Más contenido relacionado Similar a SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzverletzungen (20) Más de Swiss eHealth Forum (20) SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzverletzungen 1. MIT EINEM BEIN IM GEFÄNGNIS?
GRAVIERENDE FOLGEN BEI
DATSCHENSCHUTZVERLETZUNGEN
Dr. med. Georg Sasse
Facharzt für Rechtsmedizin FMH
Leitender Arzt medizinischer Rechtsdienst, Haftpflicht , Datenschutz und Risikomanagement
Kantonsspital Aarau AG
Donnerstag, 5. März 2015, Swiss eHealth Forum, Bern
2. Betrachtungen von Datenschutzverletzungen
aus forensischer Sicht
Die Tat:
• Täterschaft
• Opfer
• Motive
• Rechtliche und persönliche Konsequenzen
Die Prävention:
• Pflichten der Einzelnen
• Pflichten der Organisationen
• Notwendigkeiten in der Gesetzgebung
• Notwendigkeit der Strafverfolgung
© Dr. med. Georg Sasse, KSA AG
3. Datenschutzverletzungen in einem Zentrumsspital
Täterschaft:
Datenschutzverletzungen werden beobachtet:
• Seitens des klinischen Personals (Einzelfälle)
• Seitens der Forschungsaktivitäten (Patientengruppen)
• Seitens der Verwaltung (Mitarbeiter und Patienten)
• Seitens der IT-Verantwortlichen (Datenbanken)
• Seitens externer Supportdienste (Datenbanken)
• Angriffe Dritter (Datenbanken, Big Data)
© Dr. med. Georg Sasse, KSA AG
4. Häufigkeiten
Die Mitarbeiter in Spitälern sind in punkto
Datenschutzverletzungen:
sowohl die häufigsten Täter wie auch
die häufigsten Opfer
© Dr. med. Georg Sasse, KSA AG
5. Datenschutzverletzungen in einem Zentrumsspital
Mögliche Motive:
• «Neugierde» bzgl. Kollegen und Bekannten
• «Geld» Verkauf von VIP-Informationen an die Medien
• «Geld» Verkauf von Gesundheitsdaten an Medizintechnik-Hersteller
und Versicherungen
• «Faulheit, Pragmatismus» Einwilligungen werden nicht
abgeholt, Betriebsnormen werden nicht eingehalten,
• «Überwachung, Sicherheit» bzgl. Mitarbeiter, Patienten und
Besucher
• «Schädigung» Sabotage auf Infrastruktur durch Staaten,
Wettbewerber und Kriminelle
• «ohne» Fahrlässigkeit
© Dr. med. Georg Sasse, KSA AG
6. Strafbestimmungen im DSG und StGB
• DSG: 7. Abschnitt Strafbestimmungen
Mit Busse werden private Personen auf Antrag bestraft, die
vorsätzlich Datenschutzpflichten verletzen.
• StGB Art 321:Verletzung des Berufsgeheimnisses
Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach
Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Ärzte,
Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen
sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen
infolge ihres Berufes anvertraut worden ist oder das sie in dessen
Ausübung wahrgenommen haben, werden, auf Antrag, mit
Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Ebenso werden Studierende bestraft, die ein Geheimnis offenbaren,
das sie bei ihrem Studium wahrnehmen.
Die Verletzung des Berufsgeheimnisses ist auch nach Beendigung der
Berufsausübung oder der Studien strafbar.
© Dr. med. Georg Sasse, KSA AG
7. © Dr. med. Georg Sasse, KSA AG
…mit zum Teil grauenhaften Folgen für Täter…
Screenshots: Blick online
© Dr. med. Georg Sasse, KSA AG
8. © Dr. med. Georg Sasse, KSA AG
…oder für die Spitäler
Screenshot: Tagblatt online
© Dr. med. Georg Sasse, KSA AG
9. Zivilrechtliche Folgen bei Datenschutzverstössen
Entsteht dem von einem Datenschutzverstoss Betroffenen
einen materieller oder immaterieller Schaden, so steht ihm
die Geltendmachung von Schadensersatz (oder bei
immateriellen Schäden gemeinhin Genugtuung genannt)
aus mehreren Ansprüchen offen.
Neben dem grundsätzlich entstandenem immatriellen
Schaden (Persönlichkeitsrechtsverletzung) ist es häufig
nicht ganz einfach, den materiellen Schaden zu beziffern.
Dies kann besonders dann gelingen, wenn durch die
Datenschutzverletzungen z.B. der Abschluss von
Versicherungen verweigert wird oder aber die Prämien
höher sind, sowie andere vertragliche Nachteile
© Dr. med. Georg Sasse, KSA AG
10. Grösster Kostenblock: Vorkehrungen
IBM:
Datenschutzverletzungen gehören zu den häufigsten
und kostspieligsten Sicherheitsproblemen in
Unternehmen unabhängig von ihrer Grösse. Studien
zeigen, dass Unternehmen durchschnittlich zwei Millionen
Mal pro Woche Opfer von Angriffen werden, von denen ein
grosser Teil zu nicht unerheblichen
Datenschutzverletzungen führt. Dadurch, dass sich Daten
zwischen Unternehmensnetzwerken, mobilen Geräten und
der Cloud frei bewegen, nimmt dieser Trend in
beunruhigendem Masse zu
© Dr. med. Georg Sasse, KSA AG
11. Prävention
Die Datensicherheit ist ein zentraler Diskussionspunkt und
wird derzeit nahezu überall stark thematisiert.
Insbesondere werden auf technischer und normativer
Ebene massive Vorkehrungen getroffen um die
Datensicherheit zu erhöhen.
Auffallend ist jedoch, dass auf Seiten der User wenig
Wissen über die technischen und normativen
Notwendigkeiten zum Datenschutz vorhanden ist. Der
Schulungsaspekt wird häufig stark vernachlässigt.
Die am häufigsten angegriffene Datenschutzverletzung
in einem Spital ist aber die «persönliche Tat» des Users.
© Dr. med. Georg Sasse, KSA AG
12. It's the User, Stupid!
Spitäler scheuen häufig den Aufwand und die Kosten, um Ihre Mitarbeiter
im korrekten Umgang mit dem Datenschutz zu schulen. Dieser Umstand
ist geschuldet:
• der grossen Menge der Mitarbeiter,
• der grossen Fluktuation der Mitarbeiter
• der Unmöglichkeit grosse Mengen von Mitarbeitern gleichzeitig zu
schulen
• der fehlenden Kontrolle, ob die Mitarbeiterschulungen durchgeführt und
abgeschlossen wurden
• der Notwendig der quasi permanenten Schulung und Anpassung
• der (fälschlicher Weise) erwarteten immensen Kosten
Obgleich die Schulung des Endusers mit das Wichtigste ist.
Ohne Schulung des Endusers nützten die besten Vorkehrungen auf
technischer und normativer Seite NICHTS!
© Dr. med. Georg Sasse, KSA AG
13. Lösungsmöglichkeiten
Ein eLearning Tool zum Thema Datenschutz gibt die
Möglichkeit:
• Häufige, repetitive Schulungen ohne grossen Aufwand
durchzuführen.
• Unabhängig von Zeit und Ort jeden einzelnen Mitarbeiter
zu schulen.
• Den Lerneffekt konkret zu messen
• Die Schulungsqualität permanent hoch zu halten
• Die Schulung zu repetieren
und damit den Schulungsverpflichtungen seitens Spital
dem Arbeitgeber nachzukommen.
© Dr. med. Georg Sasse, KSA AG
14. Verschiedene Bedürfnisse der Anwendergruppen
Um verschiedenen Bedürfnissen der Anwendergruppen
gerecht zu werden empfiehlt es sich, eine mehrstufige
Schulung aufzubauen.
So wurde ein Schulungskurs erstellt, der sich aus einem:
• Basiskurs und einem
• Vertiefungskurs
zusammensetzt.
© Dr. med. Georg Sasse, KSA AG
15. Basismodul Patientengeheimnis
Inhalt des Basismoduls Patientengeheimnis
• Grund des Schutzes von Patientendaten
• Inhalte des Patientengeheimnisses
• Akteneinsichtsrechte und Auskunftsrechte
• Gründe der Verweigerung der Akteneinsicht
• Möglichkeiten Krankengeschichte zu berichtigen,
ergänzen oder zu löschen
• Herausgabe der Krankengeschichte
• Krankengeschichte nach dem Tod des Patienten
Dauer
Diese Lerneinheit dauert ca. 30 Minuten.
© Dr. med. Georg Sasse, KSA AG
16. Vertiefungsmodul Patientengeheimnis
Inhalt des Vertiefungsmoduls Patientengeheimnis
• Bearbeitung von Patientendaten.
• Allgemeiner Umgang und Verhalten in Bezug auf die Krankengeschichte/Patientendaten
• der Bedeutung der Einwilligung des Patienten
• Datenweitergabe an:
•Nachbehandelnde Ärzte und Therapeuten
•Nächste Angehörige oder gesetzliche Vertreter
•Krankenkasse, Unfall- oder Sozialversicherung
•Kollegen im Rahmen von Lehre und Forschung
•Die Öffentlichkeit
•Entbindungsmöglichkeiten von der Schweigepflicht
•geregelte und nur teilweise geregelte Meldepflichten und -rechte
Dauer:
Die Lerndauer variiert mit den Themenbereichen, die Sie zur Durcharbeitung auswählen.
Jeder Themenbereich dauert 20 bis 30 Minuten. Sie haben also eine maximale Lernzeit
von 1,5 Stunden.
© Dr. med. Georg Sasse, KSA AG
17. Weitere Aufgaben in der Gesetzgebung
• Die Rolle der Datenbearbeiter (vor allem IT) muss geklärt
werden.
• Supportmitarbeiter sollten stärker der gesetzlichen
Schweigepflicht unterstellt werden.
• Die Strafbestimmungen sollten überprüft werden
• Verpflichtende Datenschutz Audits?
• Überprüfung des Schulungsaufwandes der Arbeitgeber
© Dr. med. Georg Sasse, KSA AG
18. VIELEN DANK FÜR IHRE
AUFMERKSAMKEIT
Fragen?
Dr. med. Georg Sasse
Kantonsspital Aarau, Postfach 5001 Aarau
georg.sasse@ksa.ch
Tel: 062 8386948
© Dr. med. Georg Sasse, KSA AG