Ein ungeschützter Datenpool · − Kommentierungsphase:14.12.2015 bis 22.01.2016 − Um Kommentierung wurden gebeten − Arbeitsgemeinschaft Kommunaler Großkrankenhäuser ( akg)

Die int er net bas ier t e Dat enaus t aus c hpl at t f or m:

Ein ungeschützter Datenpool?

Dr . Ber nd Sc hüt ze

???

Dat ens c hut z in der Mediz in - Updat e 2016

Dr . Ber nd Sc hüt ze

Studium > Studium Informatik

(FH-Dortmund) > Studium Humanmedizin

(Uni Düsseldorf / Uni Witten/Herdecke) > Studium Jura

(Fern-Uni Hagen) Zusatz-Ausbildung > Zusatzausbildung Datenschutzbeauftragter

(Ulmer Akademie für Datenschutz und IT-Sicherheit) > Zusatzausbildung Datenschutz-Auditor

(TüV Süd) > Zusatzausbildung Medizin-Produkte-Integrator

(VDE Prüf- und Zertifizierungsinstitut)

Berufserfahrung > 10 Jahre klinische Erfahrung > 20 Jahre IT im Krankenhäusern > 20 Jahre Datenschutz im Gesundheitswesen

Mitarbeit in wiss. Fachgesellschaften > Deutsche Gesellschaft für Medizinische Informatik,

Biometrie und Epidemiologie e.V. (GMDS) > Gesellschaft für Datenschutz und Datensicherung

e.V. (GDD) > Gesellschaft für Informatik (GI)

Mitarbeit in Verbänden > Berufsverband der Datenschutzbeauftragten

Deutschlands e.V. (BvD) > Berufsverband Medizinischer Informatiker e.V.

(BVMI) > Fachverband Biomedizinische Technik e.V. (fbmt) > HL7 Deutschland e.V.

Dat enschut z in der Medizin - Updat e 2016, 03. Febr uar 2016, Hambur g

Was k ommt auf Sie zu?

1) Einleitend − Akteure: wer hat das eigentlich gemacht…? − Worum geht es eigentlich?

Was ist das: eine „internetbasierte Datenaustauschplattform“? − Motivation: Warum das Ganze?

2) Vorgehen 3) Ergebnisse / Aktueller Stand 4) Fazit / Ausblick


Wor um geht es ? - Ak t eur e - Begr if f s bes t immungen - Mot ivat ion

Die Ak t eur e

Bundesverband Gesundheits-IT e. V.

Gesellschaft für Datenschutz und Datensicherheit e. V. Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“

Integrating the Healthcare Enterprise (IHE) Deutschland

Dat ens c hut z in der Medizin - Updat e 2016, 03. Febr uar 2016, Hambur g

Dat enaus t aus c hpl at t f or m: Ver s uc h einer Begr if f s bes t immung

Eine Datenaustauschplattform ist eine ITK-Lösung, welche den elektronischen Datenaustausch zwischen − einem oder mehreren Leistungserbringern im Gesundheitswesen (Primärer Datenverarbeiter) sowie − definierten Dritten (z.B. Mit- und Weiterbehandler, Patienten/Betroffenen,

Forschungseinrichtungen) − unter Nutzung des Internets ermöglicht, − mit der Zielsetzung, • eine sichere Plattform • für den elektronischen Informationsaustausch • von Daten der Gesundheitsversorgung (inklusive der medizinischen Forschung) zwischen diesen Stellen anzubieten.


Unt er s c heidung Aus t aus c hpl at t f or men: Die Zwec k bes t immung

− „Klassisches“ Patientenportal wie beispielsweise • Patienten-Infoportal (z.B. Bewertungs-Portale, Portale von Selbsthilfegruppen) • Krankenhaus-Infoportal (Zugriff aus KIS-Daten über Webseite) • Behandlungsportale

− Behandlungsportale • Tumorboardbesprechungen • Schlaganfall Netzwerk • usw.

− Krankheitsregister • Nationales Hospiz- und Palliativregister • TraumaRegister • …

− „Forschungs“-Lösungen • Netzwerke zur Unterstützung bei der multizentrisch vernetzten Forschung

− Aktensysteme wie z.B. • Einrichtungsübergreifende elektronische Patientenakte (eEPA) • Persönliche einrichtungsübergreifende elektronische Patientenakte (PEPA) • Fallbezogene einrichtungsübergreifende elektronische Patientenakte (eFA)


Mot ivat ion: War um das Al l es ?

1) Immer stärkere Nutzung des Internets zur Patientenbehandlung und med .Forschung − Datenaustausch − Datenrecherche − Fortbildungsplattform − Forschungsplattform z.B. für multizentrische Forschungen − Materialbestellung − Telemedizin − …

2) Internet erwiesenermaßen nicht der sicherste Raum ;-) 3) Gesundheitsdaten gehören zu den am schützenswertesten Datenarten 4) Daher Absicherung von Gesundheitsdaten zwingend erforderlich


Mot ivat ion: Dat ens c hut zr ec ht l ic he Fr ages t el l ungen

Worum muss man sich kümmern? 1) Rechtmäßigkeit der Datenverarbeitung*

2) Grundsatz der Zweckbindung 3) Grundsatz der Erforderlichkeit 4) Grundsatz der Datenvermeidung und Datensparsamkeit 5) Grundsatz der Transparenz * 6) Grundsatz der klaren Verantwortlichkeiten * 7) Grundsatz der Kontrolle * 8) Grundsatz der Gewährleistung der Betroffenenrechte * 9) Verpflichtung zum Schutz der Daten *

*technische Unterstützung möglich


Mot ivat ion: Dat ens c hut zr ec ht l ic he Fr ages t el l ungen Technische Unterstützung bei der Abbildung der Anforderungen: 1) Rechtmäßigkeit der Datenverarbeitung:

Umsetzung des Berechtigungskonzeptes: Verhinderung unerlaubter Zugriffe 2) Grundsatz der Zweckbindung 3) Grundsatz der Erforderlichkeit 4) Grundsatz der Datenvermeidung und Datensparsamkeit 5) Grundsatz der Transparenz

Protokollierung: wer hat wann welche Daten (wozu) genutzt bzw. an wen weitergegeben 6) Grundsatz der klaren Verantwortlichkeiten

Umsetzung des Berechtigungskonzeptes = Verhinderung unerlaubter Zugriffe 7) Grundsatz der Kontrolle:

Umsetzung des Berechtigungskonzeptes: Verhinderung unerlaubter Zugriffe sowie Protokollierung

8) Grundsatz der Gewährleistung der Betroffenenrechte Auskunft (Protokollierung), Berichtigung falscher Daten, Löschen

9) Verpflichtung zum Schutz der Daten Elektronische Verpflichtung, elektronische Hinweise auf sorgfältigen/sensiblen Umgang


Mot ivat ion: Dat ens c hut zr ec ht l ic he Fr ages t el l ungen ABER: 1) Rechtmäßigkeit der Datenverarbeitung:

Umsetzung des Berechtigungskonzeptes: Verhinderung unerlaubter Zugriffe − Berechtigungskonzept: wer darf wann unter welchen Umständen auf welche Daten wozu

zugreifen? Daraus erwachsen neue Fragen. Z.B.:

a. „Wer“: wie soll die Authentifizierung erfolgen? Standard: Benutzername/Passwort Evtl. höhere Gefährdung durch Bereitstellung der Daten im Internet Reicht damit Benutzername/Passwort aus? Evtl. bei Internetportalen eine 2-Faktor-Authentifizierung notwendig?


Mot ivat ion: Dat ens c hut zr ec ht l ic he Fr ages t el l ungen ABER: 1) Rechtmäßigkeit der Datenverarbeitung:

Umsetzung des Berechtigungskonzeptes: Verhinderung unerlaubter Zugriffe − Authentifizierungsmethoden: a. - Benutzername/Passwort (statisch) b. - Einmal Passwort / Hardware Token c. - Einmal Passwort / Mobiltelefon d. - PKI / zertifikatsbasierte Anmeldung e. - SMS Passwort f. - Sicherheitsfragen g. - Geo-Lokalisation h. - Verhaltensbasierend i. - Geräte-Identifikation j. Virtuelle Smartcards (Windows 8) k. …

(Und das war nur eine Fragestellung zu Punkt 1; da bleibt noch einiges offen…)


Vor gehen in der Gr uppe

Vor gehen bzgl . Aus ar beit ung

„Zweiphasen-Modell“ 1) Ausarbeitung der datenschutzrechtlichen Anforderungen

− GDD, GMDS 2) Technische Realisierungsmöglichkeiten basierend auf 1)

− bvitg, GMDS, (IHE Deutschland) 3) Gemeinsames Gegenlesen und verabschieden D.h. zuerst wird 1) fertig gestellt, dann wird 2) erarbeitet

Klassisches Vorgehen einer IHE Working Group: 1. Anwender sagt, was benötigt und wie gearbeitet wird 2. Hersteller sagt, wie die Anforderungen umgesetzt werden 3. Anwender überprüft in Kooperation mit dem Hersteller, ob alles passt


GDD: Vor gehen bzgl . Aus ar beit ung

1) Definition, worum es geht (also Begriffsbestimmungen einführen)

2) Ggfs. Abgrenzung, um was man sich nicht kümmern will − Rechtliche Fragen außerhalb des Datenschutz-Umfeldes − Umgang mit mobilen Geräten ist im Kontext vermutlich immer gegeben:

Soll das Thema behandelt werden? − Apps? − …

3) Darlegung, welche Erfordernisse erfüllt werden müssen, damit eine Datenverarbeitung rechtskonform erfolgt − Ggfs. Darstellung, welche Anforderungen wünschenswert, aber rechtlich nicht gefordert sind

4) Weitergehende Anforderungen − Definition der Verantwortlichkeiten bei dem oder den Datenverarbeiter(n) − Betroffenenrechte − DSB − Datensparsamkeit − Schutz der Daten

5) Darstellung der zu fordernden technisch-organisatorischen Maßnahmen (TOMs)


GDD: Vor gehen bzgl . Aus ar beit ung

Abgleich mit den diversen Dokumenten der Aufsichtsbehörden, also z.B. den Beschlüssen und „Orientierungshilfen“ des Düsseldorfer Kreises 1) Orientierungshilfe KIS (2014)

(klar, gilt nur für Krankenhäuser: aber das Schutzniveau darf ja auch nicht gesenkt werden) 2) Orientierungshilfe „Datenübermittlung in Drittstaaten“ (2013) 3) Orientierungshilfe „Cloud Computing“ (2014) 4) Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter

(2014) 5) Datenschutz in sozialen Netzwerken (2011) 6) Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-

Systemen an medizinische Netze (2011) 7) Umsetzung der Datenschutzrichtlinie für elektronische Kommunikationsdienste (2010)


Ak t uel l er St and Er gebnis s e

Ak t uel l er St and

Inhaltsverzeichnis Haftungsausschluss, Copyright 1. Abgrenzung

1. Mobile Apps 2. Rahmenbedingungen 3. Schweigepflicht

2. Einführung ins Thema 3. Begriffsbestimmungen

1. Insbesondere: was ist eine „Datenaustauschplattform“

2. Akteure 3. Beispiele von Datenaustauschplattformen 4. Datenaustauschplattform vs. Cloud Computing

4. Datenschutzrechtliche Anforderungen 5. Technische Umsetzbarkeit

1. Darlegung der Machbarkeit an Hand von Beispielen


Ak t uel l er St and: Öf f ent l ic he Komment ier ung

− Zeitraum − Kommentierungsphase:14.12.2015 bis 22.01.2016

− Um Kommentierung wurden gebeten − Arbeitsgemeinschaft Kommunaler Großkrankenhäuser (akg) − Arbeitskreis der Leiter der Klinischen Rechenzentren der Universitätskliniken Deutschland (ALKRZ) − Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.,

Arbeitskreis Medizin − Bundesverband der Krankenhaus IT-Leiterinnen / Leiter e. V. (KH-IT) − Bundesverband Gesundheits-IT e.V. (bvitg) − Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) − Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS),

Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) − Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD),

Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ − IHE Deutschland e.V. − Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF)


Ak t uel l er St and: Eingegangene Komment ar e

Die Definition der (insgesamt) 95 Anforderungen an eine Plattform sind plausibel begründet und können für alle denkbaren Anwendungen implementiert werden.

Generell ist das Dokument eine sehr schöne Zusammenfassung.

Gute Übersicht insbesondere für Neueinsteiger zur Orientierung!

insgesamt finde ich die Ausarbeitung gelungen.

Wer definiert, was ein unverhältnismäßiger Aufwand ist? Gibt es dazu zitierfähige Präzedenzfälle?


Ak t uel l er St and: Eingegangene Komment ar e

− Insgesamt über 500 Kommentare eingegangen − Bearbeitung der Kommentare (planmäßig) im Februar beendet − Veröffentlichung März 2016


Er gebnis s e: Begr if f s bes t immungen

Hersteller einer Datenaustauschplattform Betreiber einer Datenaustauschplattform Datenlieferant Nutzer einer Datenaustauschplattform Betroffener bei Nutzung einer Datenaustauschplattform

3.5 „Big Data? Smart Data? …Data? Nein, vorerst wird es dieses Kapitel nicht geben


Er gebnis s e: Eine int er net bas ier t e Dat enaus t aus c hpl at t f or m aus Sic ht eines Inf or mat iker s


OSI-Schicht Einordnung Protokoll (Beispiel)

7) Anwendungen (Application Layer)

Dienste (Dateitransfer, Mail, …)

HTTP(S), FTP, SMTP, POP3, IMAP, LDAP, NCP 6) Darstellung

(Presentation Layer) Transformation von Daten

5) Kommunikationssteuerung (Session Layer)

Session Management

4) Transport (Transport Layer)

Ende-zu-Ende-Verbindung, Transport-Adressen

TCP, UDP

3) Vermittlung-/Paket (Network Layer)

Wegewahl, Prioritäten ICMP, IGMP, IP, IPSec, IPX

2) Sicherung (Data Link Layer)

Zugang, Fehlerkontrolle Ethernet, Token Ring, FDDI, MAC

1) Bitübertragung (Physical Layer)

Übertragungsmedium, Schnittstellen

Er gebnis s e: Eine int er net bas ier t e Dat enaus t aus c hpl at t f or m aus Sic ht eines Anwender s


OSI-Schicht Funktion 7) Anwendungen

(Application) Das, was der Anwender sieht

6) Darstellung (Presentation)

Umwandlung der erhaltenen Daten in Dateiformat des OS

5) Kommunikationssteuerung (Session)

Steuert die An- und Abmeldung von Benutzern eines Systems

4) Transport (Transport)

Organisation sowie Sicherung des Daten-Transportes mit TCP

3) Vermittlung-/Paket (Network)

Festlegung der IP - Adressen (= Wegfindung der Datenpakete durch Zuteilung der „Anschrift“)

2) Sicherung (Data Link)

Daten, die zwischen 2 Stationen ausgetauscht werden, werden mit einem fehlerkorrigierenden Protokoll übertragen

1) Bitübertragung (Physical)

MAC-Adressen, Kabeldicken, Kabellängen, Spannung, …

Er gebnis s e: Eine int er net bas ier t e Dat enaus t aus c hpl at t f or m aus Sic ht eines DSB


OSI-Schicht Funktion 7) Anwendungen

(Application) (Gesundheits-) Datenschutzgesetze (Bundesrecht / Landesrecht / Kirchenrecht)

6) Darstellung (Presentation)

Telemediengesetz 5) Kommunikationssteuerung

(Session) 4) Transport

(Transport)

Telekommunikationsgesetz

3) Vermittlung-/Paket (Network)

2) Sicherung (Data Link)

1) Bitübertragung (Physical)

Anforderungen

Er gebnis s e: Dat ens c hut zr ec ht l ic he Anf or der ungen


Darstellung der Gegebenheiten mit klarer Definition der Anforderung(en)



Dies ermöglich später die Abbildung der Anforderungen in einer Excel-Tabelle, was die Prüfung bzw. Kommentierung der Anforderungen vereinfacht



Anforderung wurden möglichst technikneutral formuliert, da die Umsetzung von Anforderungen Lösungsabhängig sind (Beispiel: Eingabekontrole)


− Wie (im technischen Sinne) eine Protokollierung erfolgt, wird allein systemseitig bestimmt

− Inhalte (organisatorisch) werden im Protokollierungskonzept festgelegt


Er gebnis s e: Beis piel haf t e Ums et zung


Er gebnis s e: Beis piel haf t e Ums et zung

− Zielsetzung dieses Kapitel: Prüfung:

1. Ist die jeweilige Anforderungen umsetzbar 2. Wenn ja: rein organisatorisch 3. Oder organisatorisch mit technischer Unterstützung Leitgedanke: keine Anforderung kann rein technisch (d.h. ohne organisatorische Vorgaben) umgesetzt werden

− Federführend: bvitg, GMDS und IHE


Er gebnis s e: Beis piel haf t e Ums et zung (or ganis at or is c h)


Er gebnis s e: Beis piel haf t e Ums et zung (IT-Unt er s t üt zung)


Aus bl ic k (al s o k nown as F.A.Q)

Die EU Dat ens c hut zgr undver or dnung: s ie änder t a l l es , oder ?

1. Nein 2. Nein 3. Nein • Die EU Grundverordnung hat derart viele Öffnungsklauseln, dass eine abschließende

Bewertung zum jetzigen Zeitpunkt nahezu unmöglich erscheint • Aber:

Auch mit der EU DS-GVO wird Datenschutz weiterhin eine Existenzberechtigung haben ;-) Konzepte wie Datensparsamkeit und Zweckbindung gelten weiterhin Es bleibt ein Verbot mit Erlaubnisvorbehalt

• Dennoch: Ggfs. ist eine Anpassung in 3-5 Jahren (= Zeitrahmen zur Etablierung nationaler

Anpassungen) notwendig


Die t ec hnis c he Ent wic k l ung bedingt Anpas s ungen, oder ?

• Die Anforderungen wurde möglichst technikneutral formuliert (Abgesehen von Beispielen natürlich)

• Aber auch technikneutrale Anforderungen müssen im Verlauf der Zeit ggfs. angepasst werden (Z.B. Reicht in 5 Jahren eine 2-Faktor-Authentifizierung aus?)

• Anforderungen können nur an Hand der zum Zeitpunkt der Erstellung vorhandenen Erkenntnisse formuliert werden

Neue Erkenntnisse können Anforderungen ändern


Sol l t e man neben den Dat ens c hut zbes t immungen noc h mehr beac ht en?

• Urheberrecht − Darf ein Patient Dokumente eines Arztes in eine für andere zugängliche Plattform einstellen

ohne hierfür die Zustimmung des Arztes zu besitzen? • Haftungsrecht

Ein Arzt muss bei der Beurteilung eines medizinischen Falles alle ihm bekannten Tatsachen berücksichtigen. Wie geht man ärztlicherseits um mit − Mitgebrachten Daten aus Wearables? Z.B. 100 Pulsmessungen pro Tag, 20

Blutdruckmessungen pro Tag, 100 Aktivitätsmessungen pro Tag, usw. In einem Monat: 3000 Pulsmessungen, 600 Blutdruckmessungen, 3000 Aktivitätsmessungen

− Analysen aus Big Data sind vom Arzt nicht nachvollziehbar, können nicht validiert werden. Berücksichtigen oder besser nicht?

• Medienrecht − Darf ein Arzt aus einer Plattform Daten herauskopieren und in seine Patientenakte integrieren,

wenn er die Daten aufbewahrt? Ärztlicherseits existieren Aufbewahrungspflichten, seiten der Plattform ggfs. nicht.



• Medizinrecht − Darf eine Plattform medizinische Beratungsleistung anbieten? − Zählen Reports von Messdaten als Beratungsleistung?

• Medizinprodukterecht − Wenn in einer Plattform Daten aus Medizingeräten gespeichert und angezeigt werden, ist die

Plattform dann ein Medizinprodukt? − Was, wenn die Plattform die Daten zusammenfasst und als Reports darstellt?

• IT Recht − Wer ist für Cyberbedrohungen zuständig? − Muss die Dokumentation der Software öffentlich zugänglich sein? − Wem gehören die Nutzungsrechte? − Darf die Plattform lizenzrechtlich von beliebig vielen Leuten genutzt werden? Auch im Ausland?

• Strafrecht • …


Fazit

Fazit : Ein paar Anf or der ungen kamen zus ammen…



• 95 Anforderungen an internetbasierte Datenaustauschplattformen • Nicht jede Plattform muss allen Anforderungen genügen Verwendungszweck und Kritikalität der Daten beachten und beurteilen, was benötigt wird

Zielsetzung der Ausarbeitung • Unterstützung bei Planung, Betrieb und Prüfung von internetbasierten

Datenaustauschplattformen • Zielgruppe daher Betreiber und Prüfer, insbesondere auch Aufsichtsbehörden


FRagen Ich verstehe dieses Gerede über die

Vorratsdatenspeicherung nicht. Keiner interessiert sich für meine

Verbindungs- oder Standortdaten…

[email protected]

Doch – ich!

Documents

Ein ungeschützter Datenpool · − Kommentierungsphase:14.12.2015 bis 22.01.2016 − Um Kommentierung wurden gebeten − Arbeitsgemeinschaft Kommunaler Großkrankenhäuser ( akg)