Stimmen zum Telemedizinführer Deutschland

..."Dieses Sammelwerk beschreibt seit Jahren die Entwicklungen der Gesundheitstelematik mit den maßgeblichen Stimmen von Systementwicklern und Meinungsführern in Deutschland. Ein informatorischer Referenzstandard!"...
 

Deutschlands unfassendstes Werk zum Thema Telemedizin, E-Health und Telematik im Gesundheitswesen

Deutschlands unfassendstes Werk zum Thema Telemedizin, E-Health und Telematik im Gesundheitswesen

Home arrow Inhalte arrow Ausgabe 2005 arrow Bildung von Vertrauen im Medizinbereich durch Datenschutz-Gütesiegel und -audit
Bildung von Vertrauen im Medizinbereich durch Datenschutz-Gütesiegel und -audit PDF E-Mail


Barbara Körffer
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein


1 Die Notwendigkeit der Vertrauensbildung im Medizinbereich

Zur Unterstützung und Verbesserung von Behandlungs- und Organisationsabläufen im Medizinbereich ist der Einsatz moderner Technik und effi zienter Verfahren von erheblicher Bedeutung. Ziel solcher Bestrebungen ist es meist, Daten über die Patienten zentral zusammen zu führen, um eine umfassende Informationsgrundlage für die Behandlung der Patienten den Beteiligten zur Verfügung zu stellen und so Fehl- oder Doppelbehandlungen zu vermeiden. In anderen Fällen sind fehlende Kapazitäten Anlass dafür, die Verarbeitung von Patientendaten in kompetente Hände zu geben, die diese „outgesourcten“ Verfahren fachmännisch und effi zient erledigen. All diesen Bestrebungen wohnt aber stets das gleiche Hindernis inne: Fehlendes Vertrauen in den sicheren Umgang mit den Daten, die einem technischen System oder einem fremden Dienstleister überlassen werden. Hierbei geht es um hochsensible Daten, die zu einem der persönlichsten Bereiche der Menschen gehören, nämlich seiner Gesundheit. So wenig Patienten Daten über ihre Gesundheit preisgeben möchten, so begehrt ist ihre Kenntnis auf der anderen Seite. Geraten Gesundheitsdaten in falsche Hände, etwa in die des Arbeitgebers oder der Versicherung, drohen dem Betroffenen erhebliche Nachteile. Kein Wunder also, dass moderner Technik oder spezialisierten Dienstleistern insbesondere zur elektronischen Verarbeitung von Patientendaten häufi g Skepsis entgegengebracht wird. Die Frage, ob die hochsensiblen Daten in diesen Systemen nach den strengen Anforderungen des Patientengeheimnisses verarbeitet werden, wird an dieser Stelle häufi g gestellt. Die Beantwortung ist indessen oftmals nicht leicht. Sowohl die technischen Systeme als auch die rechtlichen Anforderungen sind komplex. Häufi g ist der Rat von Experten gefragt.

Diesen Expertenrat in einfacher Form und verständlich der Öffentlichkeit zu kommunizieren und damit Vertrauen in Datenverarbeitungsverfahren oder -produkte zu schaffen, die den Anforderungen an Datenschutz und Datensicherheit entsprechen, ist Anliegen der Instrumente Datenschutzaudit und Datenschutzgütesiegel. In Form eines Gütezeichens wird dem Anwender, dem Betroffenen oder der interessierten Öffentlichkeit signalisiert, dass ein Verfahren oder ein Produkt durch eine unabhängige und kompetente öffentliche Stelle im Hinblick auf Datenschutz und Datensicherheit geprüft wurde und die entsprechenden Anforderungen erfüllt. Nachvollziehbar und nachprüfbar wird die Aussage dieses Gütezeichens durch eine Bewertung des Verfahrens oder Produkts, die durch Veröffentlichung dem interessierten Kreis zugänglich gemacht wird und verbleibende Fragen oder Zweifel an dem Verfahren oder Produkt beantwortet bzw. beseitigt.

2 Zertifi zierung und Auditierung nach dem Landesdatenschutzgesetz Schleswig-Holstein

Das Landesdatenschutzgesetz Schleswig- Holstein (LDSG SH) sieht nach seiner Novellierung im Jahr 2000 zur Verbesserung des Datenschutzes die Instrumente des Datenschutz-Audits für Behörden und des Gütesiegels für IT-Produkte vor. Die entsprechenden Regelungen zur Umsetzung dieser Instrumente sind im Folgejahr erlassen worden1 und somit konnten beide Verfahren in den Jahren 2001 bzw. 2002 in die Praxis eingeführt werden. Damit ist Schleswig-Holstein das bislang einzige Bundesland, das im Datenschutz Audit und Gütesiegel auf gesetzlicher Grundlage anbietet.

Da der Landesgesetzgeber eine Gesetzgebungskompetenz nur für den Bereich der Landesbehörden hat, knüpfen zwangsläufi g auch die Elemente des Datenschutzaudits und des Gütesiegels an die Datenverarbeitung in öffentlichen Stellen in Schleswig-Holstein an. Aus diesem Grund ist ein Datenschutzaudit nach § 43 Abs. 2 LDSG SH nur für öffentliche Stellen in Schleswig-Holstein möglich. Privaten Unternehmen ist die Auditierung durch das Unabhängige Landeszentrum für Datenschutz (ULD) nach dem LDSG SH grundsätzlich nicht möglich, wenngleich nach einem solchen Verfahren eine nicht geringe Nachfrage besteht. Die Regelungskompetenz für Audits im Privatbereich liegt beim Bundesgesetzgeber, der zwar in § 9a BDSG bereits die Grundlage für solche Audits und Produktzertifi zierungen geschaffen hat, mit dem Erlass des zur Umsetzung erforderlichen Ausführungsgesetzes jedoch auf sich warten lässt. In der Zwischenzeit kann das schleswig-holsteinische Behördenaudit zumindest indirekt zur Auditierung privater Unternehmen eingesetzt werden. Von dieser Möglichkeit ist in der Vergangenheit Gebrauch gemacht worden, indem ein privates Unternehmen eine Kooperation mit einer öffentlichen Stelle in Schleswig- Holstein eingegangen ist. Die öffentliche Stelle hat im Auftrag des Unternehmens ein Datenschutzkonzept erstellt, das vom ULD auditiert und von dem Unternehmen eingesetzt wurde. Sowohl der öffentlichen Stelle als auch dem Unternehmen ist es auf diese Weise möglich, mit dem Datenschutzaudit zu werben.

Einen Schritt weiter als das Datenschutzaudit geht das Datenschutz-Gütesiegel. Es dient nach seiner gesetzlichen Verankerung in § 4 Abs. 2 LDSG SH primär als Empfehlung an öffentliche Stellen in Schleswig-Holstein, die solche IT-Produkte, die mit den Vorschriften über Datenschutz und Datensicherheit vereinbar sind, vorrangig einsetzen sollen. Das Gütesiegel kennzeichnet Produkte, die diese Voraussetzungen nach einem förmlichen Verfahren erfüllen. Es wird daher direkt für ein Produkt eines in der Regel privaten Herstellers verliehen, der mit dem Gütesiegel über den Bereich der schleswig-holsteinischen Verwaltung auch im Privatkundengeschäft werben kann. Das Gütesiegel ist keineswegs an den tatsächlichen Einsatz in der schleswig- holsteinischen Verwaltung geknüpft. Es genügt, wenn das zu zertifi zierende Produkt geeignet ist, dort eingesetzt zu werden. Die Zertifi zierung ist weder an einen Sitz des Herstellers noch einen Vertrieb des Produkts in Schleswig-Holstein geknüpft.

a) Verfahren zur Verleihung des Gütesiegels

Gemäß § 4 Abs. 2 LDSG SH sind öffentliche Stellen in Schleswig-Holstein gehalten, solche Produkte vorrangig einzusetzen, deren Vereinbarkeit mit den Vorschriften über Datenschutz und Datensicherheit in einem förmlichen Verfahren bestätigt wurde. Das ULD verleiht auf dieser Rechtsgrundlage, die in der Gütesiegel-Verordnung (DSAVO) näher ausgestaltet wurde, Gütesiegel für ITProdukte als Empfehlung für öffentliche Stellen in Schleswig-Holstein.

Ein Gütesiegel kann für jedes IT-Produkt – sowohl Hard- und Software als auch ein automatisiertes Verfahren – erlangt werden. Klassisches Anwendungsfeld für Gütesiegel im Medizinbereich sind daher Software-Produkte zur Verarbeitung von Patientendaten, z. B. Arztpraxissoftware. Über den Bereich der automatisierten Verfahren, die ebenfalls als zertifi zierungsfähiges Produkt gelten, wird auch der Bereich der Dienstleistungen für ein Gütesiegel eröffnet. Unter automatisierten Verfahren versteht die entsprechende Verordnung „Arbeitsabläufe mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien“2. Anwendungsbereich dieser Alternative ist im Wesentlichen der gesamte Bereich der Datenverarbeitung im Auftrag, des so genannten Outsourcings, das im Medizinbereich eine zunehmende Rolle spielt. Bereits als „automatisiertes Verfahren“ zertifi ziert wurde vom ULD ein Aktenvernichtungsunternehmen sowie Dienstleister, die die elektronische Archivierung von Patientendaten anbieten.

Das Zertifi zierungsverfahren vollzieht sich im Wesentlichen in zwei Schritten: Zunächst wird das zu zertifi zierende Produkt durch einen unabhängigen Sachverständigen begutachtet. Hierzu schließt der Produkthersteller einen privaten Begutachtungsvertrag mit einem Sachverständigen. Die Begutachtung wird durch Sachverständige vorgenommen, die beim ULD in einem gesonderten Verfahren akkreditiert wurden.

Der zweite Verfahrensschritt beginnt nach erfolgreichem Abschluss der Begutachtung. Der Hersteller des Produkts stellt beim ULD einen Antrag auf Zertifi zierung des begutachteten Produkts, dem das vom Sachverständigen erstellte Gutachten beigefügt wird. Das ULD überprüft, ob das Gutachten nachvollziehbar und schlüssig ist. Außerdem können ergänzende Angaben und die Vorlage des Produkts bei Bedarf vom ULD zusätzlich angefordert werden.

Nach erfolgreicher Prüfung verleiht das ULD das Gütesiegel. Dies gilt befristet für den Zeitraum von zwei Jahren. Des Weiteren gilt es nur für die Produktversion, die der Begutachtung im Gütesiegelverfahren zu Grunde lag. Wird das Produkt gegenüber der geprüften Version mehr als unerheblich verändert, ist für die neue Version das Gütesiegel nicht mehr gültig. In beiden Fällen – Zeitablauf und Produktänderung – ist eine Rezertifi zierung erforderlich, um das Gütesiegel weiterhin nutzen zu können. In der Regel wird das Zertifi zierungsverfahren – abhängig von den erfolgten Änderungen – unter vereinfachten Bedingungen durchgeführt werden können...

 

Dokumentinformationen zum Volltext-Download
 

Titel:
Bildung von Vertrauen im Medizinbereich durch Datenschutz-Gütesiegel und -audit
Artikel ist erschienen in:
Telemedizinführer Deutschland, Ausgabe 2005
Kontakt/Autor(en):Barbara Körffer
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 
Seitenzahl:
5
Sonstiges

- Abb.

Dateityp/ -größe: PDF /   142 kB 
Click&Buy-Preis in Euro: kostenlos

 
Rechtlicher Hinweis:

Ein Herunterladen des Dokuments ist ausschließlich  zum persönlichen Gebrauch erlaubt. Jede Art der Weiterverbreitung oder Weiterverarbeitung ist untersagt.  


 
< zurück   weiter >
 

ASP Authentifizierung Biometrie bIT4health Blended Healthcare CIMECS DACS DICOM e-Health E-Learning eBA EDC eEPA eFA EGA eGBR eGK eHBA eHealth EHR elektronische Gesundheitskarte elektronische Krankenakte elektronische Patientenquittung elektronische Signatur elektronischer Arztbrief elektronischer Heilberufsausweis elektronisches Rezept EPA EPR europäische Krankenversichertenkarte Fallakte gematik Gesundheitskarte Gesundheitstelematik GoITG GRID Hash HL7 HomeCare HPC iEPA IHE IMS Incident Reporting integrierte Gesundheitsversorgung integrierte Versorgung IuK KAS KIS Kryptographie LOINC Lösungsarchitektur MDD MPI MVZ NEST PACS PaSIS PDMS protego.net PVS Rahmenarchitektur RFID RIS Schnittstelle SDK Sicherheitsinfrastruktur Smart Card SNOMED SOA SQB Telekonsultation Telelearning Telematik Telematik Expertise Telematik-Infrastruktur Telemedizin Telemonitoring Verschlüsselung VHitG ZTG