KIS-RIS-PACS

EU-Datenschutz-Grundverordnung: „Umfassende Gesetzesänderung gibt es nicht zum Nulltarif“

Die voranschreitende Digitalisierung bringt nicht nur technische Innovationen mit sich. Sie erfordert auch grundlegende Neuregelungen im Umgang mit ihnen, insbesondere, was den Datenschutz betrifft. Nachdem das IT-Sicherheitsgesetz und das eHealth-Gesetz in Kraft getreten sind, steht nun die EU-Datenschutz-Grundverordnung (DS-GVO) vor der Tür. Sie sieht weitestgehend die Vereinheitlichung des europäischen Datenschutzrechtes vor und soll den Anforderungen des digitalen Wandels Rechnung tragen. Im Juli 2018 wird sie voraussichtlich in Kraft treten. Was dies letztendlich für Unternehmen und Krankenhäuser im Kontext von KIS, RIS und PACS bedeutet, erläutert Dr. Bernd Schütze während des DICOM-Meetings 2016.

Interview: Melanie Günther

Dr. Bernd Schütze
Dr. Bernd Schütze
Quelle: Deutsche Telekom AG

Herr Dr. Schütze, wie wird sich die neue EU-Datenschutz-Grundverordnung auf das Gesundheitssystem im Allgemeinen auswirken?

Dr. Bernd Schütze: Im Großen und Ganzen ändert sich datenschutzrechtlich für Deutschland wenig. Das „Verbot mit Erlaubnisvorbehalt“ ist geblieben, die Grundsätze bezüglich Datenvermeidung und Datensparsamkeit sind geblieben, genauso wie die transparente Datenverarbeitung unter gleichzeitiger Beachtung der Rechte des Betroffenen.

Im Einzelnen gibt es natürlich Änderungen. Es ist fraglich, ob die faktische Anonymität, mit der in Deutschland gerade in der medizinischen Forschung viel gearbeitet wurde, weiterhin existiert. Faktisch anonyme Daten werden zukünftig wohl als pseudonym gelten, was wiederrum bedeutet, dass nun auch bei der Nutzung dieser Daten zu Forschung datenschutzrechtliche Aspekten beachtet werden müssen. Der nationale Gesetzgeber muss hier gegebenenfalls die in der DS-GVO vorgesehenen Öffnungsklauseln, also eine nationale Anpassungsmöglichkeit, nutzen und Erlaubnistatbestände schaffen, gerade im Bereich der genetischen Forschung und Big Data. Auch bei der Erforschung seltener Erkrankungen ist eine auf Einwilligung basierende Arbeit kaum möglich, da man eigentlich auf die Daten eines jeden betroffenen Patienten angewiesen ist und diese nicht ohne Einwilligung genutzt werden dürfen. Zielführender wäre ein nationaler Erlaubnistatbestand, welcher Forschung mit pseudonymisierten Datenbeständen erlaubt.

Kleinere Anpassungen sind im Bereich der datenschutzrechtlichen Einwilligung erfolgt, sodass hier die Formulare angepasst werden müssen. Auch die Vorgaben für Auftragsverarbeitungsverträge (ADV) ändern sich minimal, und so müssen die vorhandenen Verträge auf EU-Konformität überprüft und gegebenenfalls angepasst werden. Bei der Information des Patienten ist zusätzlich zu den heute schon bekannten Anforderungen jetzt auch die Speicherdauer zu berücksichtigen. Für die reine Patientenversorgung besteht aber kein großer Änderungsbedarf.

Was sind die wesentlichen Änderungen im Bereich KIS-RIS-PACS, die mit der EU-Datenschutz-Verordnung in Kraft treten?

Schütze: In erster Linie steht hier vermutlich die Überprüfung und – soweit erforderlich – die Anpassung der mit den Kunden abgeschlossenen ADV-Verträgen. Auch wenn letztlich der Kunde dafür verantwortlich ist, betrachten es die Hersteller als eine Service-Dienstleistung, hier dem Kunden so viel Arbeit wie möglich abzunehmen.

Die Sensibilität von Patientendaten ist nichts Neues. Von Anfang an war daher die Sicherheit der Patientendaten in medizinischen Informationssystemen im KIS-RIS-PACS-Umfeld ein zentrales Anliegen seitens der Hersteller und die Systeme sind entsprechend entwickelt worden. Dennoch müssen die Systeme natürlich mit den aus der DS-GVO resultierenden Anforderungen (z.B. Artt. 5, 25 und 32 DS-GVO) abgeglichen werden. Im Einzelfall kann es bei dieser Überprüfung sicherlich auch vorkommen, dass Systeme angepasst werden müssen.

Im Hinblick auf die Weiterentwicklung der IT-Systeme sind Hersteller auf die Nutzung von Echtdaten angewiesen, da nicht alle Fehlerquellen nur mit synthetischen, also künstlich erzeugten Daten beseitigt werden können. Bisher wurden dazu faktisch anonyme Daten verwendet. Ob diese Möglichkeit für die Zukunft noch besteht, ist aktuell nicht sicher. Fakt ist: Ohne Nutzung von Echtdaten ist eine kundenorientierte und qualitätsgesicherte Weiterentwicklung von IT-Systemen im KIS-RIS-PACS-Umfeld kaum möglich.

Was bedeutet die Änderung für Hersteller von KIS, RIS und PACS? Kann mit einem finanziellen Mehraufwand gerechnet werden?

Schütze: Ein finanzieller Mehraufwand entsteht selbstverständlich. Allein der Abgleich zwischen bestehender Gesetzgebung und kommender Gesetzgebung erfordert Ressourcen. Darunter fallen beispielsweise der Abgleich der Systeme und die Anpassung von Verträgen. Eine derartige umfassende Gesetzesänderung gibt es nicht zum Nulltarif. Zudem wurde der Gesundheitsbereich von der DS-GVO nahezu vollständig ungeregelt belassen. Jeder europäische Gesetzgeber muss hier nationale Regeln erlassen, die selbstverständlich kaum abgestimmt sind. Hersteller, die nicht nur in Deutschland tätig werden, müssen auch Anpassungen anderer nationaler Gesetzgeber berücksichtigen, was die Kosten natürlich vervielfacht.

Wie müssen in Zukunft persönliche Daten im Krankenhaus behandelt werden?

Schütze: Persönliche Daten müssen, wie jetzt auch, sicher und dem Arzt-Patienten-Verhältnis entsprechend angemessen vertrauensvoll behandelt werden.

Hinsichtlich der Organisationsprozesse werden sich in deutschen Kliniken sicherlich Änderungen ergeben. Der Datenschutzbeauftragte, der auch nach der DS-GVO für Krankenhäuser verpflichtend ist, hat künftig nicht mehr nur die Pflicht zur „Hinwirkung“ auf die Einhaltung der datenschutzrechtlichen Vorgaben. Er muss darüber hinaus die Einhaltung der Vorgaben „kontrollieren“ und so noch enger als bisher in die jeweiligen Prozesse eingebunden werden. Dies wird sicherlich eine Anpassung der heute vorhandenen Organisationsprozesse verlangen.

Die bereits angesprochenen Artikel 5, 25 und 32 werden die Aufmerksamkeit der Krankenhausleitung intensiv beanspruchen. Das betrifft vor allem die Datenverarbeitung. Ich bin mir nicht sicher, ob in allen Krankenhäusern die eingesetzte IT-Infrastruktur inklusive der Sicherheitsmaßnahmen dem in der DS-GVO geforderten Stand der Technik entspricht. Insgesamt bedeutet die DS-GVO somit sicherlich auch für die Krankenhäuser einen gewissen finanziellen Aufwand.

In einer Zusammenarbeit des Bundesverbandes Gesundheits-IT e.V. (Arbeitsgruppe Datenschutz), der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. sowie des Arbeitskreises „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ der Gesellschaft für Datenschutz und Datensicherheit e.V. entstand eine Ausarbeitung für Einrichtungen in der Gesundheitsversorgung, insbesondere auch für Krankenhäuser, die den Umgang mit der DS-GVO erleichtern soll. Zum DICOM-Treffen stehen die Ausarbeitung auf den Webseiten der Arbeitsgruppen und -kreisen bereits zur Verfügung.

PROFIL:

Herr Dr. Schütze studierte Informatik, Medizin und Jura. Zusätzlich absolvierte er eine Ausbildung als Medizin-Produkte-Integrator. Seit 1995 beschäftigt er sich mit den datenschutzrechtlichen Aspekten innerhalb der Gesundheitsversorgung. An der Ulmer Akademie für Datenschutz und IT-Sicherheit bildete er sich zum Datenschutzbeauftragten fort, beim TüV Süd schloss er die Ausbildung zum Datenschutz-Auditor ab.

Herr Dr. Schütze besitzt mehr als 10 Jahre klinische Erfahrung, ist seit über 20 Jahren mit Fragen zum IT-Einsatz in Krankenhäusern vertraut und weist mehr als 20 Jahre Erfahrung im Umgang mit Datenschutzfragen im Gesundheitswesen auf. Seit 01. Mai 2014 arbeitet Dr. Schütze bei der Deutschen Telekom Healthcare and Security Solutions GmbH als Senior Experte Medical Data Security.

14.06.2016

Mehr aktuelle Beiträge lesen

Verwandte Artikel

Photo

News • Digitalisierungsprojekt

Kooperation für voll digitales Patientenportal

Der IT-Spezialist i-Solutions Health und das Gesundheitsunternehmen Philips arbeiten bei der Entwicklung und Einführung eines Patientenportals für den medizinischen Leistungserbringer Med 360°…

Photo

Artikel •

Was Sie von Ihrem PACS erwarten sollten

In der Gesundheits-IT scheint ein wahrer Glaubenskrieg entfacht zu sein: Da stehen sich Generalisten und Spezialisten vehement gegenüber und proklamieren jeder für sich die IT-Landschaft in…

Artikel •

Größte Studie zur Usability von Krankenhaus-IT

Das Ziel einer Studie*, die vom Verband der Hersteller von IT-Lösungen im Gesundheitswesen veröffentlicht wurde, ist eine Statuserhebung zur Nutzbarkeit (Usability) von Krankenhaus-IT in…

Verwandte Produkte

Newsletter abonnieren