Datenschutz im Gesundheitswesen: Eine Herausforderung?

Die Digitalisierung der Wirtschaft ist in vollem Gange und macht auch vor dem Gesundheitswesen nicht Halt. Krankenhäuser, Arztpraxen, Krankenkassen, Abrechnungszentren, Kostenträger, Gutachter und Physiotherapeuten stehen vor zwei großen Herausforderungen: Wie können sie die Datenschutzrichtlinien einhalten und sich wirksam gegen Cyberangriffe schützen? 

In diversen medizinischen Einrichtungen geht das Personal täglich mit sensiblen Informationen um: Patientendaten. Sie unterliegen der Geheimhaltung und müssen besonders vor den Blicken Dritter geschützt werden. Wer die vertrauliche Behandlung dieser Daten verletzt, muss mit Strafen rechnen, von Geldstrafen bis hin zu Freiheitsentzug von bis zu einem Jahr. Zudem können Patienten Schadensersatz fordern. 

Datenschutz und IT-Sicherheit sind zwei wichtige Themengebiete mit denen sich die Akteure des Gesundheitswesens auseinandersetzen müssen – auch wenn es nicht in ihr Fachgebiet fällt.

telemonitoring

Datenschutz in der Praxis 

Wie sieht der Umgang mit unseren Daten nun in der (Arzt)Praxis aus? Ärzte, egal ob der niedergelassene Allgemeinmediziner, die Chefärztin im Klinikum oder der Sachbearbeiter einer Krankenkasse – sie alle gehen täglich mit großen Datenmengen um, die immer auch einer bestimmten Person zugeordnet werden können. Der elektronische Datenaustausch ist Alltag im Gesundheitswesen. 

Patientenunterlagen enthalten Name, Anschrift, Geburtsdatum, Krankenversicherungsnummer, Diagnosen, Laborergebnisse, Medikamentendosierungen und Behandlungsempfehlungen. Um sie zu analysieren, auszuwerten und Folgebehandlungen auszusprechen, werden sie innerhalb und außerhalb von medizinischen Einrichtungen weitergereicht. Es handelt sich um sensible, persönliche Informationen, die Patienten nicht jedem zeigen möchten und schon gar nicht per Postkarte verschicken würden. 

Im übertragenen Sinne passiert jedoch genau das in vielen Fällen mit Patientendaten beim elektronischen Datenaustausch. Die Gründe sind oft mangelndes Wissen oder Unsicherheit im Umgang mit der Verarbeitung von (elektronischen) Daten. Hinzu kommen nicht oder ungenau definierte Compliance-Richtlinien und das Fehlen geeigneter Tools. Wo bleibt da der Datenschutz, geschweige denn die die ärztliche Schweigepflicht?

Laut der Ärzte Zeitung haben schon einmal 

2 von 3

Ärzten Patientendaten via SMS verschickt

46 %

der Ärzte Fotos oder Röntgenbilder mit dem Handy versendet

71 % der befragten Ärzte wünschen sich einen sicheren Datenkanal für Patientendaten und 28 % der Ärzte glaubten noch immer patientenbezogene Informationen auf ihrem Smartphone zu haben.

Medizinische Einrichtungen müssen alle notwendigen Maßnahmen ergreifen, um die Kenntnisnahme personenbezogener Daten durch unbefugte Dritte zu verhindern. Das gilt für Papierakten im Archiv genauso wie für die elektronische Patientenakte (ePA) auf dem PC oder Smartphone. In Zeiten der Digitalisierung ist das eine zunehmende Herausforderung für alle Akteure im Gesundheitswesen. Wie gewährleisten Krankenhäuser, Arztpraxen und andere medizinische Einrichtungen in Zeiten von Chip-Karte und digitaler Patientenakte, dass die sensiblen Daten nur den jeweils befugten Personen zur Verfügung gestellt werden? Und wie geht das sicher, schnell und einfach?

Schnell und kostengünstig lassen sich große Datenmengen über FTP-Server und Cloud Lösungen wie Dropbox teilen. Beide genügen jedoch weder den gesetzlichen Anforderungen und Bestimmungen noch dem Schutzbedürfnis personenbezogener Daten. Diese Übertragungsmöglichkeiten sind jedoch in Kliniken, Arztpraxen und Therapiezentren im Einsatz. Medizinische Einrichtungen müssen ihrem Personal die richtigen Tools zur Verfügung stellen, damit sie mit den ihnen anvertrauten Daten auch wirklich verantwortungsvoll umgehen können.

Sicherheit mit der Telematikinfrastruktur

Die Digitalisierung des Gesundheitswesens rückt mit der Schaffung der Telematikinfrastruktur (TI) mehr in den Fokus. Mittels Anbindung an die TI sollen alle Akteure des Gesundheitswesens digital miteinander verknüpft werden. Ein sicherer Austausch von Informationen soll durch das geschlossene Netz der TI, zu dem nur registrierte Nutzer Zugang erhalten, gewährleistet werden. Die erste Anwendung der TI war das Versichertenstammdatenmanagement (VSDM). Weitere Anwendungen wie das Notfalldatenmanagement (NFDM) und ein Elektronischer Medikationsplan (eMP) folgten. Der Kommunikationsdienst “Kommunikation im Medizinwesen” (KIM) ermöglicht zudem sektorenübergreifend einen sicheren Austausch von Nachrichten und medizinischen Dokumenten.

Grundsätzlich gilt, dass die medizinischen Anwendungen der Telematikinfrastruktur ein Angebot an Versicherte sind, das sie auf freiwilliger Basis nutzen können. Der Grundgedanke ist, dass der Versicherte in der Folge bestimmt, welcher Arzt o.ä. welche Daten wann und zu welchen Zwecken nutzen darf, so dass er die Datenhoheit behält. Einen Datenzugriff gibt es nur für Heilberufler mit einem entsprechenden Ausweis, wobei die Datenzugriffe für den Versicherten erkennbar sind.

Andererseits bedarf es eines hohen Informationssicherheitsniveaus, um den Datenschutzanforderungen gerecht zu werden, die sich auch aus der umfangreichen Verarbeitung besonders sensibler Gesundheitsdaten ergeben.

Wichtige Komponenten der TI werden vom BSI (Bundesamt für Sicherheit in der Informationstechnik) zertifiziert, nachdem die einzelnen Komponenten von anerkannten Prüfstellen evaluiert worden sind.

datenmanagement Krankenhau

Compliance leicht gemacht mit der 12Next

12Next GmbH ist Ihr API-Spezialist in der Gesundheitsbranche. Als qualifizierter Partner unterstützt das Leverkusener Unternehmen unter anderem bei der Anbindung und dem Datenaustausch über die Telematikinfrastruktur und gewährleistet einen sicheren Betrieb. Als Akteur im Gesundheitswesen müssen Sie sich nicht mehr mit Anpassungen, Updates oder den einzelnen Funktionen der TI auseinandersetzen. Das übernimmt 12Next im Hintergrund für Sie – unbemerkt, kostengünstig und zuverlässig. 

Zudem entwickelt und betreibt 12Next im Kundenauftrag individuelle Software-Lösungen für den Medizin-Bereich. Ziel ist es, die Modernisierung des Gesundheitssystems proaktiv mitzugestalten.

Wir wissen, wie wichtig es ist, die deutschen Standards und rechtlichen Anforderungen an die Erfassung und DSGVO-konformen Speicherung von geschützten, personenbezogenen Gesundheitsdaten einzuhalten und verfügen über ausreichend Erfahrung in der Zusammenarbeit mit Gesundheitsdienstleistern. Mit einem engagierten Team von Fachexperten erhalten Sie alles, was Sie brauchen, um sich ab sofort keine Sorgen mehr bezüglich der Sicherheit Ihrer Patientendaten zu machen.

Hintergrund: Gesetzliche Regelungen 

Datenschutz, das ist der Schutz der Menschen, deren Daten erhoben und verarbeitet werden, gemäß dem Grundsatz, sie selbst entscheiden zu lassen wer was wissen darf. Eigentlich ganz einfach, möchte man meinen und doch steckt ein sehr komplexes Themengebiet dahinter, das durch zahlreiche Gesetze geregelt wird. 

In Deutschland ist es das Bundesdatenschutzgesetz (BDSG). In anderen Ländern regeln eigene Gesetze den Schutz personenbezogener Daten: in den USA ist dies der Health Insurance Portability and Accountability Act (HIPAA), in den Niederlanden der Wet Bescherming Persoonsgegevens (Datenschutzgesetz) und im Vereinigten Königreich der Data Protection Act.

Im Mai 2018 trat die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie löste nationale Gesetze ab und regelt seither den Datenschutz der EU-Bürger und schafft einen einheitlichen rechtlichen Standard. Die DSGVO gilt für Unternehmen und Einrichtungen innerhalb und außerhalb der EU, die Daten von EU-Bürgern verwalten. Das bedeutet mehr Rechte für EU-Bürger, höhere Auflagen für Unternehmen und schärfere Sanktionen bei Datenschutzverstößen. Bei Fehlverhalten drohen Strafen in Millionenhöhe – auch für medizinische Einrichtungen. Zudem gibt es eine Vielzahl an branchenspezifischen Compliance-Verordnungen und unternehmensindividuellen Regeln, an die es sich zu halten gilt.