Datenschutz und Datensicherheit bei Teilnahme an der Teleradiologie
von Prof. Dr. Thomas Jäschke, Leiter Institut für Sicherheit und Datenschutz im Gesundheitswesen und Vorstand Datatree AG
Das Thema Datenschutz beschäftigt Radiologen nicht erst seit der jüngsten Berichterstattung über Datenlecks in Zusammenhang mit radiologischen Bilddaten oder dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018, die zunächst eher für Verunsicherung gesorgt hatte als diese zu beseitigen. Der Beitrag strukturiert das Thema Datenschutz, zeigt sinnvolle Wege zu einem höheren Datenschutz-Niveau und beleuchtet konkret, welche Maßnahmen die Teilnehmer der genehmigten Teleradiologie ergreifen sollten.
Informationssicherheit, Datenschutz und IT-Sicherheit
Für Radiologen, die so viele Ressourcen wie möglich auf ihre Kerntätigkeiten bündeln möchten, sind Themen wie
- Informationssicherheit,
- Datenschutz und
- IT-Sicherheit
häufig nichts anderes als Kostenstellen und „Verhinderer“ eines reibungslosen Tagesgeschäfts.
Doch was steckt eigentlich genau hinter diesen Begrifflichkeiten, die nach dem Inkrafttreten der DS-GVO im Rahmen der medialen Berichterstattung häufig unsauber abgegrenzt wurden?
Informationssicherheit
Informationssicherheit bezeichnet den Schutz jeglicher Unternehmenswerte (auch: Assets), die sowohl analog als auch digital existieren können. In ihrer Definition finden sich schnell Schnittmengen zur IT-Sicherheit, die ausschließlich die Sicherheits- und Schutzmaßnahmen von IT-Systemen bezeichnet. Insbesondere die Betrachtung von Unternehmen und Institutionen, die laut IT-Sicherheitsgesetz zu den Kritischen Infrastrukturen (KRITIS) zählen, verdeutlichen, welche Anforderungen Unternehmen erfüllen sollten oder müssen. Dazu zählen eine strukturierte Vorgehensweise, ein Informationssicherheitsmanagementsystem (ISMS) und ggf. auch die Installation einer Stabsstelle für einen Informationssicherheitsbeauftragen (ISB).
Datenschutz
Der Datenschutz ist zentraler Bestandteil der Informationssicherheit.
Enger gefasst: Der Datenschutz befasst sich mit dem Schutz von personenbezogenen Daten. Dies betrifft u. a. Gesundheitsdaten, die bekanntermaßen einem besonders hohen Schutzbedarf unterliegen. Hier sind insbesondere die einschlägigen Gesetze grundlegend zu beachten. Auf der einen Seite, die seit 25.05.2018 umzusetzende DS-GVO, aber auch die besonderen Gesetze, wie Gesundheitsdatenschutzgesetze, Landesdatenschutzgesetze, Strafgesetzbuch oder Regelungen, Datenschutzgesetze der kirchlichen Träger usw. Dazu kommen die Regelungen der ePrivacy-Verordnung, welche ursprünglich auch zum 25.05.2018 in Kraft treten sollten, die jedoch aktuell nicht vor 2021 zu erwarten ist. Diese Verordnung, die anders als die ePrivacy-Richtlinie von 2002 mit Inkrafttreten sofort geltendes Recht innerhalb der EU-Mitgliedsstaaten darstellt, beschäftigt sich vor allem mit dem Schutz der Daten in der elektronischen Kommunikation.
IT-Sicherheit
Genau wie der Datenschutz handelt es sich bei der IT-Sicherheit begrifflich um einen Teil der Informationssicherheit, der sich mit dem Schutz und Sicherheit von IT-Systemen befasst.
Ihre To-Dos für die Teleradiologie
Aufgrund der Heterogenität von Schnittstellen und komplexer Vorgänge zur Datenübertragung innerhalb der teleradiologischen Möglichkeiten ist die datenschutzrechtliche Betrachtung in Fällen außerhalb des Standards stets auf den Einzelfall zu betrachten. Grundsätzlich existieren allerdings Rahmenbedingungen innerhalb der „genehmigten“ Teleradiologie, die bereits gemäß der DS-GVO umgesetzt wurden. Damit sind die Teilnehmer der Teleradiologie bzw. des Telekonsils bei radiologischen Fragestellungen in Deutschland, vergleichsweise gut aufgestellt. Das liegt u. a. daran, dass der Ablauf sowie die Verantwortlichkeiten in §123 StrlSchV sowie § 14 StrlSchG grundsätzlich geregelt sind. Dennoch gilt es, zusätzliche organisatorische Rahmenbedingungen zu erfüllen.
Erstellen und Führen des Verzeichnisses von Verarbeitungstätigkeiten
Der Prozess der Teleradiologie ist im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DS-GVO aufzunehmen. Beim Einsatz von Teleradiologie ist im VVT darauf zu achten, ob
- die Teleradiologie angeboten oder
- in Anspruch genommen wird.
Diese beiden Fälle können unter Umständen zwei unterschiedliche Verarbeitungstätigkeiten darstellen. Für das Verzeichnis von Verarbeitungstätigkeiten existieren vielzählige Vorlagen und Muster, an denen Sie sich orientieren können. Ebenfalls stellt die Datenschutzkonferenz das Kurzpapier Nr.1 zur Verfügung, welches eine Orientierungshilfe bei der Erstellung eines VVT bietet. Wenn Sie die Teleradiologie in Anspruch nehmen, sprich die Daten an andere Radiologen übermitteln, ist dies in der Information zum Datenschutz gem. Art. 13 DS-GVO aufzunehmen. Die Information über die Datenerhebung muss vor der Datenerhebung durch den Verantwortlichen (Arzt) erfolgen. Sollten Sie die Teleradiologie in Anspruch nehmen, müssen Sie die Empfängergruppe in Ihrer Information zum Datenschutz um den Teleradiologen ergänzen.
Falls Sie Teleradiologie anbieten, d. h., Sie empfangen und befunden teleradiologische Daten, müssen Sie die Herkunft (Datenquelle) ergänzen.
Gewährleistung der Sicherheit und verschlüsselte Kommunikation
Nach Art. 32 DS-GVO ist die Sicherheit der Kommunikation zu gewährleisten. Für Teilnehmer der Teleradiologie gilt, dass bei der Verwendung der DICOM-E-Mail oder eines VPN-Zugriffs die Datensicherheit während der Übermittlung durch eine Ende-zu-Ende-Verschlüsselung gegeben ist. Bei der Verwendung von anderen Verfahren ist die Sicherheit bei der Übermittlung individuell zu prüfen. Eine unberechtigte Offenbarung kann ggf. in den Praxen an ungesperrten oder ungesicherten Rechnern passieren.
|
Merke |
|
Bei der richtigen Konfiguration der DICOM-E-Mail bzw. des VPN-Zugriffs durch Ihren IT-Dienstleister sind keine weiteren Maßnahmen notwendig. Nutzen Sie eine individuelle Lösung, sollte diese durch einen Experten geprüft und dokumentiert werden. |
Auftragsverarbeitung
Sowohl die Befundung durch einen Teleradiologen sowie das Telekonsil sind keine Auftragsverarbeitung i. S. v. Art. 28 DS-GVO. Die Befundung von radiologischen Aufnahmen stellt eine ärztliche Leistung dar, welche dieser im Rahmen seiner Tätigkeit als Arzt weisungsfrei durchführt.
Ebenfalls stellt die Datenschutzkonferenz in ihrem Kurzpapier Nr. 13 zur Auftragsverarbeitung klar, dass die Inanspruchnahme von Berufsgeheimnisträgern (wie einem Arzt) keine Auftragsverarbeitung i. S. v. Art. 28 DS-GVO ist.
|
Praxistipp |
|
Werden Ihnen von Kollegen in Zusammenhang mit der Teleradiologie Verträge zur Auftragsverarbeitung zur Unterschrift übermittelt, verweisen Sie auf die obige Argumentation und schließen Sie keinen Vertrag zur Auftragsverarbeitung für die Teleradiologie bzw. das Telekonsil bei radiologischen Fragestellungen ab. |
|
Fazit |
|
Die Teleradiologie ist ein Beispiel für gute Ansätze im Gesundheitswesen. Nichtsdestotrotz ist das Bewusstsein für Datenschutz und Informationssicherheit innerhalb von Gesamtstrategien oft noch zu gering betrachtet. Wenn wichtige Aspekte innerhalb dieser Themen erst im Laufe des Projekts identifiziert werden, ggf. vom Datenschutzbeauftragten der Institution, als datenschutzrechtlich nicht akzeptabel bewertet werden, so entstehen im Nachhinein Probleme innerhalb des Projekts. Werden diese nämlich zu spät berücksichtigt, dann wird es im Grunde schlecht oder teuer: oder beides. |
Weiterführender Hinweis
- Kurzpapiere der Datenschutzkonferenz online unter iww.de/s3109