Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische...
Transcript of Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische...
Block V – Informationsmanagement, Compliance und
Standards im Gesundheitswesen
E-Health Grundlagen | Prof. Zarnekow | Block V
Modelle des Informationsmanagements - Beeinflussung
von Technologie- und Geschäftsphäre
Strategische
Planung
Informations-
technologie
Geschäfts-
planung
Informations-
system-
architektur*
Beeinflussung
Anpassung
Begrenzung Ableitung
Nutzer IT-Bereich
1 5
4
3
2
1 Ableitung der
Geschäftsplanung aus der
Strategischen Planung
Anpassung der
Informationssystemarchitektur
an die Geschäftsziele
Beeinflussung der
Unternehmensstrategie durch
Informationstechnologie
Begrenzung der
Technikoptionen
Strategische Ableitung der
Informationssystemarchitektur
2
3
4
5
*Informationssystemarchitektur:
Die IS-Architektur stellt Modelle und Standards
der Funktionen, der Daten, der Organisation und
der Kommunikation im Unternehmen zur
Verfügung.
Quelle: Krcmar (2010), S. 33
Problemorientierte Ansätze: EWIM Modell (Enterprise-wide Information Management)
Source Make Deliver Source
IT-Leistungserbringer IT-Leistungsabnehmer
Beschaffungs-
wirtschaft
Absatz-
wirtschaft
Produktions-
wirtschaft
Führung, Governance
Deliver Make
Strategische GesamtplanungPlan
Ab
sa
tzm
ark
t
Be
sc
ha
ffun
gs
ma
rkt
Beschaffungs-
wirtschaft
Absatz-
wirtschaft
Modelle des Informationsmanagements - Integriertes
Informationsmanagement (IIM)
Das Modell des Integrierten Informationsmanagements (IIM) beschreibt die zentralen
Funktionsbereiche eines IT-Dienstleisters
Philosophie: „Manage IT as a Business!“
Quelle: Zarnekow (2005), S. 68
eHealth Grundlagen / VL 5 / Informationsmanagement
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 4
Agenda
1. Geschäftsarchitekturen und Prozessmanagement
2. IT Governance & COBIT
3. IT Compliance & Gesetzliche Anforderungen (insb. auch an Betrieb von IT & Outsourcing)
Architekturen und Architekturmanagement - Ebenen und
Architekturen des Business Engineering Modells
Geschäftsarchitektur
Prozessarchitektur
Integrationsarchitektur
Applikationsarchitektur
Infrastrukturarchitektur
System
Prozess
Strategie
Quelle: Heutschi (2007)
eHealth Grundlagen / VL 5 / Informationsmanagement
Geschäftsstrategie
– Entscheidungen bzgl. der mittel- bis- langfristigen Entwicklung eines Unternehmens
– Bsp.: Positionierung im Wertschöpfungsnetzwerk und Festlegung der Marktleistungen
– Geschäftsarchitektur • legt die Grundsätze des Geschäfts fest und beschreibt auf der strategischen Ebene den
Gesamtzusammenhang der Leistungsverflechtung in einem Wertschöpfungsnetzwerk Geschäftsprozesse
– Setzen die strategischen Entscheidungen um
– Prozessarchitektur: • beschreibt den Gesamtzusammenhang der Leistungsentwicklung, der Leistungserstellung
und des Leistungsvertriebs
• Hilft, die Aufgabenverteilung und Abläufe innerhalb und zwischen Organisationen zu definieren und bestimmt die Leistungsfähigkeit von Prozessen bzgl. Effizienz, Kundennutzen etc.
Informationssystem – Unterstützt die Prozessebene informationstechnisch
– Systemarchitektur • überführt Entscheidungen auf Strategie- und Prozessebene in die Strukturierung von
Applikationen, Datensammlungen und Integrationsbeziehungen und umfasst die Gesamtheit der computergestützten Informationsverarbeitung innerhalb eines Unternehmens
Architekturen und Architekturmanagement - Ebenen und
Architekturen des Business Engineering Modells (2)
Quelle: Heutschi (2007) eHealth Grundlagen / VL 5 / Informationsmanagement
Kernprozesse Bereich A
9201 Auftrag 301 Aufträge
entgegennehmen
330 Aufträge
bearbeiten 331 Produkt ausliefern
Produkt 9301 Nutzung des
Produkts
320 Statistiken
erstellen
321 Statistiken
ausliefern Statistiken 9307 Statistiken
nutzen
Statistiksystem Statistiksystem Statistiksystem
Fachanw . 1
Geschäftsverwaltung Geschäftsverwaltung Geschäftsverwaltung
9210
Benutzererfahrungen
341
Erfahrungsaustausch
und Anforderungen
342 Produktions -
Anwendungen
betreiben
343 Partner schulen ,
beraten , unterstützen Produktionsmittel 9309 Produktionsmittel
nutzen
Internet Intranet Internet Intranet Internet Intranet Internet Intranet Internet Intranet
9217 Gesuch für
Dokument 381 Auftrag
entgegennehmen 382 Auftrag
bearbeiten ,
entscheiden
383 Dokumente
erstellen , zustellen 9315
Entgegennehmen Entscheid / Dokument
Fachanw . 1 Fachanw . 1 Schriftgut
Legacy - System 1
Legacy - System 1
9202
Informationsquellen
weltweit 345 Informationen
sammeln und
verwalten
346 Informationen
auswerten
347 Informationen zur
Verfügung stellen 9305 Informationen
nutzen
Infodokumente ,
Auswertungen
DMS DMS DMS
DMS
Prozessübersicht Bereich A
Firmenprozess (inbound/process/outbound) Wertschöpfung Nutzung extern Input extern
Architekturen & Architekturmanagement - Prozessarchitektur
Quelle: ITMC, Horgen, Schweiz
Architekturen und Architekturmanagement - Beispielhafte
Prozessarchitektur eines Krankenhauses
Quelle: Rohner, 2012
eHealth Grundlagen / VL 5 / Informationsmanagement
• Beschreibt die informationstechnischen Komponenten zur Unterstützung der Prozessarchitektur aus einer logischen, funktionalen Sicht
• Umfasst Anwendungssysteme, die Funktionen und Daten zur Unterstützung betrieblicher Aufgaben halten
Applikationsarchitektur
• Beschriebt die Kopplung verteilter Funktionen und Daten über Applikationen hinweg
• Bietet Middlewarekomponenten mit standard. Schnittstellen und Protokollen & unterstützt transparente Kommunikation zw. Applikationen
Integrationsarchitektur
• Umfasst Plattform- und Netzwerkkomponenten für den Betrieb von Middleware und Applikationen
Infrastrukturarchitektur
Architekturen und Architekturmanagement - Ebenen &
Architekturen des Business Engineering Modells
Quelle: Heutschi (2007) eHealth Grundlagen / VL 5 / Informationsmanagement
Architekturen und Architekturmanagement - Beispielhafter
Aufbau einer Infrastrukturarchitektur
Basisplattform
Enterprise Application Integration and Middleware
Applicationserver
Kommunikation und Collaboration
DBMS
OS
Storage
Network
Ma
na
ge
ment a
nd
Op
era
tio
ns
Se
cu
rity
En
viro
nm
ent
System- und
Sicherheitsarchitektur
IS 2
System- und
Sicherheitsarchitektur
IS 2
…
Quelle: Dern (2006) eHealth Grundlagen / VL 5 / Informationsmanagement
Data
Warehouse
DMS
generell
Workflow Dokumentenverwaltung,
Office-Vorlagen
DMS Fachanwendungen
Betriebswirtschaftliche Informationssysteme (Services)
IT – Plattform
Fachanwendungen
„System X“
Standard-
schittstelle
„Neue Fachanwendungen“„Bestehende
Fachanwendungen“
Anwendungsportal
Office Tools
Office Tools
(aufrufbar aus
Anwendungen)
Office Tools
Office Tools
(aufrufbar aus
Anwendungen)
CM
S
Prä
senta
tions-
bezogene
Inhalte für
WE
B
Externe Externe
PartnerPartner
SAP SD
(Fakturierung)
SAP FI
(DEB / KRED /
HAB)
SAP CO
(RW / Controlling)
SAP HR
(Personal)
„Content Systeme“
Internet
Intranet
IT – Plattform
Partner
Daten-
austausch
(asynchron)
Daten-
übergabe
(asynchron)
Auswertungstools
-
-
Architekturen und Architekturmanagement - Beispielhafte
Applikationsarchitektur einer Behörde
Quelle: ITMC, Horgen, Schweiz eHealth Grundlagen / VL 5 / Informationsmanagement
Tayloristische Vorgangsbearbeitung
Eingabe Ausgabe
Prozessorientierte Vorgangsbearbeitung
Unternehmensorganisation und Informationssysteme -
Funktions- versus Prozessdenken Ein Geschäftsprozess ist eine Folge von logisch zusammenhängenden
Aktivitäten, die für das Unternehmen einen Beitrag zur Wertschöpfung leisten, einen
definierten Anfang und ein definiertes Ende haben, wiederholt durchgeführt werden
und sich in der Regel am Kunden orientieren.
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 13
Prozesse und Prozessmanagement - Motivation
Quelle: Laudon/Laudon/Schoder, S. 22
eHealth Grundlagen / VL 5 / Informationsmanagement
Unternehmensorganisation und Informationssysteme -
Grundlagen und Zusammenhänge Geschäftsprozesse
Arbeitsabläufe, die Material, Information und Wissen umfassen
unterstützen Hauptfunktionsbereiche oder sind funktionsübergreifend
Informationsfluss und Arbeitsabläufe müssen aufeinander abgestimmt
werden
Anwendungssysteme
unterstützen bereichsinterne und funktionsübergreifende Prozesse
eHealth Grundlagen / VL 5 / Informationsmanagement
Quelle: Laudon/Laudon/Schoder (2010), S. 102
Mit Desktop-Computern, kostengünstiger
CAD-Software und computergesteuerten
Maschinen kann die Genauigkeit,
Geschwindigkeit und Qualität großer
Hersteller erreicht werden.
Große Unternehmen Kleine Unternehmen
Durch individuelle Fertigungssysteme können
große Fabriken maßgeschneiderte Produkte
in kleinen Stückzahlen anbieten.
Durch den sofortigen Informationszugriff
über Telefon und Netzwerke werden
Mitarbeiter zur Informationsbeschaffung
bzw. unternehmenseigene Bibliotheken
nahezu überflüssig.
Führungskräfte können sich mühelos die
Informationen beschaffen, die sie
benötigen, um eine große Anzahl von
Mitarbeitern, die an weitverstreuten
Standorten tätig sind, führen zu können.
Umfangreiche Datenbanken mit Bestelldaten
können analysiert werden, sodass große
Unternehmen die Vorlieben und Bedürfnisse
und ihrer Kunden so einfach wie der Händler
vor Ort bestimmen können.
Informationen können innerhalb des
Unternehmens einfach verteilt werden, um
Mitarbeiter und Arbeitsgruppen unterer
Hierarchieebenen in die Lage zu versetzen,
Probleme eigenverantwortlich zu lösen.
Unternehmensorganisation und Informationssysteme
Informationssysteme steigern die Flexibilität von Unternehmen
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 16
Prozesse und Prozessmanagement – Ziele
Allgemeine Ziele einer Prozessorientierung:
- Erhöhung der Kundenzufriedenheit (konsequente Ausrichtung auf den Patienten)
- Erhöhung der Servicequalität (inkl. Informationsfluss)
- Messbarkeit der Qualität und der Leistung
Herausforderungen im Krankenhausalltag, die eine Prozessorientierung erfordern:
- Patientendaten sind auf mehrere Systeme verteilt
- Patientendaten nur an einem Ort einsehbar und bei Verlegungen oft nach Eintreffen des Patienten
- Klinische Angaben mehrfach in Formulare übertragen unnötige Doppeldokumentationen,
Gefahr der Fehldokumentation
- Viele Daten (insb. Voruntersuchungen) erst erheblich verzögert & bei Verlegung „logistisch folgen“
Die Defizite im klinischen Prozess und vor allem in der Informationslogistik führen zu
Verzögerungen. Darunter leidet die medizinische Qualität und es entstehen Mehrkosten. Sie
zwingen die beteiligten Ärzte und das Pflegepersonal regelmäßig zur Improvisation und
Mehrarbeit durch Doppeldokumentation und Informationssuche.
eHealth Grundlagen / VL 5 / Informationsmanagement
Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff
Seite 17
Prozesse und Prozessmanagement – Ansätze I
IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme))
- Unterstützung aller medizinischen Prozesse sämtliche relevante Informationen und Funktionen
zum richtigen Zeitpunkt, am richtigen Ort, in der richtigen Qualität & Quantität für alle an
Behandlung beteiligten Personen
- Prozess- und Workflowmodellierung (z.B. mittels BPMN)
- Standards zur Interoperabilität, z.B. HL7
Ursachen für das Scheitern im klinischen Umfeld
- Medizinische Behandlungspfade komplex und nicht ausreichend standardisiert
- Software und Medizintechnik sind nicht ausgereift
- In Krankenhäusern fehlen Grundlagen um komplexe Prozesse einheitlich in IT abzubilden
eHealth Grundlagen / VL 5 / Informationsmanagement
Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff
Seite 18
Prozesse und Prozessmanagement – Ansätze II
Prozessmanagement (Steigerung der Qualität z.B. über PDCA Zyklus)
Qualitätsmanagementsystem (z.B. ISO 9001) für medizinische Prozesse: Norm, die
Anforderungen an ein Qualitätsmanagementsystem definiert mit 8 Grundsätzen:
• Kundenorientierung
• Verantwortlichkeit der Führung
• Einbeziehung der beteiligten Personen
• Prozessorientierter Ansatz
• Systemorientierter Managementansatz
• Kontinuierliche Verbesserung
• Sachbezogener Entscheidungsfindungsansatz
• Lieferantenbeziehungen zum gegenseitigen Nutzen
IT Prozesse (ITIL/ ISO 2000 & ebenfalls ISO 9001) für IT-Prozesse
eHealth Grundlagen / VL 5 / Informationsmanagement
Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff
Seite 19
Agenda
1. Geschäftsarchitekturen und Prozessmanagement
2. IT Governance & COBIT
3. IT Compliance & Gesetzliche Anforderungen (insb. auch an Betrieb von IT & Outsourcing)
eHealth Grundlagen / VL 5 / Informationsmanagement
Grundlagen der IT-Governance - Corporate Governance
Corporate Governance: – Verantwortliche und auf langfristige Wertschöpfung ausgerichtete Organisation
der Unternehmensleitung und Kontrolle (Rosen 2001)
– Teilgebiet der Unternehmensführung
– Richtlinien: Principles of Corporate Governance (OECD), Deutscher Corporate Governance Kodex
– Empfehlungen z.B. hinsichtlich der Aufgaben und des Zusammenwirkens von Vorstand und Aufsichtsrat sowie der Transparenz der Unternehmenssituation
Sarbanes-Oxley-Act: – US-Gesetz verabschiedet im Juli 2002 als Reaktion auf die Finanzskandale rund
um Enron, Worldcom etc.
– Ziel: Verbesserung der Aussagekraft von Jahresabschlüssen
– Persönliche Haftung von CEO, CFO und Wirtschaftsprüfern für die Richtigkeit des Jahresabschluss
– Wichtigste Sektionen: • 302: Haftung der Gremien für die Abschlüsse
• 404: Managementverantwortung für ein internes Kontrollsystem
• 409: Berichte über Vorfälle innerhalb von 48 Stunden
Michael
J. Oxley
Paul S. Sarbanes
eHealth Grundlagen / VL 5 / Informationsmanagement
IT-Governance: Führungsmechanismen, Organisationsstrukturen und Prozesse, die
sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt,
Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht
werden. Corporate und Key Asset Governance
Shareholders Corporate
governance
Senior executive team
Monitoring
Other stakeholders
Disclosure
Board
Key assets
Desirable behavior Strategy
Human
assets
Financial
assets
Physical
assets IP assets
Information
and IT assets
Relationship
assets
Financial governance
mechanisms
(committees, budgets, etc.)
IT governance mechanisms
(committees, budgets, etc.) Key asset governance
IT Governance
Grundlagen der IT-Governance - Zusammenhang
Corporate Governance und IT-Governance
Quelle: Weill & Ross (2004)
eHealth Grundlagen / VL 5 / Informationsmanagement
Konformität Leistungsfähigkeit
Grundlagen der IT-Governance - Balanceakt zwischen
Konformität & Leistungsfähigkeit
Business Governance Gesetzeskonformität /
Compliance
Corporate/IT Governance
Verantwortlichkeit
Nachvollziehbarkeit
Wirtschaftlichkeit
Ressourcen Management
Strategie Risiko Management
eHealth Grundlagen / VL 5 / Informationsmanagement
Grundlagen der IT-Governance - Inhalte und Aufgaben der
IT-Governance nach Weill/Ross
Business applications
needs
Specifying the business
need for purchased or
internally developed IT
applications
IT investment and
prioritization
decisions
Decisions about
how much and
where to invest in
IT, including project
approvals and
justification
techniques
IT infrastructure
decisions
Centrally coordinated,
shared IT services that
provide the foundation
for the enterprises‘s IT
capability
IT architecture
decisions
Organizing logic for
data, applications,
and infrastructure
captured in a set of
policies,
relationships, and
technical choices to
achieve desired
business and
technical
standardization and
integration
IT principles decisions
High-level statements about how IT is used in the business
Key IT Governance Decisions
Quelle: Weill & Ross (2004) eHealth Grundlagen / VL 5 / Informationsmanagement
Grundlagen der IT-Governance - Zentrale versus
dezentrale Governance
Business unit
autonomy Enterprise wide Federation
Decentralized Centralized
Typically higher costs
More variability
(in IT competencies)
Poor integration
Less standardization
Few synergies
Increased
Ownership
(business unit)
More responsive
to diverse needs
More control
over priorities
Functional IT leadership
Enterprise perspective
Pooled experience
Synergies
More
standardization
Improved visibility
into costs
Increased scale
Economies
and infrastructure
Critical mass
of skills
Less responsive to users
and business units
No business-unit ownership
Not aligned with the business
Slower time-to-market
Quelle: Luftmann (2012), S 497 eHealth Grundlagen / VL 5 / Informationsmanagement
COBIT- Referenzmodellrahmen für die IT-Governance
CobiT = Control Objectives for Information
and Related Technology
1996 von der ISACA (Information Systems Audit
and Control Association) entwickelt (aktuell 5.
Version)
Instrument zur Kontrolle der Qualität des IT-
Managements
Systeme und IT-Aktivitäten sollen auf die
Geschäftsziele ausgerichtet werden
Anforderungen hinsichtlich der Qualität,
Sicherheit und Umgangs mit Informationen
CobiT ist für das IT-Management, die IT-Nutzer
und IT-Audit bestimmt
Generischer Referenzmodellrahmen, der für
jedes Unternehmen angepasst werden muss
Domänen
Prozesse
Aktivitäten
Informationskriterien
IT-P
roze
ss
e
Mita
rbe
ite
r
An
we
nd
ungssyste
me
Te
ch
nik
Infr
astr
uktu
r
Date
n
Quelle: Krcmar (2005), S. 38 eHealth Grundlagen / VL 5 / Informationsmanagement
PO1 Define a strategic IT plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT organisation and relationships
PO5 Manage the IT investment
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
AI1 Identify automated solutions
AI2 Acquire and mantain application software
AI3 Acquire and maintain technology infrastructure
AI4 Develop and maintain IT procedures
AI5 Install and accredit systems
AI6 Manage changes
M1 Monitor the process
M2 Assess internal control adequacy
M3 Obtain independent assurance
M4 Provide for independent audit
DS1 Define service levels
DS2 Manage third-party services
DS3 Manage peformance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and attribute costs
DS7 Educate and train users
DS8 Assist and advise IT customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
IT RESOURCES
• Data • Application systems
• Technology • Facilities • People
PLAN AND
ORGANISE
ACQUIRE AND
IMPLEMENT
DELIVER AND
SUPPORT
• Effectiveness • Efficiency
• Confidenciality • Integrity
• Availability • Compliance • Reliability
Criteria
MONITOR AND
EVALUATE
COBIT - Übersicht der COBIT-Sollprozesse
eHealth Grundlagen / VL 5 / Informationsmanagement
COBIT - Beispiel: Domain „Plan and Organise“
Description
This domain covers strategy and tactics, and concerns the identification of how IT
can best contribute to the achievement of the business objectives.
Furthermore, the realisation of the strategic vision needs to be planned,
communicated and managed for different perspectives. Finally, a proper
organisation as well as technological infrastructure must be put in place.
Topics
Strategy and tactics
Vision planned
Organisation and infrastructure
Questions
Are IT and the business strategy aligned?
Is the enterprise achieving optimum use of its resources?
Does everyone in the organisation understand the IT objectives?
Are IT risks understood and being managed?
Is the quality of IT systems appropriate for business needs?
Do
ma
ins
eHealth Grundlagen / VL 5 / Informationsmanagement
COBIT - Wichtige COBIT Produkte/Inhalte
Control Objectives— “Minimum controls are...” Management Guidelines— “Here is how you measure…” Audit Guidelines— “Here is how you audit...”
eHealth Grundlagen / VL 5 / Informationsmanagement
COBIT - Beispiel: Control Objectives
AI6 Manage Changes
6.1 Change request initiation and control
IT management should ensure that all requests for changes, system maintenance and supplier
maintenance are standardised and are subject to formal change management procedures. Changes
should be categorised and prioritised, and specific procedures should be in place to handle urgent
matters. Change requesters should be kept informed about the status of their request.
6.2 Impact assessment
A procedure should be in place to ensure that all requests for change are assessed in a structured
way for all possible impacts on the operational system and its functionality.
6.3 Control of changes
IT management should ensure that change management and software control and distribution are
properly integrated with a comprehensive configuration management system. The system used to
monitor changes to application systems should be automated to support the recording and tracking
of changes made to large, complex information systems.
6.4 Emergency changes
IT management should establish parameters defining emergency changes and procedures to control
these changes when they circumvent the normal process of technical, operational and management
assessment prior to implementation. The emergency changes should be recorded and authorised by
IT management prior to implementation.
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 32
Agenda
1. Geschäftsarchitekturen und Prozessmanagement
2. IT Governance & COBIT
3. IT Compliance & Gesetzliche Anforderungen
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 33
Gesetzliche Anforderungen - Datenschutz
• Schriftliche Bestellung eines Datenschutzbeauftragten nach §4f BDSG bei der automatisierten
Verarbeitung personenbezogener Daten: Fachkundigkeit, Zuverlässigkeit (persönliche Integrität)
• Grundsätzlich darf dies auch ein externer Datenschutzbeauftragter sein, allerdings nicht wenn es
sich um Daten handelt, die der ärztlichen Schweigepflicht unterliegen (Rechtslage unklar)
• Umgehung ggf. durch Einwilligungserklärung durch Patienten, andererseits ist der
Datenschutzbeauftrage ohnehin zum Schweigen verpflichtet
• 3 Lösungsansätze:
• Interner Datenschutzbeauftragter
• Externer Datenschutzbeauftragter ohne Gehilfen, von einer öffentlichen Stelle &
Genehmigung durch Aufsichtsrat
• Einwilligungserklärung von Patienten (Probleme: Altdaten, sowie Widerruf der Einwilligung)
• Bei Missachtung oder Verstößen können Bußgelder bis 50.000€ verhängt werden (auch wenn
keiner oder nicht-fachkundiger Datenschutzbeauftragter berufen wird)
• Die zuständige Aufsichtsratsbehörde kann auch die Abrufung eines Datenschutzbeauftragten
verlangen
• Bei Verletzung der Schweigepflicht kommt zudem Strafbarkeit nach §203StGB in Betracht
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 34
Gesetzliche Anforderungen – Datensicherheit (1)
• Grundsätzlich Sicherheitsmaßnahmen zum Schutz personenbezogener Daten
• Zutrittskontrolle, Nr. 1 Anlage zu § 9 S. 1
• Zugangskontrolle, Nr. 2 Anlage zu § 9 S. 1
• Zugriffskontrolle, Nr. 3 Anlage zu § 9 S. 1
• Weitergabekontrolle, Nr. 4 Anlage zu § 9 S. 1
• Eingabekontrolle, Nr. 5 Anlage zu § 9 S. 1
• Auftragskontrolle, Nr. 6 Anlage zu § 9 S. 1
• Verfügbarkeitskontrolle, Nr. 7 Anlage zu § 9 S. 1
• Trennung von zu unterschiedlichen Zwecken erhobenen Daten, Nr. 8 Anlage zu §9S.1
• Im Krankenhaus 3 Kategorien personenbezogener Daten erhoben, verarbeitet und genutzt:
• Patientendaten ("allgemeinen" personenbezogenen Daten und Gesundheitsdaten)
• Mitarbeiter- oder Personaldaten und
• Daten von Dritten, insbesondere Besuchern der Patienten
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 35
Gesetzliche Anforderungen – Datensicherheit
(Patientendaten) • Dazu zählen „Informationen über die Person des Betroffenen oder einen auf diesen bezogenen
Sachverhalt, namentlich auch Tonaufzeichnungen von einer Person sowie Bilder, biometrische
Daten, Stimmprofil, genetischer Fingerabdruck. Dies ist insbesondere im Rahmen von Kliniken
relevant, da zu den personenbezogenen Daten in diesem Sinne auch Röntgenbilder gehören
sowie Fingerabdrücke oder Gesichtsprofile. Daneben sind Angaben über finanzielle, berufliche,
wirtschaftliche oder gesundheitliche Verhältnisse ebenfalls personenbezogene Daten“
• Diese dürfen KH erheben, verarbeiten und nutzen, wenn es für Begründung, Durchführung oder
Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftähnlichen Schuldverhältnis mit dem
Betroffenen erforderlich ist (BDSG §28) oder zur Wahrung berechtigter Interessen des Klinikums
(schutzwürdige Interesse des Betroffenen nicht überwiegt)
• Dies betrifft nicht nur Patienten sondern auch sonstiger natürlicher Personen (z.B. Besucher)
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 36
Gesetzliche Anforderungen – Datensicherheit (besondere
personenbezogene Daten) (1) • Besonderen Stellenwert haben bei der Erhebung, Verarbeitung und Nutzung personenbezogener
Daten im Krankenhaus Gesundheits- und Patientendaten, dabei 4 Bereiche:
• Abrechnung durch externe Abrechnungsstellen: strengere Anforderungen (§ 4a Abs. 3):
Bei einer Einwilligung ausdrücklich hingewiesen werden, dass sich Einwilligung auf
besondere personenbezogenen Daten bezieht. (besondere Relevanz, wenn Krankenhaus
zum Zwecke der Abrechnung Patientendaten an eine privatärztliche Verrechnungsstelle
übermitteln möchte)
• Zweckgebundene Verarbeitung zur Gesundheitsversorgung: Ohne Einwilligung des
Patienten Nutzung der besonders sensiblen Daten (§ 3 Abs. 9 BDSG) "Gesundheitsdaten"
zulässig zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der
Gesundheitsversorgung oder der Behandlung erforderlich ist (Verarbeitung nur durch
Personal dahingehenden Geheimhaltungsverpflichtung unterliegt)
• Reichweite der ärztlichen Schweigepflicht (§ 39 BDSG)
• Auftragsdatenverarbeitung (Outsourcing)
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 37
Gesetzliche Anforderungen – Datensicherheit (besondere
personenbezogene Daten) (1) • Besonderen Stellenwert haben bei der Erhebung, Verarbeitung und Nutzung personenbezogener
Daten im Krankenhaus Gesundheits- und Patientendaten, dabei 4 Bereiche:
• Abrechnung durch externe Abrechnungsstellen
• Zweckgebundene Verarbeitung zur Gesundheitsversorgung
• Reichweite der ärztlichen Schweigepflicht (§ 39 BDSG): Die Patientendaten dürfen nur
für den Zweck verarbeitet oder genutzt werden, für den diese Stelle sie erhalten hat. Die
übermittelten Daten dürfen jedoch von der empfangenden Stelle nur für den Zweck
verarbeitet oder genutzt werden, zu dem sie übermittelt wurden.
• Auftragsdatenverarbeitung (Outsourcing, §11 BDSG): Gesundheitsbezogene Daten
unterliegen der ärztlichen Schweigepflicht (BDSG & § 203 StGB) Offenlegung von
Patientendaten ohne Einwilligung strafbewehrt. Lösungsmöglichkeit: Einwilligung Patient
muss insbesondere wissen, aus welchem Anlass und mit welcher Zielsetzung er welche
Personen von ihrer Schweigepflicht entbindet. Zudem muss er über Art und Umfang der
Einschaltung Dritter unterrichtet sein.
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 38
Gesetzliche Anforderungen – Elektronische Archivierung • [Archivierungsanforderungen nach HGB, AO & GoBS buchhalterischer Natur]
• Besondere Aufbewahrungspflichten für ärztliche Dokumente (Arztbriefe, Patientenkartei,
Medikamentenverschreibungen, Behandlungsmaßnahmen) idR. 10 Jahre bzw. 30 Jahre für
Röntgen & Behandlungen
• Röntgenaufnahmen dürfen als Wiedergabe auf Datenträger aufbewahrt werden wenn:
• Wiedergabe der Daten inhaltlich oder bildlich übereinstimmen bei Lesbarmachung
• Während der Dauer der Aufbewahrungsfrist verfügbar sind
• Jederzeit innerhalb angemessener Zeit lesbar gemacht werden können
• Sichergestellt sein, dass während Aufbewahrungszeit keine Informationsänderungen oder –
verluste eintreten
• Bei personenbezogenen Daten ist sicherzustellen, dass Urheber, Entstehungsort und –
zeitpunkt eindeutig erkennbar sind, eine unveränderte Aufbewahrung erfolgt, nachträgliche
Änderungen oder Ergänzungen als solche erkennbar sind.
• Verknüpfung der personenbezogenen Patientendaten mit dem erhobenen Befund
(Bilderzeugungsprozess, Bilddaten und sonstigen Aufzeichungen) jederzeit hergestellt
werden können
eHealth Grundlagen / VL 5 / Informationsmanagement
Seite 39
Ende Block V
eHealth Grundlagen / VL 4 / IT Grundlagen