Datenschutz & Datensicherheit in der Arztpraxis · Datenschutz und Datensicherheit für Patientendaten ist ein zusätzliches Unternehmensrisiko, das vom Arzt oder der Arztpraxis (juristische

Datenschutz & Datensicherheitin der Arztpraxis

• «Zu den Risiken und Nebenwirkungen» in der Arztpraxis• Verantwortlichkeiten beim Verarbeiten von Patientendaten• Neu: Patientendaten in der Cloud• Hilfsmittel, Produkte und konkrete Massnahmen

1FSDZ Rechtsanwälte & Notariat AGZugerstrasse 76B, 6340 Baar / Tel. ++41 41 727 60 80 / Fax: ++41 41 727 60 85 / E-Mail: [email protected]

• Ärztinnen und Ärzte verarbeiten besonders schützenswerte Patientendaten.

• Ärztinnen und Ärzte unterstehen diesbezüglich dem Datenschutzrecht (DSG und EU-DSGVO) und dem Berufsgeheimnis (Art. 321 StGB)

• Sie sind als Treuhänder der Patientendaten die Verarbeitungsverantwortlichen für diese Daten

FSDZ Rechtsanwälte & Notariat AGZugerstrasse 76B, 6340 Baar / Tel. ++41 41 727 60 80 / Fax: ++41 41 727 60 85 / E-Mail: [email protected]

Ausgangslage

Ausgangslage (2)

• Vorsatz• Eventualvorsatz:

Bewusst in Kauf nehmen

• Antragsdelikt: unzufriedener Patient


Ausgangslage (3)

Verantwortlicher Auftragsverarbeiter

Zu Risiken und Nebenwirkungen bei der elektronischen Verarbeitung

von Patientendaten


Risiken und Nebenwirkungen (2)


https://www.srf.ch/news/schweiz/trojaner-dyre-infiziert-taeglich-hunderte-rechner-in-der-schweiz



https://www.srf.ch/news/schweiz/trojaner-dyre-infiziert-taeglich-hunderte-rechner-in-der-schweiz





„Ransomware“: Lösegeld-Software erpresst die Nutzer mit ihren eigenen Daten. Sie verschlüsselt Bilder, Texte und andere Dateien, die nur gegen Zahlung (von Bitcoin etc.) wieder entschlüsselt werden können.





Verantwortlichkeiten beim Verarbeiten von Patientendaten


Anknüpfungspunkt 1:

Verantwortung von Einzelunternehmer (Arzt) oder juristischer Personen (AG, GmbH – Praxen)

(Compliance)


Verantwortung für die Umsetzung und Einhaltung


Führungsverantwortung und Sorgfaltspflichten

Verantwortung für die Umsetzung und Einhaltung



Sorgfalt



Haftung



Standards, Normen & Richtlinien




Personenbezogene Daten verarbeiten


Personenbezogene Daten (Patientendaten)

Datenschutz und Datensicherheit für Patientendaten ist ein zusätzliches Unternehmensrisiko,

das vom Arzt oder der Arztpraxis (juristische Person) verwaltet und beherrscht werden muss.

Unternehmer-Risiko


CH-Datenschutzgesetz (SR 235.1)

https://www.admin.ch/opc/de/classified-compilation/19920153/201401010000/235.1.pdf

EU-Datenschutz-Verordnung DSGVO

seit 25.5.2018

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX%3A32016R0679&from=de

Gesetzesgrundlagen


Personendaten nach CH-DSG


Patientendaten sind „besonders schützenswerte Personendaten“

Patientendaten



Das Verarbeiten von Patientendaten bedarf besonderer Schutz- und Sicherheitsmassnahmen

Schutz- und Sicherheitsmassnahmen


Besondere Sicherheitsmassnahmen nach CH-DSG


Besondere Sicherheitsmassnahmen nach CH-DS Verordnung


Besondere Sicherheitsmassnahmen nach CH-DS Verordnung

• Zugangskontrolle

• Personendatenträgerkontrolle

• Transportkontrolle

• Bekanntgabekontrolle

• Speicherkontrolle

• Benutzerkontrolle

• Zugriffskontrolle

• Eingabekontrolle


https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/gesundheit/erlae

uterungen-zum-datenschutz-in-der-arztpraxis.html

Leitlinien des Eidg. Datenschutzbeauftragten

für Arztpraxen


Verantwortlicher Datenverarbeiter

Risikobeurteilung


Datenschutz-Folgeabschätzung


Wie wollen Sie als Arzt oder Ärztin die notwendigen organisatorischen

oder technischen Massnahmen SELBER sicherstellen?


Software-Hersteller bieten zunehmend Web-Lösungen nur noch aus der Cloud an

Lizenzstrategische Entwicklungen am Markt

Patientendaten gehen dann auch in die Cloud


Anforderung an das Auslagern in die Cloud

Patienten-daten

Applikationen

Lizenzgeber und Service ProviderDatenverarbeiter

ArztpraxisVerantwortlicher


Patienten-daten

Applikationen

Anforderung an das Auslagern in die Cloud (2)

Zulässigkeit• Berufsgeheimnis Arztgeheimnis• Datenschutzgesetz • Strafgesetz Offenbarungsverbot

Technische Massnahmen• Zugriffsberechtigungen• Transportverschlüsselung• Speicherverschlüsselung• Nutzungsverbot• Endpoint Security• Monitoring und präventive Schutzmassnahmen

Organisatorische Massnahmen• Recht an Daten• Weitergabeverbot• Überbindung Berufsgeheimnis• Regelungen für Vertragsauflösung (Datenrückgabe,

Migrationsunterstützung, ObstruktionsverbotFSDZ Rechtsanwälte & Notariat AGZugerstrasse 76B, 6340 Baar / Tel. ++41 41 727 60 80 / Fax: ++41 41 727 60 85 / E-Mail: [email protected]

Anforderung an das Auslagern in die Cloud (3)

Patienten-daten

Applikationen

Datenverarbeiter Verantwortlicher

Datenverarbeitungsvertrag

Nutzungs- und BetriebsvertragService-Level Agreements

MailverschlüsselungPatienten

Ausdrückliche Einwilligung zur Datenverarbeitung


https://www.fmh.ch/dienstleistungen/e-health/it-grundschutz.cfm

Anforderungen an die eigene Praxis-IT-Infrastruktur - FMH (1)


Anforderungen an die eigene Praxis-IT-Infrastruktur - FMH (2)

https://www.fmh.ch/dienstleistungen/e-health/it-grundschutz.cfm


Anforderungen an die eigene Praxis-IT-Infrastruktur -FMH (3)

Für Internetauftritt


Schweizerische Ärztezeitschrift SAEZ - Ausgabe Ende April 2019

www.saez.c

h


FMH Rahmenvertrag und weitere Dokumente

Rahmenvertrag SaaS

Selbstdeklaration Anbieter nach Checkliste

SLAMigrations-

projekt

SLALizenzen

SLAWartung,

Pflege, Support

SLABetriebs-

leistungen

SLAWeiterent-wicklung

Anbieterspezifische Service Level Agreements

Empfehlungen zum IT-

Grundschutz


https://fsdz.ch/file-docs/zusammenfassung_nutzung_von_cloud-diensten_durch_Ärzte_-_27-03-2019_1.pdf


HIN AG: Sicherheitsprodukte für den Arzt und die Praxis


HIN AG: HIN-Identität


HIN AG: E-Mailverschlüsselung – auch mit Patienten ohne HIN-Anschluss


HIN AG: Endpoint Security - Arbeitsplatzüberwachung


GZ: Datenschutz-Behörde Österreich D213.692/0001-DSB/2018 vom 16.11.2018

Erster Datenschutzentscheid in EU gegen Arztpraxis


Erster Datenschutzentscheid in EU gegen Arztpraxis (2)



Erster Datenschutzentscheid in EU gegen Arztpraxis (3)



Zusammenfassung


Zusammenfassung

• Auch Ärztinnen und Ärzte sowie Arztpraxen verarbeiten besonders schützenswerte (personenbezogene) Patientendaten

• Diese unterstehen entweder dem • Schweizerischen Datenschutzgesetz (heute gültige Fassung) • bald dem neuen schweizerischen Datenschutzgesetz (EU-DSGVO angelehnte

Fassung)• EU-DSGVO (für Patienten, die in EU-Ländern niedergelassen sind und u.a. werblich

akquiriert wurden)• Patientendaten müssen mit besonderen organisatorischen und technischen

Massnahmen vor unerlaubter Bearbeitung durch Dritte, Missbrauch, Entwendung geschützt werden. Die Auslagerung von Patientendaten in die Cloud kann das Berufsgeheimnis verletzen, wenn nicht angemessene Massnahmen getroffen werden.


• Die Führungsleute (strategische und operative Entscheidungsträger) einer Arztpraxis sind für die Einhaltung der datenschutz- und datensicherheitsrechtlichen Vorgaben(Compliance) persönlich verantwortlich und persönlich haftbar.

• Es braucht in jedem Fall eine Datenschutz-Folgeabschätzung, technische undorganisatorische Massnahmen und neue Datenverarbeitungsverträge mit Dritten(Datenverarbeiter, Cloud-Anbieter, Applikation-Service-Provider).

• Die Auslagerung von Applikationen und Patientendaten in die Cloud ist erlaubt. Esbraucht aber zwingend einen Nutzungs- und Betriebsvertrag sowie einenDatenverarbeitungsvertrag mit Mindestanforderungen.

Zusammenfassung (2)


Schliessen Sie keine Cloudverträge ohne Beizug• des Rahmenvertrages der FMH • der Selbstdeklaration der FMH sowie • den Minimalanforderungen zum IT-

Grundschutz der FMH


www.fsdz.ch


Besten Dank


Documents

Datenschutz & Datensicherheit in der Arztpraxis · Datenschutz und Datensicherheit für Patientendaten ist ein zusätzliches Unternehmensrisiko, das vom Arzt oder der Arztpraxis (juristische