3. Datensicherheit im Rechnerbetrieb
Zugriffsrechte im Krankenhaus
Datenströme im Krankenhaus
Zwischen den informationellen Einheiten:
Innerhalb der »informationellen Einheiten«:
Rollen - Jeweils Untergliederung nach
- Funktionen (Arzt, Pflegepersonal, technische Angestellte)
- und Hierarchieebenen (Chefarzt, Oberarzt, Stationsarzt, Oberschwester, …)
Grundsätze für den Datenzugriff
- Zweckbestimmung des Behandlungsvertrags.
- Erforderlichkeit (Minimierung der Zugriffsrechte, Behandlungszusammenhang).
- Datenhoheit der Fachabteilung - auch in Referenzdatenbank und Archiv..
- Kein freier Austausch zwischen Fachabteilungen (»Logische Überweisung«).
- Rechte des Patienten.
- Mitteilung des Umfangs der DV und der möglichen Zugriffe,
Hinweis auf Widerspruchsrecht (soweit zutreffend).
- Verfügbarkeit der Daten im Interesse des Patienten.
Voreinstellung: Freigabe nur bei Bedarf;
Daten dürfen nicht gegen Patientenwunsch zurückgehalten werden.
- Zustimmung des Patienten implizit durch Erscheinen.
Modell: Zugriffsmatrix, rollenbasierte Zugriffsrechte.
Daten und Patientenakten
- Patientenakte (verantwortete Dokumentation aller Aufenthalte),
verteilt über Zentralsystem, Verwaltungssystem, Abteilungssysteme.
- Abteilungsinterne Daten (»Rohdaten«).
- Behandlungszusammenhang (evtl. über mehrere Aufenthalte).
Datenklassen
- administrative Daten =
- Identifikationsdaten + Versicherungsdaten + Bewegungsdaten + …
- medizinische Daten =
- Notfalldaten (Risikodaten),
- allgemeine anamnestische Daten,
- abrechnungsrelevante Diagnosen und Therapien,
- Befunde, Laborwerte, andere diagnostische und therapeutische Daten,
- besonders sensible Daten.
Sonderstatus für genetische Daten (EU-Richtlinie).
Notfalldaten und besonders sensible Daten:
- Entscheidung des Arztes bzw. Abteilungsleiters.
- Zugriff unabhängig vom Rest der Patientenakte.
Sonderfälle: Personen, deren Daten sämtlich besonders sensibel sind -
- Prominente, Angehörige von Kliniksmitarbeitern.
- Möglichkeiten:
- Pseudonymisieren,
- sperren,
- nicht elektronisch verarbeiten.
Mögliche Schutzstufen
[Aus dem
Katalog der technischen und organisatorischen Maßnahmen zum Datenschutz
des staatlichen Koordinierungsausschusses Datenverarbeitung (Bayern)]
- Frei zugängliche Daten (z. B. Bibliothekskatalog, Vorlesungsverzeichnis).
- Daten, deren Mißbrauch keine besondere Beeinträchtigung erwarten läßt
(z. B. Adressenverzeichnisse, Verteiler).
- Daten, deren Mißbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder wirtschaftlichen
Verhältnissen beeinträchtigen kann (»Ansehen«)
(z. B. Patientenstammdaten, allgemeine Personaldaten).
- Daten, deren Mißbrauch die gesellschaftliche Stellung oder
die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (»Existenz«)
(z. B. medizinische Patientendaten, Unterbringung in Anstalten, dienstliche Beurteilungen).
- Daten, deren Mißbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann
(z. B. besonders sensible Patientendaten).
Schutzstufen - Anwendung
Grundsätzlich:
- Im Zweifelsfall höhere Schutzstufe.
- Sind Maßnahmen für die höhere Schutzstufe nicht »teurer«,
sind sie auch für die niedigere Schutzstufe anzuwenden.
Schutzstufen verdeutlichen die Sensibilität der Daten und helfen bei der Gruppierung von Daten. Sie müssen im Modell evtl. nur sehr eingeschränkt verwendet werden, wenn das `need-to-know'-Prinzip verwendet wird.
Spezifikation der Zugriffsrechte
- Regelwerke (Zugriffsmatrizen) -
- kliniksweit,
- abteilungsspezifisch,
- patientenindividuell (in Patientenakte mitgeführt).
- Rechteinhaber:
- Fachabteilungen,
- Rolleninhaber,
- Einzelpersonen.
Statische Zugriffsrechte: an die Person gebunden.
Dynamische Zugriffsrechte: an die Rolle gebunden.
Rollen und Rechte
- Behandelnde Ärzte (auch AiP, PJ, zeitweise zugeordnete Ärzte):
- ganze Patientenakte im Behandlungszusammenhang (außer besonders sensible Daten),
- abteilungsinterne Daten aller Aufenthalte.
- Pflegekräfte:
- Zugriff auf Krankenakte;
- erforderlicher Umfang durch Abteilungsleiter festgelegt.
- Sonstige Mitarbeiter der Fachabteilung analog (z. B. Arztsekretariat).
- Famulanten, Studenten, Auszubildende:
- erforderlicher Umfang durch verantwortlich Lehrenden festgelegt
(im Rahmen seiner eigenen Befugnisse).
- Verwaltungsmitarbeiter:
- Stammdaten,
- abrechnungsrelevante Daten (u. U. auch besonders sensible!).
Zugriffskontexte
Nachweis des Behandlungszusammenhangs: Bewegungseintrag im KIS, pauschalisierte Sonderregelungen in Ausnahmefällen.
Andere Kontexte mit abweichenden Zugriffsregelungen:
- Forschungsprojekte (Anonymisierung/Pseudonymisierung).
- Lehre
- Qualitätssicherung
- Rückgriff auf »Musterfälle« (auch aus dem Archiv)
Protokollierung
- Zugriffe auf Patientenakte [nur »ungewöhnliche« wegen Verhältnismäßigkeit] -
- Person, Rolle, Fachabteilung,
- Art, Zeitpunkt und Umfang des Zugriffs.
- Protokoll (logischer) Teil der Patientenakte -
- nur einsehbar für verantwortlichen Arzt, Patienten selbst, Datenschutzbeauftragten,
- Recht auf Rechtfertigung.
Folgen bei entdecktem Mißbrauch!
Sonderfälle
Notfälle
- Schneller, unkomplizierter Zugriff nötig.
- Protokollierung.
- Benachrichtigung des Verantwortlichen.
Notfalldaten
- Ohne weitere explizite Freigabe im Behandlungszusammenhang sichtbar.
- Existenz unübersehbar kennzeichnen,
- übersichtliche Präsentation (»Cave!«-Fenster).
- Protokollierung.
Besonders sensible Daten
- Zugriff: Entscheidung des Leiters der FA.
Alternativ-Modell von Ross Anderson
Quelle: Die Sicherheitspolitik für klinische Informationssysteme der British Medical Association.
- Rechteliste Teil der Patientenakte.
- Von verantwortlichem Arzt angelegt und nur von ihm bearbeitbar.
- Mindestumfang: Verantwortlicher Arzt und Patient.
- Unterrichtung des Patienten bei Änderungen.
- Zugriffsprotokoll Teil der Patientenakte,
- wird dem Patienten bei Entlassung ausgehändigt.
- Auch für verteilte Versorgung/Telemedizin geeignet
- universelle elektronische Patientenakte.
Weiterführende Informationen
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 23. Juli 1999
E-Mail an
Pommerening »AT« imbei.uni-mainz.de.