Upload
nguyendang
View
213
Download
0
Embed Size (px)
Citation preview
Orientierungshilfe
Krankenausinformationssysteme
Ein Jahr danach. Grundlagen und Praxis
8. Augsburger Forum für Medizinprodukterecht, 13. September 2012
Helmut Eiermann
Leiter TechnikDer Landesbeauftragte für den Datenschutz und die InformationsfreiheitRheinland-Pfalz
H. Eiermann
Agenda
1 Hintergrund - Warum eine Orientierungshilfe ?
2 Werdegang - Was hat sich getan ?
3 Sachstand - Wie ist die Situation in der Praxis ?
4 Ausblick - Wie geht es weiter ?
Individuelle Datenverarbeitung
mobile Datenverarbeitung
mobile Datenverarbeitung+ Internet
Individuelle Datenverarbeitung+ Internet
CloudComputing
� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID
Entwicklung der Informationstechnik
H. Eiermann
Datenschutz in IT-Verfahren
Grundlegende Konzepte des technischen Datenschutzes haben dabei Bestand:
� Berechtigungskonzept� Löschkonzept� Protokollierung� Pseudonymisierung
Einzelne IT-Trends wiederholen sich auf einem höheren technischen Niveau, z.B.:
� Vernetzung� Zentralisierung / Dezentralisierung
Individuelle Datenverarbeitung
Individuelle Datenverarbeitung+ Internet
mobile Datenverarbeitung
mobile Datenverarbeitung+ Internet
CloudComputing
Elektronische Patientenakte
TelemedizinTelematik-infrastuktur
Integrierte Versorgung
RFID
Data Warehouse
Qualitäts-management
...
Entwicklung der Informationstechnik
HPCeGK
� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
���� Entschließung der 78. Sitzung der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder
vom 9. Oktober 2009*:
„Krankenhausinformationssysteme datenschutzgerecht gestalten!“
Hintergrund:
���� IT-Einsatz im Krankenhaus
���� ECHR Application No. 20511/03 (Zugriffsprotokollierung)
���� Missbrauchsfälle
H. Eiermann
Datenschutz-Problembereiche
Hersteller Betreiber
���� Orientierungshilfe* „Datenschutzgerechter Einsatz vonKrankenhausinformationssystemen“
���� Krankenhausabläufe
���� Zugriffsrechte
���� Protokollierung
���� Hersteller und Betreiber
* http://www.datenschutz.rlp.de/downloads/oh/dsb_info_kis.pdf
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Teil I der Orientierungshilfe
� „Normative Eckpunkte“
Zusammenfassung bundesweit bestehender gesetzlicher Vorgaben
bei der Verarbeitung von Patientendaten im Krankenhaus
� ärztliche Schweigepflicht
� Erforderlichkeitsprinzip, d.h. effektiver Schutz des
Arzt-Patienten-Verhältnisses, Behandlungserfordernisse
� Berufsordnungen
� Landeskrankenhausgesetze, Datenschutzgesetze
� Wiedergabe geltenden Rechts; keine neuen rechtlichen Vorgaben
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Teil II der Orientierungshilfe
�„Technische Anforderungen an Gestaltung und Betrieb“
Musterhafte Vorgaben zur Gestaltung oder Konfiguration aus
der Kontroll- und Beratungspraxis der Datenschutzbeauftragten
� Kontroll- und Beratungspraxis der Datenschutzbeauftragten
� Alternative Maßnahmen, die das gleiche Schutzniveau oder
die gleiche Funktionalität erreichen, sind zulässig
H. Eiermann
■ Datenmodell
■ Systemfunktionen
■ Anwendungsfunktionen
■ Rollen- und Berechtigungskonzept
■ Datenpräsentation
■ Nutzungsergonomie
■ Protokollierung
■ Technischer Betrieb, Administration
Orientierungshilfe Krankenhausinformationssysteme
Teil II - Technische Anforderungen
Konzeption
Betrieb
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
Zielsetzungen:
� Interpretation der gesetzlichen Vorgaben durch
die Datenschutzaufsicht wird erkennbar
� KIS-Betreiber und KIS-Hersteller erhalten Orientierung
� Initiierung eines Dialogs zwischen KIS-Betreibern, KIS-Herstellern,
Datenschutzaufsicht
H. Eiermann
Rückschau: Werdegang und Zielsetzung der OH
� 81. Konferenz (März 2011) - öffentlicher Bereich - nimmt die
Orientierungshilfe zustimmend zur Kenntnis
Beschluss „Datenschutzkonforme Gestaltung und Nutzung von
Krankenhausinformationssystemen“
� im Mai 2011 vergleichbare Beschlüsse der Datenschutz-
aufsichtsgremien im nicht-öffentlichen Bereich („Düsseldorfer
Kreis“) sowie in der Evangelischen und Katholischen Kirche
H. Eiermann
� Dialog mit der Deutschen Krankenhausgesellschaft
Umsetzungsprozess - Bundesebene
strittig:
� Hinzuziehung der Vorbehandlungsakten bzw. aktiver Hinweisauf das dem Patienten zustehende Widerspruchsrecht
� Protokollierung von Datenzugriffen
Im Übrigen werden die Inhalte der OH KIS seitens der DKG nicht grundsätzlich in Frage gestellt; Umsetzbarkeit und Angemessenheitsollte nach Auffassung der DKG geklärt werden.
� Stellungnahme / Folgegespräche im Oktober 2012
Umsetzungsprozess Bundesebene
� AG Datenschutz
� „Kernpunkte“ (ohne Priorisierung)
� Protokollierung
� Rollen- und Berechtigungskonzept
� Löschung / Sperrung
� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)
�offene Fragen
� Portfolio-Analysen
� Kundenworkshops
� Softwareanpassungen / Roadmaps
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� Dialog mit der Krankenhausgesellschaft Rheinland-Pfalz
Sachstand:
- KGRP teilt Bewertung der DKG
- Arbeitsgruppe LfDI-KGRP begleitet den weiteren
Umsetzungsprozess
� Abstimmung mit den auf dem Gebiet des Landes Rheinland-Pfalz
zuständigen kirchlichen Datenschutzbeauftragten
(50 % der Krankenhäuser in kirchlicher Trägerschaft)
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� Informationsveranstaltung (Juni 2011)
� Referenzprojekt im Landeskrankenhaus RLP
Psychosomatisches Krankenhaus
16 Standorte / 3.000 Beschäftigte /
(August 2011 – April 2012)
����praktikabel
angemessenumsetzbar
H. Eiermann
Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)
Arbeitspaket 1: Administrative und medizinische Patientenaufnahme
Arbeitspaket 2: Behandlung
Arbeitspaket 3: Nachbehandlung, Zugriffe durch Funktionskräfte,
Sonstige Zugriffe
Arbeitspaket 4: Technische Administration,
Berücksichtigung besonders schutzwürdiger
Patientengruppen, Umsetzung der
Auskunftsansprüche von Patienten,
Protokollierung/Nachvollziehbarkeit der Nutzung
H. Eiermann
Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)
Projektbericht:http://www.datenschutz.rlp.de/de/aktuell/2012/images/
Referenzprojekt_Landeskrankenhaus_Projektbericht_Zusammengfassung.pdf
Handlungsbedarf:
� Rollen- und Berechtigungskonzept
� Archivierungs – und Löschkonzept
� Auswertungskonzept für Protokolldaten
� Sperr- und Befristungsmöglichkeiten
� Dokumentation Datenschutz- und Informationssicherheitskonzept
H. Eiermann
Zur Erinnerung…
� „Kernpunkte“ aus Sicht des bvitg
� Protokollierung
� Rollen- und Berechtigungskonzept
� Löschung / Sperrung
� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)
H. Eiermann
Umsetzungsprozess – Landesebene (Rheinland-Pfalz)
� IST-Analyse / Umfrage zum Einsatz von
Krankenhausinformationssystemen in Rheinland-Pfalz
(November 2011 – Februar 2012)
50 Krankenhäuser in öffentlicher / privater Trägerschaft
75 % Rücklauf (43 Einrichtungen)
� Workshop zur Umsetzung der OH KIS (September 2012)
� Informationsgespräche
H. Eiermann
■ Daten- und Funktionszugriffe
■ Verarbeitungskontrolle
■ Archivierung / Datenlöschung
■ Strukturen / Abläufe
■ KIS-Systeme / IT-Dienstleister
■ Umsetzung / Handlungsbedarf
■ Angemessenheit / Praxistauglichkeit
IST-Erhebung KIS in Rheinland-Pfalz
Schwierigkeiten der Umsetzung
häufigste Punkte:
� Kosten/Finanzierbarkeit
� personeller Aufwand
� interne Widerstände
� Systeme können Anforderungen technisch nicht immer umsetzen
IST-Erhebung KIS in Rheinland-Pfalz
Handlungsbedarf der Hersteller
häufigste Punkte:
� differenzierte Zugriffsberechtigungen
� Archivierung/Sperrung
� Löschung
� Pseudonymisierung
� Protokollierung lesender Zugriffe
IST-Erhebung KIS in Rheinland-Pfalz
� interne Verantwortlichkeiten für die Umsetzung der OH KIS:
IT-Abteilung (88%), DSB (81%), Geschäftsführung (53%)
� 80% der Häuser haben klassische Organisationsstruktur (Fachabteilung)
� in mehr als der Hälfte der Einrichtungen sind Bereiche ausgelagert
� bei 40% der Rückläufe sind die Auslagerungen zumindest teilweise
rechtlich selbständig
� in 6 Fällen gibt es zumindest teilweise eine gemeinsame Nutzung des KIS
durch rechtlich selbständige Stellen
IST-Erhebung KIS in Rheinland-Pfalz
� 90% der Häuser verfügen über ein Rollen-und Berechtigungskonzept
� 49% der Häuser verfügen über ein „Archivierungskonzept“
� 21% der Häuser verfügen über ein Löschkonzept
� 93% der Häuser protokollieren Datenzugriffe,
davon zwei Drittel sowohl schreibende und lesende Zugriffe
� in 60% der Einrichtungen erfolgt eine IT-Betreuung
zumindest teilweise durch externe Stellen
IST-Erhebung KIS in Rheinland-Pfalz
H. Eiermann
Orientierungshilfe Krankenhausinformationssysteme
Verarbeitungskontexte
■ Patientenaufnahme■ Behandlung■ Pflege■ Diagnostik■ Sozialdienst■ Qualitätssicherung■ Revision■ Datenschutzkontrolle■ Controlling■ Abrechnung■ Forschung■ Ausbildung■ Dokumentation■ QS■ Notfall■…
80 % der Häuser haben eine klassische Organisationsstruktur (Fachabteilungen)
Berechtigungskonzept
����zutreffend
Krankenhausinformationssystem (KIS)
Patienten-verwaltung
Behandlungs-dokumentation
Ressourcen-planung
Abrechnung ...
Patientenaktensystem (PAS)
KrankenhausA
Krankenhaus B
MVZ
Mandanten
H. Eiermann
Praxis
Belegarzt
...
Sonstige
KIS –Mandant …KIS –Mandant …
KIS –Mandant …KIS –Mandant …
KIS –Mandant …KIS –Mandant …
Laborsysteme Diagnose-systeme
... ... ...
Subsysteme Subsysteme
����zutreffend
H. Eiermann
Rollen- / Berechtigungskonzept
90 % der Krankenhäuser verfügen über
ein Rollen-/Berechtigungskonzept
� d.h. 10 % nach eigenen Angaben nicht� Was bedeutet das für die Zugriffsmöglichkeiten?
� Rollen zu allgemeinz.B. Arzt statt behandelnder Arzt / Mitbehandlung / Konsil / Belegarzt
××××unzureichend
gelöst
Rollen- / Berechtigungskonzept
H. Eiermann
2-Stufen-Zugriffsverfahren („Sonderzugriff“)
Behandlungsfall
Datenobjekt
Datenanforderung
Begründungsanforderung /Bestätigung (4-Augen-Prinzip)
Hinweis auf Protokollierung
Datenfreigabe
����praktikabel
Rollen- / Berechtigungskonzept
H. Eiermann
2-Stufen-Zugriffsverfahren („Sonderzugriff“)
Behandlungsfall
Datenobjekt
Datenanforderung
Begründungsanforderung /Bestätigung (4-Augen-Prinzip)
Hinweis auf Protokollierung
Datenfreigabe
■ Notfallzugriff■ Bereitschaftsdienst■ Springer/Vertretung■ Konsil■ Qualitätssicherung■ Controlling■…
Datenbereitstellungunter kontrollierten,dokumentierten undnachvollziehbaren Bedingungen
����praktikabel
H. Eiermann
■ Ärztliche Mitarbeiter■ Pflegekräfte■ Verwaltungskräfte■ Ausbildungskräfte■ Externe Kräfte■ Administration
Benutzerkategorien
Rollen- / Berechtigungskonzept ����zutreffend +
praktikabel
H. Eiermann
■ Administrative Aufnahmekraft■ Medizinische Aufnahmekraft■ QS-Management■ Pflegekraft/Leitende■ Funktionskraft■ Konsiliar■ Bereitschaftsdienst■ Belegarzt■ Behandelnder Arzt■ Honorar-Arzt■ Honorar-Pflegekraft■ Verwaltungsmitarbeiter■ Controlling■ Datenschutzbeauftragter
Grundrollen
■ Revision■ Sekretariat / Hilfskraft■ Ausbildungskraft■Wartung■ Anwendungsadministration■ Berechtigungsadministration
Rollen- / Berechtigungskonzept ����zutreffend +
praktikabel
H. Eiermann
Behandlungsfall
VIP
Behandlungsfall
Krankenhausmitarbeiter
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
■ Patientenstammdaten■ Verwaltungsdaten■ Medizinische Daten■ Pflegedaten■ Metadaten
Behandlungsfall / Fallakte
Behandlungsfall / Fallakte
Behandlungsfall / Fallakte
Patientenakte
Datenobjekt
Patient
Datenkategorien:
Rollen- und Berechtigungskonzept
Rollen- / Berechtigungskonzept����zutreffend +
praktikabel
H. Eiermann
� Berechtigungen zu weitreichend
z.B. „globale Patientensuche“ für jede Rolle vergeben
� Berechtigungen zu pauschal
z.B. Zugriff auf alle Patienten einer Abteilungbei Behandlung lediglich einzelner Patienten (z.B. Therapeuten, Konsil)
� Behandlungsauftrag / Zuweisung
� Fallkennzeichnung
Rollen- / Berechtigungskonzept
H. Eiermann
Behandlungsauftrag / Arbeitsauftrag / Zuweisung
Datenobjekt
Behandlungsfall
Organisationseinheit A
(z.B. Chirurgie)
Organisationseinheit B
(z.B. Therapeut, Konsil)
Datenobjekt
Behandlungsfall
Rollen- / Berechtigungskonzept����zutreffend +
praktikabel
H. Eiermann
Übersicht je Benutzer – Berechtigungen
■ Schreiber BerechtigungRolle A
BerechtigungRolle B
Rollen- / Berechtigungskonzept����zumeist
vorhanden
H. Eiermann
Übersicht Rolle / Berechtigung – Benutzer
Berechtigung
Rolle A ■ Müller
■ Meier
■ Schmidt
■Wagner
■ Becker
■ Schuhmacher
■ Schulz
■ Schreiber
■ Metzger
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
� Keine Differenzierung nach Fallstatus (aktiv / abgeschlossen)
� genereller Zugriff auf abgeschlossene Fälle
� Berechtigungsdokumentation unzureichend
� IST = ja / SOLL = nein� org. Verfahren zur Berechtigungsvergabe
Rollen- / Berechtigungskonzept
××××unzureichend
gelöst
H. Eiermann
Archivierungs- / Löschkonzept
Lediglich 50% der Krankenhäuser verfügen über ein Archivierungskonzept
� d.h. bei der Hälfte der Häuser existiert keine Vorgabe wie mit abgeschlossenen Behandlungsfällen verfahren werden soll
� Fallabschluss ist gestaltbar / muss definiert werden
� Abrechnung� Entlassung + X� Fristablauf nach letzter Änderung
� „Archiv“-Begriff muss definiert werden
����praktikabel
H. Eiermann
Archivierungs- / Löschkonzept
75 % der Krankenhäuser haben kein Löschkonzept
� d.h. bei ¾ der Häuser existieren keine Verfahrensweisen zur Löschung von KIS-Daten
� Löschung ist gestaltbar / muss definiert werden
� medizinische Daten (z.B. 30 Jahre)� radiologische Daten (z.B. 10 Jahre)� Abrechnungsdaten (z.B. 5 Jahre) � einzelne Verwaltungsdaten (z.B. 5 Jahre)
××××unzureichend
gelöst
H. Eiermann
■ Laufende Behandlung■ Behandlung abgeschlossen■ Abrechnung erfolgt■ Fall abgeschlossen■ Aufbewahrungsfrist abgelaufen
Behandlungsfall
Status
■ Automatische Löschung■ Differenzierung nach Datenobjekten
Rollen- / Berechtigungskonzept
����grundsätzlich
praktikabel
95 % der Krankenhäuser protokollieren Datenzugriffe
Protokollierungskonzept
� bei 2/3 der Häuser werden auch lesende Zugriffe erfasst
� d.h. bei 1/3 der Häuser ist nicht nachvollziehbar, wer z.B. einen bestimmten Patienten gesucht oder dessen Daten abgefragt hat
�Europäischer Gerichtshof für Menschenrechte 2009(ECHR Application No. 20511/03)
„...in der fehlenden Protokollierung von (lesenden) Zugriffen auf
medizinische Daten liegt ein Verstoß gegen Artikel 8 der Europäischen
Menschenrechtskonvention“
�Erforderlichkeit für die Aufgabenerfüllung
� Aufdeckung von Unregelmäßigkeiten� Aufklärung
�Speicherungsdauer i.d.R. 12 Monate bei Daten aus der Verfahrensnutzung
�orientiert an der Einsatzdauer des Verfahrens bei administrativen Zugriffen
Protokollierungskonzept
� fehlende Aufbewahrungsvorgaben××××unzureichend
gelöst
Protokollierungskonzept
� fehlendes Auswertungskonzept
� stichprobenweise oder anlassbezogene Auswertung
� Abstimmung mit Personalvertretung
� Verfahrensregelung
××××unzureichend
gelöst
H. Eiermann
Hersteller Betreiber
� Checklisten, Verfahrensvorschlag zum Umsetzungsprozess
� Priorisierung der OH – AnforderungenA – vordringlichB – im Rahmen der laufenden Entwicklungsplanung
Umsetzung der Orientierungshilfe
H. Eiermann
Wie geht es weiter ?
� Evaluierung der OH KIS durch die Arbeitsgruppe der
Datenschutzbeauftragten
� Anpassung der OH an die Evaluationsergebnisse (2013)
� Fortsetzung der Gespräche mit der DKG
� Fortführung der Kontakte mit dem Herstellerverband bvitg
www.datenschutz.rlp.de | [email protected]
Helmut Eiermann
Gruppenleiter Technik
Hintere Bleiche 34 | 55116 Mainz
Tel (06131) 208 2226
Fax (06131) 208 2497