12. Datenschutz und Datensicherheit Wintersemester 2010/11 Dozent: Univ.-Prof. Dr. med. Stefan Schulz

12. Datenschutz und Datensicherheit

Wintersemester 2010/11Dozent: Univ.-Prof. Dr. med. Stefan Schulz

Beispiel (I)

• Turnusarzt erhält den Auftrag, Daten für eine prospektive Studie zu Melanom zu sammeln:

• Für jede Biopsie muss er klinische Daten aus der elektronischen Krankenakte heraussuchen, pro Patient einen Lifestyle-Fragebogen ausfüllen, und alle Daten tabellarisch zusammenzustellen

• Der Arzt hat keinen eigenen PC in der Klinik zur Verfügung

Beispiel (II)

• Der Arzt erhält von der IT-Abteilung für jede Präparatenummer die zugehörige Patienten-ID

• Mit der Patienten-ID greift er auf die elektronische Krankenakte zu

• Für die Studiendaten legt er eine Excel-Tabelle an• Die Excel-Tabelle speichert er auf seinem USB-Stick

am Schlüsselanhänger

Beispiel (III)

• Alle Daten werden aus der Krankenakte händisch in die Excel-Tabelle übertragen

PID Vorname Name Geburtsdatum Wohnort Beruf Größe Gewicht Erstdiagnose20330001 Kollmann Werner 08.08.1959 Graz Kraftfahrer 176 70 04.05.201028203990 Pregetter Stephan 06.09.1969 Leutschach Landwirt 181 103 05.07.201049338501 Freytag Caroline 06.12.1970 Graz Friseurin 180 93 30.11.200946357778 Huber Christof 31.10.1968 Murau Notar 185 79 30.06.201020034012 Gusterer Felicitas 01.02.1964 Frohnleiten Fußpflegerin 169 74 06.07.201045672302 Deveci Hatice 07.11.1972 Graz Selbständig 156 60 15.05.201022384672 Meyrhofer Andreas 04.05.1971 Spielfeld Tierarzt 176 82 10.12.200992839923 Esposito Giuseppe 23.03.1960 Graz Kraftfahrer 171 61 04.04.201036255530 Taferner Mario 25.09.1966 Hartberg Klempnermeister 171 70 05.12.201090834417 Huszka Kornél 07.08.1971 Graz Musiker 168 69 26.03.201087352946 Matuschek Johanna 15.02.1972 Graz BFS-Lehrerin 167 57 29.12.2009

Frage

• Welche Defizite erkennen Sie bei dieser Methode?

• Wo kann die Medizinische Informatik die gestellte Aufgabe unterstützen?

• Wo sehen Sie Probleme hinsichtlich – Datenschutz– Datensicherheit

Rechtliche Grundlagen (I)

• Datenschutzgesetz 2000:– Personenbezogene Daten: Angaben zu Personen, deren

Identität bestimmt oder zumindest bestimmbar sind (Name SV-Nr., Adresse)

– Indirekt personenbezogene Daten: Personenbezug mit rechtlich zulässigen Mitteln nicht bestimmbar.

– Sensible Daten: ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben.

– Zustimmung: ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten Verwendung der Daten in Kenntnis der Sachlage (keine Formvorschrift).

Rechtliche Grundlagen (II)

• Datengeheimnis: Daten aus Datenanwendungen, die Anwendern ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden sind geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung dieser Daten besteht.

• Daten dürfen nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermittelt werden.

• Das Datengeheimnis muss auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder Dienstleister einhalten werden

Informationelle Selbstbestimmung:

• Der Datenschutz schützt Menschen, nicht Daten!

• Erweitertes Persönlichkeitsrecht: Möglichkeit für eine Person zu wissen, wer, was, wann, wo und bei welcher Gelegenheit über sie weiß

• Anspruch einer Person darauf, dass „ihre Daten“ nicht unbefugt erhoben, verarbeitet oder genutzt werden

Datenschutz im Gesundheitswesen

• Bedeutung des Datenschutzes – Unmittelbare Bedrohung der sozialen Stellung und

psychischen und physischen Unversehrtheit des Menschen

• Verletzung des Datenschutzes:– überwiegend bedroht durch Verstöße von Mitarbeitern,

meist ohne böse oder kriminelle Absicht; basierend auf Neugier, Mitteilungsbedürfnis oder Fahrlässigkeit

• Schutzobjekte: personenbezogene Daten. Medium: Dateien und Akten (nicht unbedingt elektronisch)

Datenschutz - Grundregel

• Verbot mit Erlaubnisvorbehalt

Datenschutz – Grundregel

• die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die verantwortlichen Stellen ist nur zulässig, sofern– sie gesetzlich erlaubt oder angeordnet ist oder– der Betroffene eingewilligt hat

• die verantwortliche Stelle darf Daten nur zu dem Zweck verarbeiten und nutzen, zu dem sie erhoben wurden

• es dürfen nur Daten erhoben, verarbeitet und genutzt werden, die für die jeweilige Aufgabe erforderlich sind

• kein Einblick für Dritte in die Krankenakten oder Monitore

• Schutz gegen Mithören• Zulässigkeitskriterien, welche die Erhebung von

Daten erlaubt:– Behandlungsvertrag (Arzt – Patient)– gesetzliche Regelungen – sonstige (schriftliche) Zustimmungserklärungen

Datenschutz bei der Erhebung von Daten

Datenschutz beim Speichern von Daten

• Zur Sicherstellung– sachgerechte medizinische Behandlung

(einschließlich Abrechnung)– Dokumentation des Behandlungsverlaufs– rechtliches Dokument

Übermittlung von Daten

gesetzliche Anzeigepflichten:• drohende Verbrechen• übertragbare Krankheiten, Infektionsschutz• Geburten und Todesfälle• Vernachlässigung Behinderter• unnatürlicher Tod

Übermittlung von Daten (Krankenhaus)

• zu einer anderen Fachabteilung derselben Krankenhauses– nur in dem Umfang wie zur tatsächlichen Erfüllung des

Behandlungsvertrages erforderlich• an die Krankenhausverwaltung zum Zwecke der

Abrechnung• für Aus-, Fort- und Weiterbildungszwecke im

Krankenhaus (möglichst Teilanonymisierung)

• zur Qualitätssicherung (extern/ intern)• zur Abrechnung (Sozialleistungsträger)• für gerichtliche Verfahren• zur Abwehr von gegenwärtigen Gefahren (z.B.

Suizidabsicht, Kindesmisshandlung, Führen eines Kfz unter Drogeneinfluss)

• an im Behandlungsvertrag ausdrücklich genannte Angehörige (nur vom Arzt)– bei Bewusstlosigkeit: es wird von einer

mutmaßlichen Einwilligung

Übermittlung von Daten (Krankenhaus)

• Voraussetzung: schriftliche, widerrufbare Einwilligung des Patienten liegt vor

• Krankenhaus muss Behandlungsdaten/ Befunde an den Hausarzt übermitteln

• Krankenhaus darf Befunde nachfragen

Übermittlung von Daten zwischen Krankenhaus und Arztpraxis

Verwendung von Daten in der medizinischen Forschung

• Zulässigkeit der Verwendung von Daten:– ausdrückliche Zustimmung des Betroffenen– indirekt personenbezogene Daten: Genehmigung

der Datenschutzkommission• Daten wenn möglich anonymisieren!• bei wichtigem öffentliches Interesse: explizite

Regelungen (Güterabwägung)

Meldepflicht

• vor Aufnahme einer Datenverarbeitung:– Meldung an Datenschutzkommission– Eintrag in Datenverarbeitungsregister

• von der Meldepflicht ausgenommen:– Anwendungen mit nur indirekt

personenbezogenen Daten– einige Standardanwendungen (Rechnungswesen,

Kundenbetreuung,…)

Anonymisierung

• direkter Personenbezug: Identität bestimmbar (z.B. Name, Adresse)

• indirekter Personenbezug: für einen Dritten (z.B. den Inhaber des Entschlüsselungscodes bei codierten Identitätsdaten) bestimmbar

• Erleichterter Gebrauch: „Als mögliches Mittel der Identifikation ist ein solches anzusehen, das „vernünftigerweise“ angewendet wird, d.h. das weder seiner Art nach, noch seinem Aufwand nach vollkommen ungewöhnlich ist.“



k-Anonymität

• Nach Entfernung primärer Identifikationsmerkmale

• zu jeder Wertkombination sekundärer Identifikationsdaten bestehen mindestens k identische Datensätze in– Beispiel: sekundäre Identifikationsdaten „Beruf“ und

„Ort“: k=5:mindestens 5 Kraftfahrer in Grazmindestens 5 Tierärzte in Spielfeld (?)

• k ≥ 2 akzeptabel

Identifikationsdaten

Primäre Identifikationsdaten• Attribut(kombinationen), die von Natur her oder

aufgrund ihrer Definition zur Identifikation dienen (auch wenn dazu eine Verknüpfung mit anderen Daten notwendig ist): „Name und Adresse“, „Sozialversicherungsnummer“, „Aufnahmezahl“

Sekundäre Identifikationsdaten• Attribute, die bei Kombination und aufgrund der

möglichen Attributwerte ein eindeutiges Muster ausprägen können. Beispiel: seltener Beruf, kleiner Ort…


Datensicherheit

Organisatorische, personelle und technische Maßnahmen zur Gewährleistung

ordnungsgemäßer Datenverwendung

Datensicherheit - Grundwerte

• Daten und IT-Systeme müssen geschützt werden hinsichtlich:– Vertraulichkeit– Integrität– Verfügbarkeit – Verbindlichkeit: Zuordnung von Aktionen,

Unbestreitbarkeit von Prozessen

• Datensicherheit wird bedroht durch Fehler (Bedienung, Hardware, Software) und Zerstörung (mechanisch, Wasser, Feuer,…)

Datensicherheit - Grundwerte

• Vertraulichkeit: Informationsgewinn aus Daten ist nur berechtigten Personen

• Integrität: Schutz vor Verfälschung und unberechtigter Manipulation von Daten

• Verfügbarkeit: Daten sind in angemessener Frist nutzbar.

• Verbindlichkeit: Eigenschaft eines IT-Systems, Handlungen von Personen oder Prozessen so zu vollziehen, dass die handelnde Instanz ihre Aktionen im Nachhinein nicht abstreiten kann (Authentizität = nachweisbare Urheberschaft).

Datensicherheit - Bedrohungen• Unbefugter Informationsgewinn: das unbefugte Lesen und Abhören

von Daten: Verlust der Vertraulichkeit. • Unbefugte Datenmodifikation: Verlust der Integrität, z.B. Löschen

und Verändern. • unbefugte Modifikation der Funktionalität – Angriff auf

Verfügbarkeit: eine Beeinträchtigung der Inanspruchnahme, etwa durch Unterbrechung der Kommunikation oder Verzögerung zeitkritischer Dienste

• Leugnen von Kommunikationsbeziehungen - Verlust der Verbindlichkeit: Bestreiten der Teilnahme an der Kommunikation oder die Korrektheit der gesendeten und empfangenen Daten.

• Angriffspunkte : Speicher- und Kommunikationsmedien, Kommunikationsendpunkte (Abhören, Anzapfen, Mithören, unautorisierter Zugriff durch Vorspielen falscher Identitäten, etc.)

Sicherheitsgrundfunktionen • Identifikation und Authentisierung: Identifikation eines Nutzers durch

– durch Wissen: Passwortverfahren. Nachteile : kurze, leicht merkbare Passwörter können leicht geraten werden; lange, komplizierte Passwörter werden möglicherweise an unsicheren Orten abgelegt

– durch Besitz: Chipkarte (Token), wird in der Regel mit einer Passwortauthentisierung gekoppelt (PIN).

– Authentisierung durch biometrische Verfahren: schwer fälschbare persönliche Merkmale (Stimme, Fingerabdruck, Unterschrift , Irisscan)

• Zugriffskontrolle: Regelung, welche Person bevollmächtigt wird, welche IT-Anwendungen oder Daten zu nutzen. Nur so viele Zugriffsrechte vergeben, wie für die Aufgabenwahrnehmung nötig

• Zugriffsrechte (zu Anwendungen und Daten)• Gewährleistung der Unverfälschtheit (Integrität) , z.B. durch Prüfsummen• Nachweis der Datenursprungs (elektronische Unterschrift)• Beweissicherung: Protokollierung von Zugriff, Veränderung, Löschen, … • Zuverlässigkeit der Dienstleistung: bei Ausfall einzelner Funktionen eines

Systems sollten andere Funktionen unbeeinträchtigt bleiben.

Allgemeine Schutzmaßnahmen• ~ 75% sicherheitsrelevanter Schäden an Computersystemen und Netzen

mindestens teilweise durch menschliches Versagen (Nachlässigkeit, Irrtum, mangelnde Kenntnis der Mitarbeiter) verursacht

• Personelle Schutzmaßnahmen:– Personalauswahl, Einbindung der Mitarbeiter in die IT-Sicherheitskonzeption– Geregelte Einarbeitung/ Unterweisung– Schulungen zur IT-Sicherheit, Sensibilisierung und Motivation

• Infrastrukturelle Schutzmaßnahmen– Datensicherungskonzept: redundanter Datenbestand sichert Betrieb bei Verlust des

operativen Datenbestandes, z.B. durch Anlegen mehrerer Kopien der Daten und Programme.

– Es gibt verschiedene Arten der Datensicherung (Datenspiegelung, Volldatensicherung, inkrementelle Datensicherung, differentielle Datensicherung).

– Bauliche Maßnahmen: Brandschutz, Lagerung von Sicherheitsmedien– Gewährleistung der Vertraulichkeit: Zutritts- (in Räume), Zugangs- (zu IT-

Komponenten und Netzen)

Zusammenfassung Datenschutz

• Datenschutz schützt Personen hinsichtlich ihrer „informationellen Selbstbestimmung“

• Grundregel des Datenschutzes:Verbot mit Erlaubnisvorbehalt

• Prinzipien:– Zweckbindung– Erforderlichkeit

• Daten und Informationssysteme werden bedroht durch Mißbrauch, Fehler und Zerstörung

• Daten müssen geschützt werden hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit (Grundwerte der Datensicherheit)

Zusammenfassung Datensicherheit

Gesetzeslage (EU)– Europäische Menschenrechtskonvention (EMRK): Art. 8 Abs. 1 Anspruch

eines jeden Menschen auf Achtung seines Privatlebens, seines Familienlebens, seiner Wohnung und seines Briefverkehrs

– Grundrechte-Charta der EU: Art. 7 Achtung des Privat- und Familienlebens, Art. 8 Schutz personenbezogener Daten, Art. 11 Freiheit der Meinungsäußerung und Informationsfreiheit, Art. 13 Freiheit von Kunst und Wissenschaft, Art. 52 Tragweite der garantierten Rechte

– EG Datenschutzrichtlinie: Richtlinie 95/46/EG des Europäischen Parlaments vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

– EG Datenschutzrichtlinie für die elektronische Kommunikation (bereichsspezifische Regelung): Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

Gesetzeslage (Österreich)

• Datenschutz in Österreich ist im DSG 2000 geregelt (2005 novelliert): 165.Bundesgesetz: Datenschutzgesetz 2000 – DSG 2000. Bundesgesetzblatt für die Republik Österreich v. 17.August 1999. Teil I, S.1277–1303.http://de.wikipedia.org/wiki/Bundesgesetz_%C3%BCber_den_Schutz_personenbezogener_Daten

• Die rechtlichen Rahmenbedingungen für die elektronische Unterschrift und die damit verbundene Infrastruktur finden sich im: 190. Bundesgesetz: Signaturgesetz – SigG. Bundesgesetzblatt für die Republik Österreich v.19. August 1999. Teil I, S. 1451–1462.

• Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung;

• § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

http://de.wikipedia.org/wiki/Bundesgesetz_%C3%BCber_den_Schutz_personenbezogener_Daten

http://de.wikipedia.org/wiki/Bundesgesetz_%C3%BCber_den_Schutz_personenbezogener_Daten

Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung

(1) Der Arzt ist verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person, insbesondere über den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen im Sinne des § 26 Abs. 8 des Arzneimittelgesetzes, BGBl. Nr. 185/1983, erforderlichen Daten zu führen und hierüber der beratenen oder behandelten oder zu ihrer gesetzlichen Vertretung befugten Person alle Auskünfte zu erteilen.

Ärztegesetz (1998): § 51. : Dokumentationspflicht und Auskunftserteilung

(2) Ärzte sind zur automationsunterstützten Ermittlung und Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten1. an die Sozialversicherungsträger und Krankenfürsorgeanstalten in

dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, sowie

2. an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Zustimmung des Kranken berechtigt. Die zur Beratung oder Behandlung übernommene Person hat das Recht auf Einsicht, Richtigstellung unrichtiger und Löschung unzulässigerweise verarbeiteter Daten.

(3) Die Aufzeichnungen sowie die sonstigen der Dokumentation im Sinne des Abs. 1 dienlichen Unterlagen sind mindestens zehn Jahre aufzubewahren.

Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

(1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet.(2) Die Verschwiegenheitspflicht besteht nicht, wenn1. nach gesetzlichen Vorschriften eine Meldung des Arztes über den

Gesundheitszustand bestimmter Personen vorgeschrieben ist2. Mitteilungen oder Befunde des Arztes an die Sozialversicherungsträger und

Krankenfürsorgeanstalten oder sonstigen Kostenträger in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, erforderlich sind,

3. die durch die Offenbarung des Geheimnisses bedrohte Person den Arzt von der Geheimhaltung entbunden hat,

4. die Offenbarung des Geheimnisses nach Art und Inhalt zum Schutz höherwertiger Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege unbedingt erforderlich ist.

Ärztegesetz (1998): § 54. Verschwiegenheits-, Anzeige- und Meldepflicht

(3) Die Verschwiegenheitspflicht besteht auch insoweit nicht, als die für die Honorar- oder Medikamentenabrechnung gegenüber den Krankenversicherungsträgern, Krankenanstalten, sonstigen Kostenträgern oder Patienten erforderlichen Unterlagen zum Zweck der Abrechnung, auch im automationsunterstützten Verfahren, Dienstleistungsunternehmen überlassen werden. Eine allfällige Speicherung darf nur so erfolgen, dass Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind. Diese anonymen Daten sind ausschließlich mit Zustimmung des Auftraggebers an die zuständige Ärztekammer über deren Verlangen weiterzugeben.

Documents

12. Datenschutz und Datensicherheit Wintersemester 2010/11 Dozent: Univ.-Prof. Dr. med. Stefan Schulz