Orientierungshilfe

Krankenausinformationssysteme

Ein Jahr danach. Grundlagen und Praxis

8. Augsburger Forum für Medizinprodukterecht, 13. September 2012

Helmut Eiermann

Leiter TechnikDer Landesbeauftragte für den Datenschutz und die InformationsfreiheitRheinland-Pfalz

H. Eiermann

Agenda

1 Hintergrund - Warum eine Orientierungshilfe ?

2 Werdegang - Was hat sich getan ?

3 Sachstand - Wie ist die Situation in der Praxis ?

4 Ausblick - Wie geht es weiter ?

Individuelle Datenverarbeitung

mobile Datenverarbeitung

mobile Datenverarbeitung+ Internet

Individuelle Datenverarbeitung+ Internet

CloudComputing

� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID

Entwicklung der Informationstechnik

H. Eiermann

Datenschutz in IT-Verfahren

Grundlegende Konzepte des technischen Datenschutzes haben dabei Bestand:

� Berechtigungskonzept� Löschkonzept� Protokollierung� Pseudonymisierung

Einzelne IT-Trends wiederholen sich auf einem höheren technischen Niveau, z.B.:

� Vernetzung� Zentralisierung / Dezentralisierung

Individuelle Datenverarbeitung

Individuelle Datenverarbeitung+ Internet

mobile Datenverarbeitung

mobile Datenverarbeitung+ Internet

CloudComputing

Elektronische Patientenakte

TelemedizinTelematik-infrastuktur

Integrierte Versorgung

RFID

Data Warehouse

Qualitäts-management

...

Entwicklung der Informationstechnik

HPCeGK

� Location Based Services� Distributed Computing� Ubiquitous Computing� Smart Dust� RFID

H. Eiermann

Rückschau: Werdegang und Zielsetzung der OH

���� Entschließung der 78. Sitzung der Konferenz der

Datenschutzbeauftragten des Bundes und der Länder

vom 9. Oktober 2009*:

„Krankenhausinformationssysteme datenschutzgerecht gestalten!“

Hintergrund:

���� IT-Einsatz im Krankenhaus

���� ECHR Application No. 20511/03 (Zugriffsprotokollierung)

���� Missbrauchsfälle

H. Eiermann

Datenschutz-Problembereiche

Hersteller Betreiber

���� Orientierungshilfe* „Datenschutzgerechter Einsatz vonKrankenhausinformationssystemen“

���� Krankenhausabläufe

���� Zugriffsrechte

���� Protokollierung

���� Hersteller und Betreiber

* http://www.datenschutz.rlp.de/downloads/oh/dsb_info_kis.pdf

H. Eiermann

Rückschau: Werdegang und Zielsetzung der OH

Teil I der Orientierungshilfe

� „Normative Eckpunkte“

Zusammenfassung bundesweit bestehender gesetzlicher Vorgaben

bei der Verarbeitung von Patientendaten im Krankenhaus

� ärztliche Schweigepflicht

� Erforderlichkeitsprinzip, d.h. effektiver Schutz des

Arzt-Patienten-Verhältnisses, Behandlungserfordernisse

� Berufsordnungen

� Landeskrankenhausgesetze, Datenschutzgesetze

� Wiedergabe geltenden Rechts; keine neuen rechtlichen Vorgaben

H. Eiermann

Rückschau: Werdegang und Zielsetzung der OH

Teil II der Orientierungshilfe

�„Technische Anforderungen an Gestaltung und Betrieb“

Musterhafte Vorgaben zur Gestaltung oder Konfiguration aus

der Kontroll- und Beratungspraxis der Datenschutzbeauftragten

� Kontroll- und Beratungspraxis der Datenschutzbeauftragten

� Alternative Maßnahmen, die das gleiche Schutzniveau oder

die gleiche Funktionalität erreichen, sind zulässig

H. Eiermann

■ Datenmodell

■ Systemfunktionen

■ Anwendungsfunktionen

■ Rollen- und Berechtigungskonzept

■ Datenpräsentation

■ Nutzungsergonomie

■ Protokollierung

■ Technischer Betrieb, Administration

Orientierungshilfe Krankenhausinformationssysteme

Teil II - Technische Anforderungen

Konzeption

Betrieb

H. Eiermann

Rückschau: Werdegang und Zielsetzung der OH

Zielsetzungen:

� Interpretation der gesetzlichen Vorgaben durch

die Datenschutzaufsicht wird erkennbar

� KIS-Betreiber und KIS-Hersteller erhalten Orientierung

� Initiierung eines Dialogs zwischen KIS-Betreibern, KIS-Herstellern,

Datenschutzaufsicht

H. Eiermann

Rückschau: Werdegang und Zielsetzung der OH

� 81. Konferenz (März 2011) - öffentlicher Bereich - nimmt die

Orientierungshilfe zustimmend zur Kenntnis

Beschluss „Datenschutzkonforme Gestaltung und Nutzung von

Krankenhausinformationssystemen“

� im Mai 2011 vergleichbare Beschlüsse der Datenschutz-

aufsichtsgremien im nicht-öffentlichen Bereich („Düsseldorfer

Kreis“) sowie in der Evangelischen und Katholischen Kirche

H. Eiermann

� Dialog mit der Deutschen Krankenhausgesellschaft

Umsetzungsprozess - Bundesebene

strittig:

� Hinzuziehung der Vorbehandlungsakten bzw. aktiver Hinweisauf das dem Patienten zustehende Widerspruchsrecht

� Protokollierung von Datenzugriffen

Im Übrigen werden die Inhalte der OH KIS seitens der DKG nicht grundsätzlich in Frage gestellt; Umsetzbarkeit und Angemessenheitsollte nach Auffassung der DKG geklärt werden.

� Stellungnahme / Folgegespräche im Oktober 2012

Umsetzungsprozess Bundesebene

� AG Datenschutz

� „Kernpunkte“ (ohne Priorisierung)

� Protokollierung

� Rollen- und Berechtigungskonzept

� Löschung / Sperrung

� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)

�offene Fragen

� Portfolio-Analysen

� Kundenworkshops

� Softwareanpassungen / Roadmaps

H. Eiermann

Umsetzungsprozess – Landesebene (Rheinland-Pfalz)

� Dialog mit der Krankenhausgesellschaft Rheinland-Pfalz

Sachstand:

- KGRP teilt Bewertung der DKG

- Arbeitsgruppe LfDI-KGRP begleitet den weiteren

Umsetzungsprozess

� Abstimmung mit den auf dem Gebiet des Landes Rheinland-Pfalz

zuständigen kirchlichen Datenschutzbeauftragten

(50 % der Krankenhäuser in kirchlicher Trägerschaft)

H. Eiermann

Umsetzungsprozess – Landesebene (Rheinland-Pfalz)

� Informationsveranstaltung (Juni 2011)

� Referenzprojekt im Landeskrankenhaus RLP

Psychosomatisches Krankenhaus

16 Standorte / 3.000 Beschäftigte /

(August 2011 – April 2012)

����praktikabel

angemessenumsetzbar

H. Eiermann

Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)

Arbeitspaket 1: Administrative und medizinische Patientenaufnahme

Arbeitspaket 2: Behandlung

Arbeitspaket 3: Nachbehandlung, Zugriffe durch Funktionskräfte,

Sonstige Zugriffe

Arbeitspaket 4: Technische Administration,

Berücksichtigung besonders schutzwürdiger

Patientengruppen, Umsetzung der

Auskunftsansprüche von Patienten,

Protokollierung/Nachvollziehbarkeit der Nutzung

H. Eiermann

Referenzprojekt Landeskrankenhaus Rheinland-Pfalz (AöR)

Projektbericht:http://www.datenschutz.rlp.de/de/aktuell/2012/images/

Referenzprojekt_Landeskrankenhaus_Projektbericht_Zusammengfassung.pdf

Handlungsbedarf:

� Rollen- und Berechtigungskonzept

� Archivierungs – und Löschkonzept

� Auswertungskonzept für Protokolldaten

� Sperr- und Befristungsmöglichkeiten

� Dokumentation Datenschutz- und Informationssicherheitskonzept

H. Eiermann

Zur Erinnerung…

� „Kernpunkte“ aus Sicht des bvitg

� Protokollierung

� Rollen- und Berechtigungskonzept

� Löschung / Sperrung

� Besonders schutzwürdige Patientengruppen (VIP, Mitarbeiter)

H. Eiermann

Umsetzungsprozess – Landesebene (Rheinland-Pfalz)

� IST-Analyse / Umfrage zum Einsatz von

Krankenhausinformationssystemen in Rheinland-Pfalz

(November 2011 – Februar 2012)

50 Krankenhäuser in öffentlicher / privater Trägerschaft

75 % Rücklauf (43 Einrichtungen)

� Workshop zur Umsetzung der OH KIS (September 2012)

� Informationsgespräche

H. Eiermann

■ Daten- und Funktionszugriffe

■ Verarbeitungskontrolle

■ Archivierung / Datenlöschung

■ Strukturen / Abläufe

■ KIS-Systeme / IT-Dienstleister

■ Umsetzung / Handlungsbedarf

■ Angemessenheit / Praxistauglichkeit

IST-Erhebung KIS in Rheinland-Pfalz

Schwierigkeiten der Umsetzung

häufigste Punkte:

� Kosten/Finanzierbarkeit

� personeller Aufwand

� interne Widerstände

� Systeme können Anforderungen technisch nicht immer umsetzen

IST-Erhebung KIS in Rheinland-Pfalz

Handlungsbedarf der Hersteller

häufigste Punkte:

� differenzierte Zugriffsberechtigungen

� Archivierung/Sperrung

� Löschung

� Pseudonymisierung

� Protokollierung lesender Zugriffe

IST-Erhebung KIS in Rheinland-Pfalz

� interne Verantwortlichkeiten für die Umsetzung der OH KIS:

IT-Abteilung (88%), DSB (81%), Geschäftsführung (53%)

� 80% der Häuser haben klassische Organisationsstruktur (Fachabteilung)

� in mehr als der Hälfte der Einrichtungen sind Bereiche ausgelagert

� bei 40% der Rückläufe sind die Auslagerungen zumindest teilweise

rechtlich selbständig

� in 6 Fällen gibt es zumindest teilweise eine gemeinsame Nutzung des KIS

durch rechtlich selbständige Stellen

IST-Erhebung KIS in Rheinland-Pfalz

� 90% der Häuser verfügen über ein Rollen-und Berechtigungskonzept

� 49% der Häuser verfügen über ein „Archivierungskonzept“

� 21% der Häuser verfügen über ein Löschkonzept

� 93% der Häuser protokollieren Datenzugriffe,

davon zwei Drittel sowohl schreibende und lesende Zugriffe

� in 60% der Einrichtungen erfolgt eine IT-Betreuung

zumindest teilweise durch externe Stellen

IST-Erhebung KIS in Rheinland-Pfalz

H. Eiermann

Orientierungshilfe Krankenhausinformationssysteme

Verarbeitungskontexte

■ Patientenaufnahme■ Behandlung■ Pflege■ Diagnostik■ Sozialdienst■ Qualitätssicherung■ Revision■ Datenschutzkontrolle■ Controlling■ Abrechnung■ Forschung■ Ausbildung■ Dokumentation■ QS■ Notfall■…

80 % der Häuser haben eine klassische Organisationsstruktur (Fachabteilungen)

Berechtigungskonzept

����zutreffend

Krankenhausinformationssystem (KIS)

Patienten-verwaltung

Behandlungs-dokumentation

Ressourcen-planung

Abrechnung ...

Patientenaktensystem (PAS)

KrankenhausA

Krankenhaus B

MVZ

Mandanten

H. Eiermann

Praxis

Belegarzt

...

Sonstige

KIS –Mandant …KIS –Mandant …

KIS –Mandant …KIS –Mandant …

KIS –Mandant …KIS –Mandant …

Laborsysteme Diagnose-systeme

... ... ...

Subsysteme Subsysteme

����zutreffend

H. Eiermann

Rollen- / Berechtigungskonzept

90 % der Krankenhäuser verfügen über

ein Rollen-/Berechtigungskonzept

� d.h. 10 % nach eigenen Angaben nicht� Was bedeutet das für die Zugriffsmöglichkeiten?

� Rollen zu allgemeinz.B. Arzt statt behandelnder Arzt / Mitbehandlung / Konsil / Belegarzt

××××unzureichend

gelöst

Rollen- / Berechtigungskonzept

H. Eiermann

2-Stufen-Zugriffsverfahren („Sonderzugriff“)

Behandlungsfall

Datenobjekt

Datenanforderung

Begründungsanforderung /Bestätigung (4-Augen-Prinzip)

Hinweis auf Protokollierung

Datenfreigabe

����praktikabel

Rollen- / Berechtigungskonzept

H. Eiermann

2-Stufen-Zugriffsverfahren („Sonderzugriff“)

Behandlungsfall

Datenobjekt

Datenanforderung

Begründungsanforderung /Bestätigung (4-Augen-Prinzip)

Hinweis auf Protokollierung

Datenfreigabe

■ Notfallzugriff■ Bereitschaftsdienst■ Springer/Vertretung■ Konsil■ Qualitätssicherung■ Controlling■…

Datenbereitstellungunter kontrollierten,dokumentierten undnachvollziehbaren Bedingungen

����praktikabel

H. Eiermann

■ Ärztliche Mitarbeiter■ Pflegekräfte■ Verwaltungskräfte■ Ausbildungskräfte■ Externe Kräfte■ Administration

Benutzerkategorien

Rollen- / Berechtigungskonzept ����zutreffend +

praktikabel

H. Eiermann

■ Administrative Aufnahmekraft■ Medizinische Aufnahmekraft■ QS-Management■ Pflegekraft/Leitende■ Funktionskraft■ Konsiliar■ Bereitschaftsdienst■ Belegarzt■ Behandelnder Arzt■ Honorar-Arzt■ Honorar-Pflegekraft■ Verwaltungsmitarbeiter■ Controlling■ Datenschutzbeauftragter

Grundrollen

■ Revision■ Sekretariat / Hilfskraft■ Ausbildungskraft■Wartung■ Anwendungsadministration■ Berechtigungsadministration

Rollen- / Berechtigungskonzept ����zutreffend +

praktikabel

H. Eiermann

Behandlungsfall

VIP

Behandlungsfall

Krankenhausmitarbeiter

Rollen- / Berechtigungskonzept

××××unzureichend

gelöst

H. Eiermann

■ Patientenstammdaten■ Verwaltungsdaten■ Medizinische Daten■ Pflegedaten■ Metadaten

Behandlungsfall / Fallakte

Behandlungsfall / Fallakte

Behandlungsfall / Fallakte

Patientenakte

Datenobjekt

Patient

Datenkategorien:

Rollen- und Berechtigungskonzept

Rollen- / Berechtigungskonzept����zutreffend +

praktikabel

H. Eiermann

� Berechtigungen zu weitreichend

z.B. „globale Patientensuche“ für jede Rolle vergeben

� Berechtigungen zu pauschal

z.B. Zugriff auf alle Patienten einer Abteilungbei Behandlung lediglich einzelner Patienten (z.B. Therapeuten, Konsil)

� Behandlungsauftrag / Zuweisung

� Fallkennzeichnung

Rollen- / Berechtigungskonzept

H. Eiermann

Behandlungsauftrag / Arbeitsauftrag / Zuweisung

Datenobjekt

Behandlungsfall

Organisationseinheit A

(z.B. Chirurgie)

Organisationseinheit B

(z.B. Therapeut, Konsil)

Datenobjekt

Behandlungsfall

Rollen- / Berechtigungskonzept����zutreffend +

praktikabel

H. Eiermann

Übersicht je Benutzer – Berechtigungen

■ Schreiber BerechtigungRolle A

BerechtigungRolle B

Rollen- / Berechtigungskonzept����zumeist

vorhanden

H. Eiermann

Übersicht Rolle / Berechtigung – Benutzer

Berechtigung

Rolle A ■ Müller

■ Meier

■ Schmidt

■Wagner

■ Becker

■ Schuhmacher

■ Schulz

■ Schreiber

■ Metzger

Rollen- / Berechtigungskonzept

××××unzureichend

gelöst

H. Eiermann

� Keine Differenzierung nach Fallstatus (aktiv / abgeschlossen)

� genereller Zugriff auf abgeschlossene Fälle

� Berechtigungsdokumentation unzureichend

� IST = ja / SOLL = nein� org. Verfahren zur Berechtigungsvergabe

Rollen- / Berechtigungskonzept

××××unzureichend

gelöst

H. Eiermann

Archivierungs- / Löschkonzept

Lediglich 50% der Krankenhäuser verfügen über ein Archivierungskonzept

� d.h. bei der Hälfte der Häuser existiert keine Vorgabe wie mit abgeschlossenen Behandlungsfällen verfahren werden soll

� Fallabschluss ist gestaltbar / muss definiert werden

� Abrechnung� Entlassung + X� Fristablauf nach letzter Änderung

� „Archiv“-Begriff muss definiert werden

����praktikabel

H. Eiermann

Archivierungs- / Löschkonzept

75 % der Krankenhäuser haben kein Löschkonzept

� d.h. bei ¾ der Häuser existieren keine Verfahrensweisen zur Löschung von KIS-Daten

� Löschung ist gestaltbar / muss definiert werden

� medizinische Daten (z.B. 30 Jahre)� radiologische Daten (z.B. 10 Jahre)� Abrechnungsdaten (z.B. 5 Jahre) � einzelne Verwaltungsdaten (z.B. 5 Jahre)

××××unzureichend

gelöst

H. Eiermann

■ Laufende Behandlung■ Behandlung abgeschlossen■ Abrechnung erfolgt■ Fall abgeschlossen■ Aufbewahrungsfrist abgelaufen

Behandlungsfall

Status

■ Automatische Löschung■ Differenzierung nach Datenobjekten

Rollen- / Berechtigungskonzept

����grundsätzlich

praktikabel

95 % der Krankenhäuser protokollieren Datenzugriffe

Protokollierungskonzept

� bei 2/3 der Häuser werden auch lesende Zugriffe erfasst

� d.h. bei 1/3 der Häuser ist nicht nachvollziehbar, wer z.B. einen bestimmten Patienten gesucht oder dessen Daten abgefragt hat

�Europäischer Gerichtshof für Menschenrechte 2009(ECHR Application No. 20511/03)

„...in der fehlenden Protokollierung von (lesenden) Zugriffen auf

medizinische Daten liegt ein Verstoß gegen Artikel 8 der Europäischen

Menschenrechtskonvention“

�Erforderlichkeit für die Aufgabenerfüllung

� Aufdeckung von Unregelmäßigkeiten� Aufklärung

�Speicherungsdauer i.d.R. 12 Monate bei Daten aus der Verfahrensnutzung

�orientiert an der Einsatzdauer des Verfahrens bei administrativen Zugriffen

Protokollierungskonzept

� fehlende Aufbewahrungsvorgaben××××unzureichend

gelöst

Protokollierungskonzept

� fehlendes Auswertungskonzept

� stichprobenweise oder anlassbezogene Auswertung

� Abstimmung mit Personalvertretung

� Verfahrensregelung

××××unzureichend

gelöst

H. Eiermann

Hersteller Betreiber

� Checklisten, Verfahrensvorschlag zum Umsetzungsprozess

� Priorisierung der OH – AnforderungenA – vordringlichB – im Rahmen der laufenden Entwicklungsplanung

Umsetzung der Orientierungshilfe

H. Eiermann

Wie geht es weiter ?

� Evaluierung der OH KIS durch die Arbeitsgruppe der

Datenschutzbeauftragten

� Anpassung der OH an die Evaluationsergebnisse (2013)

� Fortsetzung der Gespräche mit der DKG

� Fortführung der Kontakte mit dem Herstellerverband bvitg

www.datenschutz.rlp.de | poststelle@datenschutz.rlp.de

Helmut Eiermann

Gruppenleiter Technik

Hintere Bleiche 34 | 55116 Mainz

Tel (06131) 208 2226

Fax (06131) 208 2497

h.eiermann@datenschutz.rlp.de