+
THM Datenschutztag 2016
Datenschutz und Datensicherheit –eine conditio sine qua non
im Curriculum Medizinische Informatik an der THM
Prof. Thomas Friedl
THM Datenschutztag 2016
+Medizinische InformatikKlassische Definition
Die Medizinische Informatik beschäftigt sich mit der Analyse, Interpretation und Verarbeitung von Informationen im Bereich der Medizin und des Gesundheitswesens
Prof. Thomas Friedl
2
THM Datenschutztag 2016
+Medizinische InformatikKlassische Definition
Die Medizinische Informatik beschäftigt sich mit der Analyse, Interpretation und Verarbeitung von Informationen im Bereich der Medizin und des Gesundheitswesens
Prof. Thomas Friedl
3
THM Datenschutztag 2016
+
Volkszählungsurteil vom 15.12.1983 (Informationelle Selbstbestimmung)
Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen. Dies beeinträchtige ....
...„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“
https://www.bfdi.bund.de/bfdi_wiki/index.php/Informationelle_Selbstbestimmung
Medizinische InformatikBezug zum Datenschutz
Prof. Thomas Friedl
4
THM Datenschutztag 2016
+
Volkszählungsurteil vom 15.12.1983 (Informationelle Selbstbestimmung)
Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen. Dies beeinträchtige ....
...„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“
https://www.bfdi.bund.de/bfdi_wiki/index.php/Informationelle_Selbstbestimmung
Medizinische InformatikBezug zum Datenschutz
Prof. Thomas Friedl
5
THM Datenschutztag 2016
+
Bundesdatenschutzgesetz§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch1. öffentliche Stellen des Bundes,2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oderb) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten
handelt,3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten,
nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.
(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(5) ...
Medizinische InformatikGrundlagen Datenschutz
Prof. Thomas Friedl
6
THM Datenschutztag 2016
+
Strafgesetzbuch§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten
Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist.
4a. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
5. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung
oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Medizinische InformatikGrundlagen Datenschutz
Prof. Thomas Friedl
7
THM Datenschutztag 2016
+
Strafgesetzbuch§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten
Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist.
4a. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
5. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung
oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Medizinische InformatikGrundlagen Datenschutz
Prof. Thomas Friedl
8
THM Datenschutztag 2016
+ Studieninhalte der Medizinischen Informatikmit Bezug zum Thema Datenschutz und zur Datensicherheit
Prof. Thomas Friedl
9
THM Datenschutztag 2016
+
Prof. Thomas Friedl
11
Wahlpflichtmodule der Medizinischen Informatikmit Bezug zum Thema Datenschutz und zur Datensicherheit
THM Datenschutztag 2016
+Medizinische InformatikVorkenntnisse der Kommilitonen
Prof. Thomas Friedl
12
Ein Blick in die hessischen Lehrpläne für die Sekundar-stufe und die gymnasiale Oberstufe zum Thema DuD:
n Politik und Wirtschaft è kein Hinweis
n Informatik è 5 (randständige) Hinweise auf 35 Seiten
n Rechtskunde è Recht ausführlich (Angebot eher selten)
THM Datenschutztag 2016
+Medizinische InformatikVerhalten und Endgeräte der Kommilitonen
Prof. Thomas Friedl
13
Regelmäßige Umfrage im Modul DuD
n Nahezu jede(r) hat ein Smartphone und ein Notebook
n Nahezu keine(r) führt regelhaft Backups durch
n Nahezu jede(r) nutzt WhatsApp und FaceBook
n Threema ist immerhin bekannt
n Heise oder c‘t ist eher unbekannt
THM Datenschutztag 2016
+Medizinische InformatikVersuch der Sensibilisierung der Kommilitonen
Prof. Thomas Friedl
14
n Wer ist Edward Snowden?
Oder Bilder von der CeBIT 2015, die zu denken geben sollten ....
THM Datenschutztag 2016
+Medizinische InformatikVersuch der Sensibilisierung der Kommilitonen
Prof. Thomas Friedl
15
n Was ist Verschlüsselungn Mailverschlüsselungn SSL Serververschlüsselung
n Instant Messaging
n Was versuchen Geheimdienste (NSA, etc. ..)Erläuterungen – Berichte – Filme (z.B.)
+
THM Datenschutztag 2016
Teleradiologie
Prof. Thomas Friedl
1 www.klinikum.uni-heidelberg.de/.../mrt.jpg . ²www.conferences.medicexchange.com
Radiologischer Befundungsarbeitsplatz an anderem Ort²Magnetresonanztomograph (MRT)1
Gesicherte Verbindung
THM Datenschutztag 2016
+Kardiologie/Telekardiologie
17
Patient1 Telemedizinisches Zentrum Düsseldorf PHTS1
Architektur: J.Fleck, H.Korb, Fernabfrage implantierter Defibrillatoren.-der Housecall-Telemedizin-Service; Telemedizinführer 2008; 151-154
Übermittlung 12-Kanal EKG
Prof. Thomas Friedl
THM Datenschutztag 2016
+Medizinische InformatikVersuch der Sensibilisierung der Kommilitonen
Prof. Thomas Friedl
18
n Was ist VerschlüsselungOhne Verschlüsselung sollte im modernen Gesundheitswesen nichts mehr elektronisch kommuniziert werden!
Regelmäßig wird dazu eine Übung im Modul DuD durchgeführt.
Mozilla Thunderbird Apple iOS Mail
THM Datenschutztag 2016
+Medizinische InformatikVersuch der Sensibilisierung der Kommilitonen
Prof. Thomas Friedl
19
n Was ist VerschlüsselungOhne Verschlüsselung darf im modernen Gesundheitswesen nichts mehr elektronisch kommuniziert werden!
Regelmäßig wird dazu eine Übung im Modul DuD durchgeführt.
Mozilla Thunderbird Apple iOS Mail
THM Datenschutztag 2016
+Medizinische InformatikEinige Buzzwords ...
Prof. Thomas Friedl
20
... die wir immer wieder in den Modulen an Beispielen erläutern.
Rollen-Rechte-Konzept – privacy by design – OH KIS – TOM –
elektronische Gesundheitskarte – Vorratsdatenspeicherung –
wissenschaftliche Studien – Penetrationstests –
Auftragsdatenverarbeitung – Wissen und Besitz –
eHealth Gesetz – KV Safenet – Telematik Infrastruktur – Big Data
– Profilbildung – Wearables ......
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele
Prof. Thomas Friedl
21
Regelmäßige Umfrage im Modul DuD
n Nahezu jede(r) hat ein Smartphone und ein Notebook
n Nahezu keine(r) führt regelhaft Backups durch
n Nahezu jede(r) nutzt WhatsApp und FaceBook
n Threema ist immerhin bekannt
n Heise oder c‘t ist eher unbekannt
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere Kommunikation med. Daten
Prof. Thomas Friedl
22
Sichere Kommunikation medizinischer DatenTradierte Kommunikation von Patientendaten ist (fast ausschließlich) geprägt von:
Schlechter Performance – Medienbrüchen – hohen Kosten
è Sachstand:
• Die notwendigen Funktionen der Telematik Infrastruktur aus dem Projekt der elektronischen Gesundheitskarte stehen nicht vor 20?? flächendeckend zur Verfügung.è aktuell und schon immer ein Desaster im Projektmanagement
• Schrumpfende pflegerische und ärztliche Ressourcen verlangen nach einer sofortigen Lösung.
• Die medizinische Versorgung vor allem in ländlichen Regionen ist eher suboptimal.
• Verschiedene Gesetze und Androhungen von Ersatzvornahmen haben an der „seit Jahren gegenwärtigen“ Situation nichts geändert.
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere Kommunikation med. Daten
Prof. Thomas Friedl
23
Wer kommuniziert im Gesundheitswesen miteinander?
Pflege
Hausarzt
KassenFacharzt
Behörde
Kliniken
Apotheke
Psychoth.
Physioth.
Seniorenheime
Reha
Med. Hilfsmittel
...
Ganzviele!
ca.390.000Personen inHessenarbeiteten2012 imGesundheitswesenQuelle:Arbeitsgruppe Gesundheitsokonomische Gesamtrechnungen derLander
Medizin-geräte!!
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere Kommunikation med. Daten
Prof. Thomas Friedl
24
PortalinderTHMFBGesundheit
Zahnärzte Ärzte, Pflege, Kasse, Apotheke, Psychth., .....
Priv. Schlüssel
Öffentl. Schlüssel aller PKI Teilnehmer
Root KeyTHM PKISchlüssel
Verwaltung/Speicher
1. Beteiligter im Gesundheits-wesen beantragt in einem Portal der THM ein „fortgeschrittenes Zertifikat“ aus der hessischen Gesundheits PKI für die elektronische Kommunikation
2. Gesundheits PKI prüft den Antrag und gibt die Produktion des Schlüsselpaares frei
3. Im Portal wird dieses erzeugt durch den so genannten Root Key der THM signiert
4. Der private Schlüssel wird dem Antragsteller zum sicheren Download bereit gestellt.Die öffentlichen Schlüssel aller PKI Teilnehmer wird im Portal für alle sichtbar und zum Download eingestellt.
Prinzip zum Aufbau DER hessischen Gesundheits PKI
in der TH Mittelhessen.
è Für ALLE, die an der Gesundheitsversorgung
teilnehmen.
Hessische Gesundheits PKI
Aufbau der hessischen Gesundheits PKI
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente
Prof. Thomas Friedl
25
SecuDokDIE patentierte Lösung
für fälschungssichere digitale UND analoge Dokumente
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente
Prof. Thomas Friedl
26
Ausgangslage
Wer kennt und erkennt alle Siegel, Stempel oder Unterschriften in Dokumenten?
Bisher wird nach Anschein Dokumenten vertraut, die diese Insignien der Gültigkeit tragen.
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente
Prof. Thomas Friedl
27
Welches Ziel wird mit dem neuen Ansatz verfolgt ?Ein Nachweis, ob digitale oder analoge Dokumente verändert / gefälscht wurden oder nicht
Was benötigt man dafür: Internet
PCs oder Tablets bzw. Smartphones
sowie Dokumente, deren Inhalte in Datenbanken des Dokumentenherausgebers gespeichert sind
Bsp.: Schulzeugnisse, Urkunden, Ausweisdokumente, Zertifikate, Frachtpapiere, Rezepte, med. Gutachten, Sondermülldokumente ...
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente
Prof. Thomas Friedl
28
Einfaches Beispiel – Mitgliedsbescheinigung Ärztekammer(kann von jedem Mitglied im persönlichen Kammer-Portal erstellt werden)
THM Datenschutztag 2016
+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente
Prof. Thomas Friedl
29
Darstellung zur Prüfung auf Echtheit eines Dokumentes am Beispiel eines Fahrzeugscheins
Fahrzeug -schein fürPeter Lustig
Opel Astra
Internet https://......
4
Root Web-Service VertrauensstelleNimmt Anfragen zu dieser ID aus dem Internet entgegen und leitet diese an das entsprechende Unternehmen, welches das Dokument erstellt haben soll, zur Prüfung weiter, sofern die DokID-Präfix bekannt ist.
DokID-Präfix: 2764444441Web-Service ZulassungsstelleNimmt Anfragen von dem Root Web Service entgegen und sendet die Antwort aus der Referenztabelle direkt an den Polizisten
2764444441ABCD1234567FFE3...1 2
3
Beispiel Referenztabelle in der Zulassungsstelle Wetzlar (UID:2764444441)
276444444HDJ84ggH… Sonderfahrterlau. LDK-A-32 Spedition Kern
DokID Doktyp Feld1 Feld2 Feld 3 ..
: : : : :
Fahrzeugschein Lustig Peter Opel Astra2764444441ABCD1234567FFE3 ….
Datenbank des Unternehmens 2764444441
Polizist scannt per Smartphone APP einen Fahrzeugschein
Fahrzeugschein Lustig Peter Opel Astra
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – optimierte Kommunikation über Sektorengrenzen
Prof. Thomas Friedl
30
Ereignis tritt ein
Anruf in LeitstelleLeitstelle erfasst
Daten und beauftragt RTW
NEF Besatzung versorgt und
fährt Patienten in die Klinik
Stammdaten-erhebung mittels eGK und NIDA-PAD von MedDV
Vitaldatenerfassung mittels NIDA-
PAD
Zu Hause / Angehörige
Rettungs-dienst
Akutkranken-haus
Reha-einrichtung
Hausarzt / mobile Reha
Zu Hause /Angehörige
Übernahme Patient sowie mündliche
Übermittlung von Vitaldaten und ...
Übernahme DIVI Protokoll in Papierform
Anamnese –Diagnose –Behandlung
Entlassung und Erstellung von
Arzt-/Entlassbrief
Übernahme Patient
Daten werden aggrgiert in
Papierform aus dem Arzt- oder
Entlassbrief übernommen
Rehabehandlung
Entlassung und Erstellung von
Arzt-/Entlassbrief
Info bzgl. des Patienten, einer evtl. Medikation und den weiteren Maßnahmen
mittels Entlassbrief
Grober Ablauf vom Eintritt eines „Ereignisses“ bis zur Gesundung bzw. zur Betreuung
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – optimierte Kommunikation über Sektorengrenzen
Prof. Thomas Friedl
31
Grober Ablauf vom Eintritt eines „Ereignisses“ bis zur Gesundung bzw. zur Betreuung
Ereignis tritt ein
Anruf in LeitstelleLeitstelle erfasst
Daten und beauftragt RTW
NEF Besatzung versorgt und
fährt Patienten in die Klinik
Stammdaten-erhebung mittels eGK und NIDA-PAD von MedDV
Vitaldatenerfassung mittels NIDA-
PAD
Zu Hause / Angehörige
Rettungs-dienst
Akutkranken-haus
Reha-einrichtung
Hausarzt / mobile Reha
Zu Hause /Angehörige
Übernahme Patient sowie mündliche
Übermittlung von Vitaldaten und ...
Übernahme DIVI Protokoll in Papierform
Anamnese –Diagnose –Behandlung
Entlassung und Erstellung von
Arzt-/Entlassbrief
Übernahme Patient
Daten werden aggrgiert in
Papierform aus dem Arzt- oder
Entlassbrief übernommen
Rehabehandlung
Entlassung und Erstellung von
Arzt-/Entlassbrief
Info bzgl. des Patienten, einer evtl. Medikation und den weiteren Maßnahmen
mittels Entlassbrief
Datenbe- und verarbeitunglokal und mit Medienbrüchen
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – optimierte Kommunikation über Sektorengrenzen
Prof. Thomas Friedl
32
Parallel notwendige Zugriffsmöglichkeiten auf die Patientendaten während und nach einem Ereignis
(Vorhandene) sichere Datenplattform außerhalb eines KIS / PVS
Zu Hause / Angehörige
Rettungs-dienst
Akutkranken-haus
Reha-einrichtung
Hausarzt / mobile Reha
Zu Hause /Angehörige
Patientendatensatz (id Krankenkasse)Patientendatensatz (id Krankenkasse)Patientendatensatz (id Krankenkasse)
Patientendatensatz (id Krankenkasse)
Patientendatensatz (id Krankenkasse)
Patientendatensatz (id z.B. Krankenkasse (alternativ ....)
Max Muster [Daten Rettungsdienst] [Daten Akutkrankenhaus] Daten [Reha] [Haus-/Facharzt [Daten mobile Pflege / Angehörige]
Telemedizinische Plattform für Reha Maßnahmen
Zustimmung Patient
KIS / PVS Synchronisation
Berechtigungen
Welche Daten
Anpassung Nida PAD
Anpassung Datenplattform
Pragmatischer Datenschutz
..... weitere .....
U.a. zu klären:
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – dezentrale Patientendatenspeicherung
Prof. Thomas Friedl
33
Ganz aktuell: Pflegedokumentation und persönliche PatientenakteVorspann:
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – dezentrale Patientendatenspeicherung
Prof. Thomas Friedl
34
Ganz aktuell: Pflegedokumentation und persönliche PatientenakteVorspann:
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – dezentrale Patientendatenspeicherung
Prof. Thomas Friedl
35
Ganz aktuell: Pflegedokumentation und persönliche PatientenakteVorspann:
THM Datenschutztag 2016
+Medizinische InformatikPraktische Beispiele – dezentrale Patientendatenspeicherung
Prof. Thomas Friedl
36
Ganz aktuell: Pflegedokumentation und persönliche Gesundheitsdaten (Akte)Aktueller Sachstand: