Date post: | 18-Sep-2018 |
Category: |
Documents |
Upload: | nguyendang |
View: | 213 times |
Download: | 0 times |
Orientierungshilfe
Krankenausinformationssysteme
Ein Jahr danach. Grundlagen und Praxis
8. Augsburger Forum für Medizinprodukterecht, 13. September 2012
Helmut Eiermann
Leiter TechnikDer Landesbeauftragte für den Datenschutz und die InformationsfreiheitRheinland-Pfalz
H. Eiermann
Agenda
1 Hintergrund - Warum eine Orientierungshilfe ?
2 Werdegang - Was hat sich getan ?
3 Sachstand - Wie ist die Situation in der Praxis ?
4 Ausblick - Wie geht es weiter ?
Individuelle Datenverarbeitung
mobile Datenverarbeitung
mobile Datenverarbeitung+ Internet
Individuelle Datenverarbeitung+ Internet
CloudComputing
� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID
Entwicklung der Informationstechnik
H. Eiermann
Datenschutz in IT-Verfahren
Grundlegende Konzepte des technischen Datenschutzes haben dabei Bestand:
� Berechtigungskonzept� Löschkonzept� Protokollierung� Pseudonymisierung
Einzelne IT-Trends wiederholen sich auf einem höheren technischen Niveau, z.B.:
� Vernetzung� Zentralisierung / Dezentralisierung
Individuelle Datenverarbeitung
Individuelle Datenverarbeitung+ Internet
mobile Datenverarbeitung
mobile Datenverarbeitung+ Internet
CloudComputing
Elektronische Patientenakte
TelemedizinTelematik-infrastuktur
Integrierte Versorgung
RFID
Data Warehouse
Qualitäts-management
...
Entwicklung der Informationstechnik
HPCeGK
� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
���� Entschließung der 78. Sitzung der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder
vom 9. Oktober 2009*:
„Krankenhausinformationssysteme datenschutzgerecht gestalten!“
Hintergrund:
���� IT-Einsatz im Krankenhaus
���� ECHR Application No. 20511/03 (Zugriffsprotokollierung)
���� Missbrauchsfälle
H. Eiermann
Datenschutz-Problembereiche
Hersteller Betreiber
���� Orientierungshilfe* „Datenschutzgerechter Einsatz vonKrankenhausinformationssystemen“
���� Krankenhausabläufe
���� Zugriffsrechte
���� Protokollierung
���� Hersteller und Betreiber
* http://www.datenschutz.rlp.de/downloads/oh/dsb_info_kis.pdf
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Teil I der Orientierungshilfe
� „Normative Eckpunkte“
Zusammenfassung bundesweit bestehender gesetzlicher Vorgaben
bei der Verarbeitung von Patientendaten im Krankenhaus
� ärztliche Schweigepflicht
� Erforderlichkeitsprinzip, d.h. effektiver Schutz des
Arzt-Patienten-Verhältnisses, Behandlungserfordernisse
� Berufsordnungen
� Landeskrankenhausgesetze, Datenschutzgesetze
� Wiedergabe geltenden Rechts; keine neuen rechtlichen Vorgaben
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Teil II der Orientierungshilfe
�„Technische Anforderungen an Gestaltung und Betrieb“
Musterhafte Vorgaben zur Gestaltung oder Konfiguration aus
der Kontroll- und Beratungspraxis der Datenschutzbeauftragten
� Kontroll- und Beratungspraxis der Datenschutzbeauftragten
� Alternative Maßnahmen, die das gleiche Schutzniveau oder
die gleiche Funktionalität erreichen, sind zulässig
H. Eiermann
■ Datenmodell
■ Systemfunktionen
■ Anwendungsfunktionen
■ Rollen- und Berechtigungskonzept
■ Datenpräsentation
■ Nutzungsergonomie
■ Protokollierung
■ Technischer Betrieb, Administration
Orientierungshilfe Krankenhausinformationssysteme
Teil II - Technische Anforderungen
Konzeption
Betrieb
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Zielsetzungen:
� Interpretation der gesetzlichen Vorgaben durch
die Datenschutzaufsicht wird erkennbar
� KIS-Betreiber und KIS-Hersteller erhalten Orientierung
� Initiierung eines Dialogs zwischen KIS-Betreibern, KIS-Herstellern,
Datenschutzaufsicht
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
� 81. Konferenz (März 2011) - öffentlicher Bereich - nimmt die
Orientierungshilfe zustimmend zur Kenntnis
Beschluss „Datenschutzkonforme Gestaltung und Nutzung von
Krankenhausinformationssystemen“
� im Mai 2011 vergleichbare Beschlüsse der Datenschutz-
aufsichtsgremien im nicht-öffentlichen Bereich („Düsseldorfer
Kreis“) sowie in der Evangelischen und Katholischen Kirche
H. Eiermann
� Dialog mit der Deutschen Krankenhausgesellschaft
Umsetzungsprozess - Bundesebene
strittig:
� Hinzuziehung der Vorbehandlungsakten bzw. aktiver Hinweisauf das dem Patienten zustehende Widerspruchsrecht
� Protokollierung von Datenzugriffen
Im Übrigen werden die Inhalte der OH KIS seitens der DKG nicht grundsätzlich in Frage gestellt; Umsetzbarkeit und Angemessenheitsollte nach Auffassung der DKG geklärt werden.
� Stellungnahme / Folgegespräche im Oktober 2012
Umsetzungsprozess Bundesebene
� AG Datenschutz
� „Kernpunkte“ (ohne Priorisierung)
� Protokollierung
� Rollen- und Berechtigungskonzept
� Löschung / Sperrung
� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)
�offene Fragen
� Portfolio-Analysen
� Kundenworkshops
� Softwareanpassungen / Roadmaps
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� Dialog mit der Krankenhausgesellschaft Rheinland-Pfalz
Sachstand:
- KGRP teilt Bewertung der DKG
- Arbeitsgruppe LfDI-KGRP begleitet den weiteren
Umsetzungsprozess
� Abstimmung mit den auf dem Gebiet des Landes Rheinland-Pfalz
zuständigen kirchlichen Datenschutzbeauftragten
(50 % der Krankenhäuser in kirchlicher Trägerschaft)
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� Informationsveranstaltung (Juni 2011)
� Referenzprojekt im Landeskrankenhaus RLP
Psychosomatisches Krankenhaus
16 Standorte / 3.000 Beschäftigte /
(August 2011 – April 2012)
����praktikabel
angemessenumsetzbar
H. Eiermann
Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)
Arbeitspaket 1: Administrative und medizinische Patientenaufnahme
Arbeitspaket 2: Behandlung
Arbeitspaket 3: Nachbehandlung, Zugriffe durch Funktionskräfte,
Sonstige Zugriffe
Arbeitspaket 4: Technische Administration,
Berücksichtigung besonders schutzwürdiger
Patientengruppen, Umsetzung der
Auskunftsansprüche von Patienten,
Protokollierung/Nachvollziehbarkeit der Nutzung
H. Eiermann
Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)
Projektbericht:http://www.datenschutz.rlp.de/de/aktuell/2012/images/
Referenzprojekt_Landeskrankenhaus_Projektbericht_Zusammengfassung.pdf
Handlungsbedarf:
� Rollen- und Berechtigungskonzept
� Archivierungs – und Löschkonzept
� Auswertungskonzept für Protokolldaten
� Sperr- und Befristungsmöglichkeiten
� Dokumentation Datenschutz- und Informationssicherheitskonzept
H. Eiermann
Zur Erinnerung…
� „Kernpunkte“ aus Sicht des bvitg
� Protokollierung
� Rollen- und Berechtigungskonzept
� Löschung / Sperrung
� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� IST-Analyse / Umfrage zum Einsatz von
Krankenhausinformationssystemen in Rheinland-Pfalz
(November 2011 – Februar 2012)
50 Krankenhäuser in öffentlicher / privater Trägerschaft
75 % Rücklauf (43 Einrichtungen)
� Workshop zur Umsetzung der OH KIS (September 2012)
� Informationsgespräche
H. Eiermann
■ Daten- und Funktionszugriffe
■ Verarbeitungskontrolle
■ Archivierung / Datenlöschung
■ Strukturen / Abläufe
■ KIS-Systeme / IT-Dienstleister
■ Umsetzung / Handlungsbedarf
■ Angemessenheit / Praxistauglichkeit
IST-Erhebung KIS in Rheinland-Pfalz
Schwierigkeiten der Umsetzung
häufigste Punkte:
� Kosten/Finanzierbarkeit
� personeller Aufwand
� interne Widerstände
� Systeme können Anforderungen technisch nicht immer umsetzen
IST-Erhebung KIS in Rheinland-Pfalz
Handlungsbedarf der Hersteller
häufigste Punkte:
� differenzierte Zugriffsberechtigungen
� Archivierung/Sperrung
� Löschung
� Pseudonymisierung
� Protokollierung lesender Zugriffe
IST-Erhebung KIS in Rheinland-Pfalz
� interne Verantwortlichkeiten für die Umsetzung der OH KIS:
IT-Abteilung (88%), DSB (81%), Geschäftsführung (53%)
� 80% der Häuser haben klassische Organisationsstruktur (Fachabteilung)
� in mehr als der Hälfte der Einrichtungen sind Bereiche ausgelagert
� bei 40% der Rückläufe sind die Auslagerungen zumindest teilweise
rechtlich selbständig
� in 6 Fällen gibt es zumindest teilweise eine gemeinsame Nutzung des KIS
durch rechtlich selbständige Stellen
IST-Erhebung KIS in Rheinland-Pfalz
� 90% der Häuser verfügen über ein Rollen-und Berechtigungskonzept
� 49% der Häuser verfügen über ein „Archivierungskonzept“
� 21% der Häuser verfügen über ein Löschkonzept
� 93% der Häuser protokollieren Datenzugriffe,
davon zwei Drittel sowohl schreibende und lesende Zugriffe
� in 60% der Einrichtungen erfolgt eine IT-Betreuung
zumindest teilweise durch externe Stellen
IST-Erhebung KIS in Rheinland-Pfalz
H. Eiermann
Orientierungshilfe Krankenhausinformationssysteme
Verarbeitungskontexte
■ Patientenaufnahme■ Behandlung■ Pflege■ Diagnostik■ Sozialdienst■ Qualitätssicherung■ Revision■ Datenschutzkontrolle■ Controlling■ Abrechnung■ Forschung■ Ausbildung■ Dokumentation■ QS■ Notfall■…
80 % der Häuser haben eine klassische Organisationsstruktur (Fachabteilungen)
Berechtigungskonzept
����zutreffend
Krankenhausinformationssystem (KIS)
Patienten-verwaltung
Behandlungs-dokumentation
Ressourcen-planung
Abrechnung ...
Patientenaktensystem (PAS)
KrankenhausA
Krankenhaus B
MVZ
Mandanten
H. Eiermann
Praxis
Belegarzt
...
Sonstige
KIS –Mandant …KIS –Mandant …
KIS –Mandant …KIS –Mandant …
KIS –Mandant …KIS –Mandant …
Laborsysteme Diagnose-systeme
... ... ...
Subsysteme Subsysteme
����zutreffend
H. Eiermann
Rollen- / Berechtigungskonzept
90 % der Krankenhäuser verfügen über
ein Rollen-/Berechtigungskonzept
� d.h. 10 % nach eigenen Angaben nicht� Was bedeutet das für die Zugriffsmöglichkeiten?
� Rollen zu allgemeinz.B. Arzt statt behandelnder Arzt / Mitbehandlung / Konsil / Belegarzt
××××unzureichend
gelöst
Rollen- / Berechtigungskonzept
H. Eiermann
2-Stufen-Zugriffsverfahren („Sonderzugriff“)
Behandlungsfall
Datenobjekt
Datenanforderung
Begründungsanforderung /Bestätigung (4-Augen-Prinzip)
Hinweis auf Protokollierung
Datenfreigabe
����praktikabel
Rollen- / Berechtigungskonzept
H. Eiermann
2-Stufen-Zugriffsverfahren („Sonderzugriff“)
Behandlungsfall
Datenobjekt
Datenanforderung
Begründungsanforderung /Bestätigung (4-Augen-Prinzip)
Hinweis auf Protokollierung
Datenfreigabe
■ Notfallzugriff■ Bereitschaftsdienst■ Springer/Vertretung■ Konsil■ Qualitätssicherung■ Controlling■…
Datenbereitstellungunter kontrollierten,dokumentierten undnachvollziehbaren Bedingungen
����praktikabel
H. Eiermann
■ Ärztliche Mitarbeiter■ Pflegekräfte■ Verwaltungskräfte■ Ausbildungskräfte■ Externe Kräfte■ Administration
Benutzerkategorien
Rollen- / Berechtigungskonzept ����zutreffend +
praktikabel
H. Eiermann
■ Administrative Aufnahmekraft■ Medizinische Aufnahmekraft■ QS-Management■ Pflegekraft/Leitende■ Funktionskraft■ Konsiliar■ Bereitschaftsdienst■ Belegarzt■ Behandelnder Arzt■ Honorar-Arzt■ Honorar-Pflegekraft■ Verwaltungsmitarbeiter■ Controlling■ Datenschutzbeauftragter
Grundrollen
■ Revision■ Sekretariat / Hilfskraft■ Ausbildungskraft■Wartung■ Anwendungsadministration■ Berechtigungsadministration
Rollen- / Berechtigungskonzept ����zutreffend +
praktikabel
H. Eiermann
Behandlungsfall
VIP
Behandlungsfall
Krankenhausmitarbeiter
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
■ Patientenstammdaten■ Verwaltungsdaten■ Medizinische Daten■ Pflegedaten■ Metadaten
Behandlungsfall / Fallakte
Behandlungsfall / Fallakte
Behandlungsfall / Fallakte
Patientenakte
Datenobjekt
Patient
Datenkategorien:
Rollen- und Berechtigungskonzept
Rollen- / Berechtigungskonzept����zutreffend +
praktikabel
H. Eiermann
� Berechtigungen zu weitreichend
z.B. „globale Patientensuche“ für jede Rolle vergeben
� Berechtigungen zu pauschal
z.B. Zugriff auf alle Patienten einer Abteilungbei Behandlung lediglich einzelner Patienten (z.B. Therapeuten, Konsil)
� Behandlungsauftrag / Zuweisung
� Fallkennzeichnung
Rollen- / Berechtigungskonzept
H. Eiermann
Behandlungsauftrag / Arbeitsauftrag / Zuweisung
Datenobjekt
Behandlungsfall
Organisationseinheit A
(z.B. Chirurgie)
Organisationseinheit B
(z.B. Therapeut, Konsil)
Datenobjekt
Behandlungsfall
Rollen- / Berechtigungskonzept����zutreffend +
praktikabel
H. Eiermann
Übersicht je Benutzer – Berechtigungen
■ Schreiber BerechtigungRolle A
BerechtigungRolle B
Rollen- / Berechtigungskonzept����zumeist
vorhanden
H. Eiermann
Übersicht Rolle / Berechtigung – Benutzer
Berechtigung
Rolle A ■ Müller
■ Meier
■ Schmidt
■Wagner
■ Becker
■ Schuhmacher
■ Schulz
■ Schreiber
■ Metzger
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
� Keine Differenzierung nach Fallstatus (aktiv / abgeschlossen)
� genereller Zugriff auf abgeschlossene Fälle
� Berechtigungsdokumentation unzureichend
� IST = ja / SOLL = nein� org. Verfahren zur Berechtigungsvergabe
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
Archivierungs- / Löschkonzept
Lediglich 50% der Krankenhäuser verfügen über ein Archivierungskonzept
� d.h. bei der Hälfte der Häuser existiert keine Vorgabe wie mit abgeschlossenen Behandlungsfällen verfahren werden soll
� Fallabschluss ist gestaltbar / muss definiert werden
� Abrechnung� Entlassung + X� Fristablauf nach letzter Änderung
� „Archiv“-Begriff muss definiert werden
����praktikabel
H. Eiermann
Archivierungs- / Löschkonzept
75 % der Krankenhäuser haben kein Löschkonzept
� d.h. bei ¾ der Häuser existieren keine Verfahrensweisen zur Löschung von KIS-Daten
� Löschung ist gestaltbar / muss definiert werden
� medizinische Daten (z.B. 30 Jahre)� radiologische Daten (z.B. 10 Jahre)� Abrechnungsdaten (z.B. 5 Jahre) � einzelne Verwaltungsdaten (z.B. 5 Jahre)
××××unzureichend
gelöst
H. Eiermann
■ Laufende Behandlung■ Behandlung abgeschlossen■ Abrechnung erfolgt■ Fall abgeschlossen■ Aufbewahrungsfrist abgelaufen
Behandlungsfall
Status
■ Automatische Löschung■ Differenzierung nach Datenobjekten
Rollen- / Berechtigungskonzept
����grundsätzlich
praktikabel
95 % der Krankenhäuser protokollieren Datenzugriffe
Protokollierungskonzept
� bei 2/3 der Häuser werden auch lesende Zugriffe erfasst
� d.h. bei 1/3 der Häuser ist nicht nachvollziehbar, wer z.B. einen bestimmten Patienten gesucht oder dessen Daten abgefragt hat
�Europäischer Gerichtshof für Menschenrechte 2009(ECHR Application No. 20511/03)
„...in der fehlenden Protokollierung von (lesenden) Zugriffen auf
medizinische Daten liegt ein Verstoß gegen Artikel 8 der Europäischen
Menschenrechtskonvention“
�Erforderlichkeit für die Aufgabenerfüllung
� Aufdeckung von Unregelmäßigkeiten� Aufklärung
�Speicherungsdauer i.d.R. 12 Monate bei Daten aus der Verfahrensnutzung
�orientiert an der Einsatzdauer des Verfahrens bei administrativen Zugriffen
Protokollierungskonzept
� fehlende Aufbewahrungsvorgaben××××unzureichend
gelöst
Protokollierungskonzept
� fehlendes Auswertungskonzept
� stichprobenweise oder anlassbezogene Auswertung
� Abstimmung mit Personalvertretung
� Verfahrensregelung
××××unzureichend
gelöst
H. Eiermann
Hersteller Betreiber
� Checklisten, Verfahrensvorschlag zum Umsetzungsprozess
� Priorisierung der OH – AnforderungenA – vordringlichB – im Rahmen der laufenden Entwicklungsplanung
Umsetzung der Orientierungshilfe
H. Eiermann
Wie geht es weiter ?
� Evaluierung der OH KIS durch die Arbeitsgruppe der
Datenschutzbeauftragten
� Anpassung der OH an die Evaluationsergebnisse (2013)
� Fortsetzung der Gespräche mit der DKG
� Fortführung der Kontakte mit dem Herstellerverband bvitg
www.datenschutz.rlp.de | [email protected]
Helmut Eiermann
Gruppenleiter Technik
Hintere Bleiche 34 | 55116 Mainz
Tel (06131) 208 2226
Fax (06131) 208 2497