rechtliche einflüsse auf das management von itsicherheit (im krankenhaus)
TRANSCRIPT
Rechtliche Einflüsse auf das Management von IT‐
Sicherheit(im Krankenhaus)
2
Warum muss ich als Informatiker mich mit rechtlichen Regelungen für die Daten im Krankenhaus beschäftigen?
•Anwendungsentwicklung, z. B. bei diagnostischen Verfahren und zur Datenerstellung und Datenhaltung (z. B. digitale Röntgenbilder)
•Archivsysteme, die Aufbewahrungsfristen, Löschfristen und Anforderungen an die Daten selbst erfüllen müssen
•Planung von Rechtesystemen - wer darf wie an welche Informationen kommen
•Planung von Rechenzentren - zu erwartendes Datenaufkommen, Verwendung entsprechend sicherer Medien
•Planung des Umfeldes der Daten – Verschlüsselung, Authentifizierung
Juni 2010 Jens Walter
3
Übersicht1. Jur. Grundlage für elektronische Dokumentation
(was darf digital gespeichert werden)
2. Aktualität / Löschung / Sperrung (Datenschutz)
3. Aufbewahrungsfristen
4. Grundsätze ordnungsgemäßer Buchführung
5. Beweissicherung
Juni 2010 Jens Walter
4
Was darf gespeichert werden
Ärztliche Musterberufsordnung (MBO-Ä §10)– Es besteht Dokumentationspflicht über den Patienten– Patientenakte darf digital gespeichert werden, wenn:
„Sicherungs- und Schutzmaßnahmen, … deren Veränderung, Vernichtung oder unrechtmäßige Verwendung“ verhindern
Juni 2010 Jens Walter
5
Was darf gespeichert werden
Sozialgesetzbuch V (§294 ff.)– Verpflichtung „Angaben, die aus der Erbringung,
der Verordnung sowie der Abgabe von Versicherungsleistungen entstehen, aufzuzeichnen und … den Krankenkassen, den Kassenärztlichen Vereinigungen oder den mit der Datenverarbeitung beauftragten Stellen mitzuteilen“
Juni 2010 Jens Walter
6
Was darf gespeichert werdenZu den ärztlichen Aufzeichnungen zählen z. B.:• Karteikarten (einschließlich ärztlicher Aufzeichnungen und Untersuchungsbefunde)• Behandlung mit Medikation• Arztbriefe und Befundmitteilungen• Operationsberichte• Anästhesieprotokolle• sonographische Untersuchungen• EKG – Streifen• Langzeit-EKG (Computerauswertung, keine Tapes)• EEG – Streifen• Laborbefunde• Krankenhausberichte• Lungenfunktionsdiagnostik (Diagramme)• Röntgenbilder und Aufzeichnungen über Röntgenuntersuchungen
aus Deutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008
Juni 2010 Jens Walter
7
Was darf gespeichert werdenRöntgenverordnung (§§ 28 und 43)• „ …Die Aufzeichnungen müssen enthalten: – …– 2. den Zeitpunkt und die Art der Anwendung,– 3. die untersuchte Körperregion,– 4. Angaben zur rechtfertigenden Indikation nach § 23 Abs. 1 Satz 1,– 5. bei einer Untersuchung zusätzlich den erhobenen Befund,– 6. die Strahlenexposition des Patienten, soweit sie erfasst worden ist,
oder die zu deren Ermittlung erforderlichen Daten und Angaben und– 7. bei einer Behandlung zusätzlich den Bestrahlungsplan nach § 27
Abs. 1 Satz 1 und das Bestrahlungsprotokoll nach § 27 Abs. 3.“
• „Röntgenbilder und die Aufzeichnungen nach Absatz 1 Satz 2 können als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden…“
Juni 2010 Jens Walter
8
Was darf gespeichert werdenKernaussage
– alle patientenbezogenen Stammdaten dürfen / müssen erfasst werden
– für die Erstellung der Kartei bedarf es keiner Einwilligung des Patienten
– für digitale Speicherung bedarf es keiner gesonderten Einwilligung– Dokumentiert werden dürfen / müssen
• behandlungsrelevanten Daten• Daten über getroffene Maßnamen• Daten die der Arzt/in für dokumentationswürdig halten • Feststellungen, die während der Ausübung der ärztlichen Tätigkeit
gemacht werden• abrechnungsrelevante Daten (nach Bereitstellung der Leistung)
u. a. aus Deutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008
Juni 2010 Jens Walter
9
Aktualität / LöschungBundesdatenschutzgesetz (BDSG) §35• „(1) personenbezogene Daten sind zu berichtigen, wenn sie unrichtig
sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen.“
• Es wird die Löschung bzw. Sperrung verlangt, wenn Daten nicht nachweisbar falsch oder richtig sind, außer bei Verdachtsdiagnosen.
• „Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden wenn,
– 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder … sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und
– 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.“
Juni 2010 Jens Walter
10
Aktualität / LöschungDeutsches Ärzteblatt Jg. 105 | Heft 19 | 9. Mai 2008| Abs. 3.3
„Ein Anspruch auf Löschung und Sperrung der patientenbezogenen Daten kommt nicht in Betracht, solange eine aus dem Behandlungsvertrag und aus dem Berufsrecht vorliegende Aufbewahrungsfrist besteht.
…
Eine Löschung von personenbezogenen Daten kann in dem Zeitraum, in dem eine Verpflichtung zur Aufbewahrung der ärztlichen Dokumentation besteht, nicht verlangt werden.“
Juni 2010 Jens Walter
11
AufbewahrungsfristenAbhängig von der Art der Daten:• Patientenakten i. a. 10 Jahre (MBO-Ä §10 Abs. 4)
• Auf Antrag auch länger, sollte/muss aber begründet werden
• Bei Möglichkeit auf Schadensersatzansprüche 30 Jahre• Abwägen ob fallbezogen die Geltendmachung wahrscheinlich ist• Risikoabschätzung -> Verlängerte Speicherung / Löschung
• Röntgenuntersuchungen 10 Jahre• Röntgenbehandlungen 30 Jahre• Mord und Totschlag verjährt nicht (StGb §78) -> Akten
müssen aufbewahrt werden bis sie endgültig nicht mehr benötigt werden -> wann ist das ?
Juni 2010 Jens Walter
12
AufbewahrungsfristenAbhängig von der Art der Daten:• Durchschriften der Arbeitsunfähigkeitsbescheinigungen 1 Jahr• Durchschriften von Betäubungsmittelrezepten und
Betäubungsmittel-Karteikarten 3 Jahre• Sicherungskopie der Abrechnungsdatei bei Abrechnung mittels
EDV & Überweisungsscheine 4 Jahre• Zytologische Befunde, Röntgenuntersuchungen von
Minderjährigen, ärztliche Aufzeichnungen nach Abschluss der Behandlung 10 Jahre
• Jede Anwendung von Blutprodukten und von gentechnisch hergestellten Plasmaproteinen & Durchgangsarztverfahren, alle ärztlichen Unterlagen, einschließlich Röntgenaufnahme 15 Jahre
• Angewendete Blutprodukte und Plasmaproteine vom verabreichenden Arzt 30 Jahre
Juni 2010 Jens Walter
13
Aufbewahrungsfristen
Viel verschiedene Fristen in unterschiedlichen Dokumenten
(Transfusionsgesetz, KVT, Röntgenverordnung, Betäubungsmittel Verordnung, ….)
Quelle Seite 12:
www.kv-thueringen.de
„Aufbewahrungsfristen für ärztliche Aufzeichnungen“
Juni 2010 Jens Walter
14
AufbewahrungsfristenSalopp gesagt, wer lang genug und an der richtigen Stelle sucht, findet immer ein Regelung, die es ihm erlaubt, die Daten länger zu speichern als vorgesehen.
Eine vorfristige Löschung von persönlichen Daten im Bereich Medizin als Patient zu erreichen ist nahezu unmöglich.
Eine Sperrung kann erreicht werden, die jedoch nach BDSG §35 einen fragwürdigen Effekt hat.
Juni 2010 Jens Walter
15
ordnungsgemäße Buchführung für alle Geschäftsbereiche gültig Regelungen nach handels- und steuerrechtlichen Gesichtspunkten Zweck: Sicherung der Ordnungsmäßigkeit über Jahrhunderte gewachsen für klassische Archivierung 1977 erstmals Anerkennung von Datenträgern als Archivmedium, wenn
sie diesen Regelungen (GoB) entsprechen seit 1995 GoBS für Datenverarbeitungssystem gestützte Buchführung Regeln Behandlung von aufbewahrungspflichtigen Daten und Belegen in
elektronischen Buchführungssystemen datensicheren Dokumentenmanagementsystemen revisionssicheren Archivsystemen
behandeln auch Verfahrenstechniken wie Scannen und Datenübernahme enthalten Vorgaben für Verfahrensdokumentation (zum Nachweis des
ordnungsmäßigen Betriebes erforderlich)
Juni 2010 Jens Walter
16
ordnungsgemäße BuchführungAnforderungen an Daten und Dokumente nach GoB & GoBSvollständiggeordnetsachlich richtigfür Sachkundige nachvollziehbarmit dem Original inhaltlich und bildlich übereinstimmendveränderungssicherfälschungssicherzeitgerecht – ohne größere Verzögerung bereitstellbar (Anzeigeprogramm? / Datenformat?)
Juni 2010 Jens Walter
17
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation I- Zwingend erforderlich für den Nachweis, dass Forderungen für die
Aufbewahrung von Daten und Bildern nach HGB und GoBS erfüllt sind
- Umfang nicht vorgegeben, jedoch als Faustregel: ein Dritter muss anhand der Doku den ordnungsgemäßen Einsatz der Lösung überprüfen können
- Beschreibt organisatorische und technische Prozesse:- der Entstehung (Erfassung)- der Indizierung- der Speicherung- des eindeutigen Wiederfindens- der Absicherung gegen Verlust und Verfälschung- der Reproduktion der archivierten Informationen
Juni 2010 Jens Walter
18
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation II - Elemente1.Rechtsgrundlagen für die Archivierung
2.Beschreibung der sachlogischen Lösung aus Anwendersicht• durch Archivierung betroffene Bereiche, sowie deren Aufgabenstellung und
organisatorische Einbindung
• Beschreibung der Ablauf- und Aufbauorganisation als Basis für das erforderliche Berechtigungskonzept
• Archivordnung (wie lang liegt welches Dokument auf welchem Datenträger)
• Beschreibung der Archivfunktionalität
• Dokumentenhandling (Erfassung bis Entsorgung)
3.Beschreibung der programmtechnischen Lösung I• verwendete Standardsoftware
• ggf. speziell erstellte Softwarebestandteile
• Nachweis über Inhalt eingesetzter Programme (Programmprotokoll)
• Erfassung analoger Dokumente
• Organisationsanweisungen
Juni 2010 Jens Walter
19
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation III – Elemente3. Beschreibung der programmtechnischen Lösung II
• Organisationsanweisungen
– wer darf scannen
– wann ist was zu scannen
– ist bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich
– QS auf Lesbarkeit und Vollständigkeit
– Fehlerprotokollierung
– das gescannte Dokument ist mit einem unveränderbaren Index zu versehen
– das Scannergebnis muss unveränderbar sein
Juni 2010 Jens Walter
20
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation IV - Elemente4. Erfassung digitaler Dokumente I
• Transformation:– Übertragung von Inhalt und Formatierung auf digitale Datenträger– Sicherstellen das während der Transformation Daten nicht bearbeitet
werden können– Dokument ist mit unveränderbaren Index zu versehen– das so archivierte Element darf nur unter seinem Index verwaltet und
bearbeitet werden– Bearbeitungsvorgänge müssen protokolliert und im Dokument
gespeichert werden (wie z. B. bei Word Dateien)– bearbeitete Dokumente müssen als Kopie gekennzeichnet werden
Juni 2010 Jens Walter
21
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation V - Elemente4.Erfassung digitaler Dokumente II
• Speicherung– Beschreibung wie Integrität der archiv. Daten gewährleistet wird (inkl.
der notwendigen techn. Voraussetzungen)– Änderungen an der Datenbank dürfen nicht zum Informationsverlust
führen– technische Komponente des Archivierungsverfahren (z. B. die
zulässigen bzw. verwendeten Speichermedien)
Juni 2010 Jens Walter
22
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation VI - Elemente4. Erfassung digitaler Dokumente III
• Wiedergabe– Manipulations- und Verlustsicherheit– Lesbarkeit– Hard- und Software muss über Archivierungszeitraum funktionsfähig
vorgehalten werden– Aktuelle Sicherheitskopie (z. B. bei Systemausfall)– Bei Migration muss alter Archivbestand vollkommen und unverändert
lesbar sein, sonst „alte“ Hard- und Software weiter betriebsfähig halten– Festlegungen, ob Archivdaten bildlich oder inhaltlich wiederzugeben
sind
Juni 2010 Jens Walter
23
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation VII - Elemente5. Datensicherheit
• Sicherheitskonzept für Daten, Hardware, Software und Datensicherung• Verwendete Datenformate
Versionen Normen und Standards
6. Internes Kontrollsystem• Benutzerverwaltung• Zugangskontrolle• Zugriffsberechtigung
Juni 2010 Jens Walter
24
ordnungsgemäße BuchführungForderung nach Verfahrensdokumentation VIII - Elemente7. Datenschutz
• Regelungen für die Einhaltung der Gesetzmäßigkeiten des BDSG bei der Verarbeitung persönlicher Daten
8. Nachweis der Programmidentität• Verzeichnis der installierten Komponenten• Test der eingesetzten Programme, ob beschriebene Funktionalitäten erfüllt
werden• Dokumentation der Testergebnisse• Freigabeklärung für Produktiveinsatz (Version und Zeitpunkt)
Juni 2010 Jens Walter
25
ordnungsgemäße BuchführungRevisionsicherheit
• Forderungen nach Gob und GoBS müssen erfüllt werden Nachvollziehbar wer wann was mit welchen Daten gemacht hat
• Verfahrensdokumentation muss vorliegen
• Überprüfung für Dokumentenmanagement System mit PK-DML „Prüfkriterien für Dokumentmanagementlösungen“, (nutzt der TÜV zur Zertifizierung)
• IT-Grundschutzkatalog des BSI bildet Grundlage, muss aber an entsprechenden Daten den höheren Sicherheitsanforderungen angepasst werden (z. B. im Bereich Patientendatenhandling)
• Weitere Anregungen in DOMEA „Dokumentenmanagement und elektronische Archivierung im IT-gestützten Geschäftsgang“– Richtlinien für die Übertragung der papierbasierten Regelungen in das IT Umfeld
– Ziel ist elektronische Akte
Juni 2010 Jens Walter
26
BeweissicherungOder auch digitale Signierung- Relevante Paragrafen:
- §§126 und 126a BGB
- §1 SigG
- §§ 286, 371 und 371a ZPO
- Qualifizierte elektronische Signaturen ermöglichen beweiskräftige, revisionssichere und rechtlich anerkannte elektronische Beurkundung / Archivierung
- Akkreditierung der Zertifizierungsstelle nicht gefordert
- bei Privaturkunden, Anscheinsvermutung der Echtheit
- bei öffentlichen Dokumenten, Vermutung der Echtheit
- Echtheitsvermutung muss vom Prozessgegner widerlegt werden
Juni 2010 Jens Walter
27Juni 2010 Jens Walter
Vielen Dank für die
Aufmerksamkeit