Datenschutzaudit im Zusammenhang mit der Einführung einer Elektronischen Patientenakte Treffen der Justitiare der Universitätskliniken am Universitätsklinikum

Datenschutzaudit im Zusammenhang mit der Einführung einer Elektronischen Patientenakte

Treffen der Justitiare der Universitätskliniken am Universitätsklinikum Eppendorf14. April bis 15. April 2011

Jörg Wimmers / Dr. Carsten Schulz

Bild einfügen(Cover Small)

© 2011 Taylor Wessing Deutschland 2

Agenda

Bild einfügen(Right Hand Banner Small)

01 > Einführung: Die elektronische Patientenakte

02 > Betroffene Daten (Überblick)

03 > Patientendaten

04 > Mitarbeiterdaten

05 > Datenschutzkonforme Organisation

06 > Die elektronische Patientenakte im Gesundheitskonzern

07 > Projektplanung

08 > Ausblick


01 > Einführung: Die elektronische Patientenakte (1/3)

> Die elektronische Patientenakte stellt eine – zentrale elektronische Sammlung und Verwaltung – aller den Krankheits- und Behandlungsverlauf eines Patienten

betreffenden Daten (Befunddaten, Diagnosen, Behandlungsverlauf, Behandlungsergebnis, zugehörige Korrespondenz) dar.

– Es werden dabei die Informationen aller beteiligten medizinischen Bereiche

– mit deren jeweiligen geeigneten Formaten bzw. Medien (Text, Grafik, Bild, Film, Ton)

– für die problem-, fall- oder prozessorientierte Dokumentation zusammengefasst und verfügbar gemacht.



> Patientengeführte Patientenakte

> Arztgeführte Patientenakte, z.B. Krankenhausinformationssysteme

> Einrichtungsübergreifende elektronische Patientenakten



> Hochsensible Daten

> Interessenabwägung:– Effektive medizinische Versorgung– Effektiver Daten- und Persönlichkeitsschutz– Selbstbestimmung

> Großes Interesse der Datenschutzbehörden, z.B.– Beschluss der 81. Konferenz der Datenschutzbeauftragten des

Bundes und der Länder am 16./17. März 2011 in Würzburg: Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen


02 > Betroffene Daten (Überblick)

> Patientendaten– Informationen zur Person– Informationen zum Befund und zur Krankengeschichte– Abrechnungsinformationen

> Mitarbeiterdaten– Behandlungsdokumentation (Was, wann, wie, …)

> Abrechnungsdaten– Informationen für Krankenkassen, …


03 > Patientendaten (1/2)

> Was ist zu berücksichtigen?

– Welche Daten dürfen überhaupt erhoben, gespeichert, verarbeitet werden?

– Wer hat Zugang zu welchen Patientendaten (Berechtigungskonzepte, Berechtigungsvergabe)?

– Welche Daten dürfen an Dritte (z.B. Hausarzt) weitergegeben werden?

– Wie ist Speicherung und Archivierung von Patientendaten geregelt?

– Können Patientendaten für Forschung und Lehre zur Verfügung gestellt werden?

> Relevante gesetzliche Bestimmungen

– Landeskrankenhausgesetze (z.B. §§ 7 ff. HmbKHG)

– Landesdatenschutzgesetze / Bundesdatenschutzgesetz

– § 203 StGB (ärztliche Schweigepflicht)


03 > Patientendaten (2/2)

Beispiel: § 8 HmbKHG(1) Patientendaten darf das Krankenhaus erheben und speichern, soweit dies

1. im Zusammenhang mit der Behandlung der Patientin bzw. des Patienten einschließlich der Erfüllung der ärztlichen Dokumentationspflicht,

2. zur sozialen Betreuung und Beratung der Patientin bzw. des Patienten nach § 6 durch den krankenhausinternen Sozialdienst, oder

3. zur Abwicklung von Ansprüchen, die mit der Behandlung im Zusammenhang stehen,

erforderlich ist. Außerdem können mit Einverständnis der Patientin bzw. desPatienten Daten für ihre bzw. seine seelsorgerische Betreuung erhoben undgespeichert werden.

(2) Patientendaten sind so zu speichern, dass nur solche Mitarbeiterinnen und Mitarbeiter Kenntnis nehmen können, die die Patientendaten zur rechtmäßigen Erfüllung der ihnen obliegenden Aufgaben benötigen.


04 > Mitarbeiterdaten

> Nur eine lückenlose Dokumentation der durchgeführten Maßnahmen ermöglicht eine optimale und lückenlose Versorgung der Patienten => mit den Patientendaten werden stets auch Mitarbeiterdaten erhoben, z.B.:

– Wer hat wann welche Maßnahmen angeordnet / durchgeführt?– Wer hat wann was verschrieben?

Je nach Funktionalität des jeweiligen KIS können Auswertungen der

Maßnahmen / Verschreibungen durchgeführt werden.

> Relevante gesetzliche Bestimmungen:– Landesdatenschutzgesetze / Bundesdatenschutzgesetz– Gesetzliche Regelungen zur Mitbestimmung


05 > Datenschutzkonforme Organisation

Die Landesdatenschutzgesetze / das Bundesdatenschutzgesetz stellen eine Reihe unterschiedlicher Vorgaben für eine datenschutzkonforme Organisation und Durchführung auf, u.a.:

– Vorabkontrolle– Erstellung eines Verfahrensverzeichnisses– Kooperation mit dem Landesdatenschutzbeauftragten– Einführung / Durchführung technisch-organisatorischer Maßnahmen


06 > Die elektronische Patientenakte im Gesundheitskonzern

> Zahlreiche Kliniken sind inzwischen nach Art eines Konzerns organisiert, also z.B.

– Muttergesellschaft / zentrale Körperschaft– Privatrechtliche Tochtergesellschaften (Kliniken, Fachbereiche)– Servicegesellschaften

> Das Datenschutzrecht kennt kein Konzernprivileg!

> Gestaltungsmöglichkeiten im Falle zentraler Einführung / Verwaltung:– Auftragsdatenverarbeitung– Funktionsübertragung


07 > Projektplanung

Bei Einführung / Nutzung einer (arztgeführten) elektronischen Patientenakte sindinsbesondere folgende datenschutzrelevante Punkte zu berücksichtigen:

– Funktionsanalyse / Funktionsplanung / Vorabkontrolle– Datenfluss- und Schnittstellenanalyse (technische Systeme;

Drittübermittlung)– Entwicklung sachgerechter Berechtigungskonzepte

für die Einführungsphase für den Betrieb für Sondersituationen / Notfallzugriffe für besondere Patientengruppen (VIPs; Mitarbeiter)

– Zugriffsprotokollierung– Planung und Einführung technisch organisatorischer Maßnahmen– Verfahrensverzeichnis– [Berücksichtigung von Mitbestimmungsrechten]– Wartungsplanung / Fernwartung durch Dritte


08 > Ausblick

> Aktuelle und angekündigte Entwicklungen im Krankenhausdatenschutz– Insb. Ergebnisse der 81. Konferenz der Datenschutzbeauftragten

des Bundes und der Länder am 16./17. März 2011 in Würzburg

> Öffentliche Relevanz des Krankenhausdatenschutzes


Ihr Taylor Wessing Team

Jörg Wimmers, LL.M. (NYU)Partner, Hamburg

KontaktdetailsT: +49 (0)40 368 03 225 E: [email protected]

Dr. Carsten SchulzPartner, Hamburg

KontaktdetailsT: +49 (0)40 368 03 132 E: [email protected]


Unsere Standorte

Representative offices Associated office

BeijingUnit 1503, Tower 2, Prosper Center No. 5, Guanghua RoadChaoyang DistrictBeijing 100020T. +86 10 8587 5886F. +86 10 8587 5885

Shanghai Unit 1509, United PlazaNo. 1468, Nanjing West RoadShanghai 200040T. +86 21 6247 7247F. +86 21 6247 6248

WarschauBSJP LegalAl Armii Ludowej 26 PL-00-609 WarsawT. +48 (0) 22 579 89 00F. +48 (0) 22 579 89 01

BerlinEbertstraße 15 10117 BerlinT. +49 (0)30 88 56 36 0F. +49 (0)30 88 56 36 100

BrüsselTrône House4 Rue du Trône1000 BrüsselT. +32 (0)2 289 6060F. +32 (0)2 289 6070

Cambridge24 Hills RoadCambridge, CB2 1JPT. +44 (0)1223 446400F. +44 (0)1223 446401

Dubai26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box 33675Dubai, United Arab EmiratesT. +971 (0)4 332 3324F. +971 (0)4 332 3325

DüsseldorfBenrather Straße 1540213 DüsseldorfT. +49 (0)211 83 87 0F. +49 (0)211 83 87 100

Frankfurt Senckenberganlage 20-2260325 Frankfurt a.M.T. +49 (0)69 971 30 0F. +49 (0)69 971 30 100

HamburgHanseatic Trade Center Am Sandtorkai 4120457 HamburgT. +49 (0)4 0 36 80 30F. +49 (0)4 0 36 80 3280

London5 New Street SquareLondon EC4A 3TWT. +44 (0)20 7300 7000F. +44 (0)20 7300 7100

MünchenIsartorplatz 880331 MünchenT. +49 (0)89 2 10 38 0F. +49 (0)89 2 10 38 300

Paris42 avenue Montaigne75008 ParisT. +33 (0)1 72 74 03 33F. +33 (0)1 72 74 03 34

© Taylor Wessing 2011This publication is intended for general public guidance and to highlight issues. It is not intended to apply to specific circumstances or to constitute legal advice.Taylor Wessing’s international offices operate as one firm but are established as distinct legal entities.For further information about our offices and the regulatory regimes that apply to them, please refer to www.taylorwessing.com/regulatory

Documents

Datenschutzaudit im Zusammenhang mit der Einführung einer Elektronischen Patientenakte Treffen der Justitiare der Universitätskliniken am Universitätsklinikum