datenschutz und datensicherheit – eine conditio sine qua ... · regelmäßige umfrage im modul...

+

THM Datenschutztag 2016

Datenschutz und Datensicherheit –eine conditio sine qua non

im Curriculum Medizinische Informatik an der THM

Prof. Thomas Friedl


+Medizinische InformatikKlassische Definition

Die Medizinische Informatik beschäftigt sich mit der Analyse, Interpretation und Verarbeitung von Informationen im Bereich der Medizin und des Gesundheitswesens

Prof. Thomas Friedl

2


+Medizinische InformatikKlassische Definition

Die Medizinische Informatik beschäftigt sich mit der Analyse, Interpretation und Verarbeitung von Informationen im Bereich der Medizin und des Gesundheitswesens

Prof. Thomas Friedl

3


+

Volkszählungsurteil vom 15.12.1983 (Informationelle Selbstbestimmung)

Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen. Dies beeinträchtige ....

...„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“

https://www.bfdi.bund.de/bfdi_wiki/index.php/Informationelle_Selbstbestimmung

Medizinische InformatikBezug zum Datenschutz

Prof. Thomas Friedl

4


+

Volkszählungsurteil vom 15.12.1983 (Informationelle Selbstbestimmung)

Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen. Dies beeinträchtige ....

...„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“

https://www.bfdi.bund.de/bfdi_wiki/index.php/Informationelle_Selbstbestimmung

Medizinische InformatikBezug zum Datenschutz

Prof. Thomas Friedl

5


+

Bundesdatenschutzgesetz§ 1 Zweck und Anwendungsbereich des Gesetzes

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch1. öffentliche Stellen des Bundes,2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

a) Bundesrecht ausführen oderb) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten

handelt,3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten,

nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(5) ...

Medizinische InformatikGrundlagen Datenschutz

Prof. Thomas Friedl

6


+

Strafgesetzbuch§ 203 Verletzung von Privatgeheimnissen

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,

2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten

Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,

4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist.

4a. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,

5. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung

oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.


Prof. Thomas Friedl

7


+

Strafgesetzbuch§ 203 Verletzung von Privatgeheimnissen

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,

2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten

Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,

4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist.

4a. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,

5. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung

oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.


Prof. Thomas Friedl

8


+ Studieninhalte der Medizinischen Informatikmit Bezug zum Thema Datenschutz und zur Datensicherheit

Prof. Thomas Friedl

9


+Das Medizinische Potential der 3D-Drucker

n c

Prof. Thomas Friedl

10


+

Prof. Thomas Friedl

11

Wahlpflichtmodule der Medizinischen Informatikmit Bezug zum Thema Datenschutz und zur Datensicherheit


+Medizinische InformatikVorkenntnisse der Kommilitonen

Prof. Thomas Friedl

12

Ein Blick in die hessischen Lehrpläne für die Sekundar-stufe und die gymnasiale Oberstufe zum Thema DuD:

n Politik und Wirtschaft è kein Hinweis

n Informatik è 5 (randständige) Hinweise auf 35 Seiten

n Rechtskunde è Recht ausführlich (Angebot eher selten)


+Medizinische InformatikVerhalten und Endgeräte der Kommilitonen

Prof. Thomas Friedl

13

Regelmäßige Umfrage im Modul DuD

n Nahezu jede(r) hat ein Smartphone und ein Notebook

n Nahezu keine(r) führt regelhaft Backups durch

n Nahezu jede(r) nutzt WhatsApp und FaceBook

n Threema ist immerhin bekannt

n Heise oder c‘t ist eher unbekannt


+Medizinische InformatikVersuch der Sensibilisierung der Kommilitonen

Prof. Thomas Friedl

14

n Wer ist Edward Snowden?

Oder Bilder von der CeBIT 2015, die zu denken geben sollten ....



Prof. Thomas Friedl

15

n Was ist Verschlüsselungn Mailverschlüsselungn SSL Serververschlüsselung

n Instant Messaging

n Was versuchen Geheimdienste (NSA, etc. ..)Erläuterungen – Berichte – Filme (z.B.)

+


Teleradiologie

Prof. Thomas Friedl

1 www.klinikum.uni-heidelberg.de/.../mrt.jpg . ²www.conferences.medicexchange.com

Radiologischer Befundungsarbeitsplatz an anderem Ort²Magnetresonanztomograph (MRT)1

Gesicherte Verbindung


+Kardiologie/Telekardiologie

17

Patient1 Telemedizinisches Zentrum Düsseldorf PHTS1

Architektur: J.Fleck, H.Korb, Fernabfrage implantierter Defibrillatoren.-der Housecall-Telemedizin-Service; Telemedizinführer 2008; 151-154

Übermittlung 12-Kanal EKG

Prof. Thomas Friedl



Prof. Thomas Friedl

18

n Was ist VerschlüsselungOhne Verschlüsselung sollte im modernen Gesundheitswesen nichts mehr elektronisch kommuniziert werden!

Regelmäßig wird dazu eine Übung im Modul DuD durchgeführt.

Mozilla Thunderbird Apple iOS Mail



Prof. Thomas Friedl

19

n Was ist VerschlüsselungOhne Verschlüsselung darf im modernen Gesundheitswesen nichts mehr elektronisch kommuniziert werden!

Regelmäßig wird dazu eine Übung im Modul DuD durchgeführt.

Mozilla Thunderbird Apple iOS Mail


+Medizinische InformatikEinige Buzzwords ...

Prof. Thomas Friedl

20

... die wir immer wieder in den Modulen an Beispielen erläutern.

Rollen-Rechte-Konzept – privacy by design – OH KIS – TOM –

elektronische Gesundheitskarte – Vorratsdatenspeicherung –

wissenschaftliche Studien – Penetrationstests –

Auftragsdatenverarbeitung – Wissen und Besitz –

eHealth Gesetz – KV Safenet – Telematik Infrastruktur – Big Data

– Profilbildung – Wearables ......


+Medizinische InformatikPraktische Beispiele

Prof. Thomas Friedl

21

Regelmäßige Umfrage im Modul DuD

n Nahezu jede(r) hat ein Smartphone und ein Notebook

n Nahezu keine(r) führt regelhaft Backups durch

n Nahezu jede(r) nutzt WhatsApp und FaceBook

n Threema ist immerhin bekannt

n Heise oder c‘t ist eher unbekannt


+ Medizinische InformatikPraktische Beispiele – sichere Kommunikation med. Daten

Prof. Thomas Friedl

22

Sichere Kommunikation medizinischer DatenTradierte Kommunikation von Patientendaten ist (fast ausschließlich) geprägt von:

Schlechter Performance – Medienbrüchen – hohen Kosten

è Sachstand:

• Die notwendigen Funktionen der Telematik Infrastruktur aus dem Projekt der elektronischen Gesundheitskarte stehen nicht vor 20?? flächendeckend zur Verfügung.è aktuell und schon immer ein Desaster im Projektmanagement

• Schrumpfende pflegerische und ärztliche Ressourcen verlangen nach einer sofortigen Lösung.

• Die medizinische Versorgung vor allem in ländlichen Regionen ist eher suboptimal.

• Verschiedene Gesetze und Androhungen von Ersatzvornahmen haben an der „seit Jahren gegenwärtigen“ Situation nichts geändert.



Prof. Thomas Friedl

23

Wer kommuniziert im Gesundheitswesen miteinander?

Pflege

Hausarzt

KassenFacharzt

Behörde

Kliniken

Apotheke

Psychoth.

Physioth.

Seniorenheime

Reha

Med. Hilfsmittel

...

Ganzviele!

ca.390.000Personen inHessenarbeiteten2012 imGesundheitswesenQuelle:Arbeitsgruppe Gesundheitsokonomische Gesamtrechnungen derLander

Medizin-geräte!!



Prof. Thomas Friedl

24

PortalinderTHMFBGesundheit

Zahnärzte Ärzte, Pflege, Kasse, Apotheke, Psychth., .....

Priv. Schlüssel

Öffentl. Schlüssel aller PKI Teilnehmer

Root KeyTHM PKISchlüssel

Verwaltung/Speicher

1. Beteiligter im Gesundheits-wesen beantragt in einem Portal der THM ein „fortgeschrittenes Zertifikat“ aus der hessischen Gesundheits PKI für die elektronische Kommunikation

2. Gesundheits PKI prüft den Antrag und gibt die Produktion des Schlüsselpaares frei

3. Im Portal wird dieses erzeugt durch den so genannten Root Key der THM signiert

4. Der private Schlüssel wird dem Antragsteller zum sicheren Download bereit gestellt.Die öffentlichen Schlüssel aller PKI Teilnehmer wird im Portal für alle sichtbar und zum Download eingestellt.

Prinzip zum Aufbau DER hessischen Gesundheits PKI

in der TH Mittelhessen.

è Für ALLE, die an der Gesundheitsversorgung

teilnehmen.

Hessische Gesundheits PKI

Aufbau der hessischen Gesundheits PKI


+ Medizinische InformatikPraktische Beispiele – sichere analoge und digitale Dokumente

Prof. Thomas Friedl

25

SecuDokDIE patentierte Lösung

für fälschungssichere digitale UND analoge Dokumente



Prof. Thomas Friedl

26

Ausgangslage

Wer kennt und erkennt alle Siegel, Stempel oder Unterschriften in Dokumenten?

Bisher wird nach Anschein Dokumenten vertraut, die diese Insignien der Gültigkeit tragen.



Prof. Thomas Friedl

27

Welches Ziel wird mit dem neuen Ansatz verfolgt ?Ein Nachweis, ob digitale oder analoge Dokumente verändert / gefälscht wurden oder nicht

Was benötigt man dafür: Internet

PCs oder Tablets bzw. Smartphones

sowie Dokumente, deren Inhalte in Datenbanken des Dokumentenherausgebers gespeichert sind

Bsp.: Schulzeugnisse, Urkunden, Ausweisdokumente, Zertifikate, Frachtpapiere, Rezepte, med. Gutachten, Sondermülldokumente ...



Prof. Thomas Friedl

28

Einfaches Beispiel – Mitgliedsbescheinigung Ärztekammer(kann von jedem Mitglied im persönlichen Kammer-Portal erstellt werden)



Prof. Thomas Friedl

29

Darstellung zur Prüfung auf Echtheit eines Dokumentes am Beispiel eines Fahrzeugscheins

Fahrzeug -schein fürPeter Lustig

Opel Astra

Internet https://......

4

Root Web-Service VertrauensstelleNimmt Anfragen zu dieser ID aus dem Internet entgegen und leitet diese an das entsprechende Unternehmen, welches das Dokument erstellt haben soll, zur Prüfung weiter, sofern die DokID-Präfix bekannt ist.

DokID-Präfix: 2764444441Web-Service ZulassungsstelleNimmt Anfragen von dem Root Web Service entgegen und sendet die Antwort aus der Referenztabelle direkt an den Polizisten

2764444441ABCD1234567FFE3...1 2

3

Beispiel Referenztabelle in der Zulassungsstelle Wetzlar (UID:2764444441)

276444444HDJ84ggH… Sonderfahrterlau. LDK-A-32 Spedition Kern

DokID Doktyp Feld1 Feld2 Feld 3 ..

: : : : :

Fahrzeugschein Lustig Peter Opel Astra2764444441ABCD1234567FFE3 ….

Datenbank des Unternehmens 2764444441

Polizist scannt per Smartphone APP einen Fahrzeugschein

Fahrzeugschein Lustig Peter Opel Astra


+Medizinische InformatikPraktische Beispiele – optimierte Kommunikation über Sektorengrenzen

Prof. Thomas Friedl

30

Ereignis tritt ein

Anruf in LeitstelleLeitstelle erfasst

Daten und beauftragt RTW

NEF Besatzung versorgt und

fährt Patienten in die Klinik

Stammdaten-erhebung mittels eGK und NIDA-PAD von MedDV

Vitaldatenerfassung mittels NIDA-

PAD

Zu Hause / Angehörige

Rettungs-dienst

Akutkranken-haus

Reha-einrichtung

Hausarzt / mobile Reha

Zu Hause /Angehörige

Übernahme Patient sowie mündliche

Übermittlung von Vitaldaten und ...

Übernahme DIVI Protokoll in Papierform

Anamnese –Diagnose –Behandlung

Entlassung und Erstellung von

Arzt-/Entlassbrief

Übernahme Patient

Daten werden aggrgiert in

Papierform aus dem Arzt- oder

Entlassbrief übernommen

Rehabehandlung


Arzt-/Entlassbrief

Info bzgl. des Patienten, einer evtl. Medikation und den weiteren Maßnahmen

mittels Entlassbrief

Grober Ablauf vom Eintritt eines „Ereignisses“ bis zur Gesundung bzw. zur Betreuung



Prof. Thomas Friedl

31

Grober Ablauf vom Eintritt eines „Ereignisses“ bis zur Gesundung bzw. zur Betreuung

Ereignis tritt ein

Anruf in LeitstelleLeitstelle erfasst

Daten und beauftragt RTW

NEF Besatzung versorgt und

fährt Patienten in die Klinik

Stammdaten-erhebung mittels eGK und NIDA-PAD von MedDV

Vitaldatenerfassung mittels NIDA-

PAD


Rettungs-dienst

Akutkranken-haus

Reha-einrichtung



Übernahme Patient sowie mündliche

Übermittlung von Vitaldaten und ...

Übernahme DIVI Protokoll in Papierform

Anamnese –Diagnose –Behandlung


Arzt-/Entlassbrief

Übernahme Patient

Daten werden aggrgiert in

Papierform aus dem Arzt- oder

Entlassbrief übernommen

Rehabehandlung


Arzt-/Entlassbrief

Info bzgl. des Patienten, einer evtl. Medikation und den weiteren Maßnahmen

mittels Entlassbrief

Datenbe- und verarbeitunglokal und mit Medienbrüchen



Prof. Thomas Friedl

32

Parallel notwendige Zugriffsmöglichkeiten auf die Patientendaten während und nach einem Ereignis

(Vorhandene) sichere Datenplattform außerhalb eines KIS / PVS


Rettungs-dienst

Akutkranken-haus

Reha-einrichtung



Patientendatensatz (id Krankenkasse)Patientendatensatz (id Krankenkasse)Patientendatensatz (id Krankenkasse)

Patientendatensatz (id Krankenkasse)

Patientendatensatz (id Krankenkasse)

Patientendatensatz (id z.B. Krankenkasse (alternativ ....)

Max Muster [Daten Rettungsdienst] [Daten Akutkrankenhaus] Daten [Reha] [Haus-/Facharzt [Daten mobile Pflege / Angehörige]

Telemedizinische Plattform für Reha Maßnahmen

Zustimmung Patient

KIS / PVS Synchronisation

Berechtigungen

Welche Daten

Anpassung Nida PAD

Anpassung Datenplattform

Pragmatischer Datenschutz

..... weitere .....

U.a. zu klären:


+Medizinische InformatikPraktische Beispiele – dezentrale Patientendatenspeicherung

Prof. Thomas Friedl

33

Ganz aktuell: Pflegedokumentation und persönliche PatientenakteVorspann:



Prof. Thomas Friedl

34




Prof. Thomas Friedl

35




Prof. Thomas Friedl

36

Ganz aktuell: Pflegedokumentation und persönliche Gesundheitsdaten (Akte)Aktueller Sachstand:


+ Medizinische InformatikDatenschutz und Datensicherheit – eine conditio sine qua non

Prof. Thomas Friedl

37

Ein innovativer Studiengang im Fachbereich Gesundheit

Schutz medizinischer DatenMade in Hessen

datenschutz und datensicherheit – eine conditio sine qua ... · regelmäßige umfrage im modul...

Documents