rahmenbedingungen für die elektronische Unterschrift und die damit verbundene Infrastruktur finden sich im: 190. Bundesgesetz: Signaturgesetz – SigG. Bundesgesetzblatt für die Republik Österreich v.19. August 1999. Teil I, S. 1451–1462. • Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung; • § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

36. Ärztegesetz(1998): § 51. : Dokumentationspflicht und Auskunftserteilung (1) Der Arzt ist verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person, insbesondere über den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen im Sinne des § 26 Abs. 8 des Arzneimittelgesetzes, BGBl. Nr. 185/1983, erforderlichen Daten zu führen und hierüber der beratenen oder behandelten oder zu ihrer gesetzlichen Vertretung befugten Person alle Auskünfte zu erteilen.

37. Ärztegesetz(1998): § 51. : Dokumentationspflicht und Auskunftserteilung (2) Ärzte sind zur automationsunterstützten Ermittlung und Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten • an die Sozialversicherungsträger und Krankenfürsorgeanstalten in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, sowie • an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Zustimmung des Kranken berechtigt. Die zur Beratung oder Behandlung übernommene Person hat das Recht auf Einsicht, Richtigstellung unrichtiger und Löschung unzulässigerweise verarbeiteter Daten. (3) Die Aufzeichnungen sowie die sonstigen der Dokumentation im Sinne des Abs. 1 dienlichen Unterlagen sind mindestens zehn Jahre aufzubewahren.

38. Ärztegesetz(1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. (2) Die Verschwiegenheitspflicht besteht nicht, wenn • nach gesetzlichen Vorschriften eine Meldung des Arztes über den Gesundheitszustand bestimmter Personen vorgeschrieben ist • Mitteilungen oder Befunde des Arztes an die Sozialversicherungsträger und Krankenfürsorgeanstalten oder sonstigen Kostenträger in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, erforderlich sind, • die durch die Offenbarung des Geheimnisses bedrohte Person den Arzt von der Geheimhaltung entbunden hat, • die Offenbarung des Geheimnisses nach Art und Inhalt zum Schutz höherwertiger Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege unbedingt erforderlich ist.

39. Ärztegesetz(1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht (3) Die Verschwiegenheitspflicht besteht auch insoweit nicht, als die für die Honorar- oder Medikamentenabrechnung gegenüber den Krankenversicherungsträgern, Krankenanstalten, sonstigen Kostenträgern oder Patienten erforderlichen Unterlagen zum Zweck der Abrechnung, auch im automationsunterstützten Verfahren, Dienstleistungsunternehmen überlassen werden. Eine allfällige Speicherung darf nur so erfolgen, dass Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind. Diese anonymen Daten sind ausschließlich mit Zustimmung des Auftraggebers an die zuständige Ärztekammer über deren Verlangen weiterzugeben.