Medizinprodukteindustrie

MedInform-Konferenz: „Datensicherheit muss in Unternehmen im Gesundheitsmarkt mehr Beachtung finden und besser gemanagt werden“

25.03.2011 - 26/11

Berlin. Der Schutz von personenbezogenen Daten ist sensibel und gewinnt gerade im medizinischen Bereich immer mehr an Bedeutung. Der interne Stellenwert von Datenschutz in den Unternehmen und Einrichtungen im Gesundheitsmarkt ist aber oft noch zu gering. Das betonten die Experten der MedInform-Veranstaltung „Datenschutz im Gesundheitsmarkt – Image oder ernstzunehmende Herausforderung in der täglichen Arbeit?“ am 24. März 2011 in Berlin. „Der Datenschutz im Gesundheitsmarkt ist ein sensibles Thema“, so Daniela Piossek vom Bundesverband Medizintechnologie. Die Veranstaltung vermittelte daher Basisinformationen im Sinne des Bundesdatenschutzgesetzes (BDSG) und des Sozialgesetzbuches (SGB), um dem gestiegenen Stellenwert des Themas gerecht zu werden. Grundsätzlich ist dabei das Erheben, Verarbeiten und Nutzen personenbezogener Daten verboten, so Rechtsanwältin Maria Heil. Ausnahmen gibt es durch entsprechende Rechtsvorschriften oder nach Einwilligung der Betroffenen. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden.

„Die Bedeutung der Datensicherheit erfährt man oft erst dann, wenn ein Schaden entstanden ist. Der Imageschaden ist dann meist um ein Vielfaches höher, als die gesetzlich angedrohten Bußgelder und Strafvorschriften“, so Berater Jürgen Labusch. Zu den wichtigsten Grundsätzen der Datenverarbeitung gehört die Datensparsamkeit: Es dürfen maximal nur die Daten verarbeitet werden, die objektiv benötigt werden. Wie Datenschutz in der Praxis umgesetzt werden kann, zeigte Axel Klicha von HMM Deutschland am Beispiel der Hilfsmittelplattform ZHP-Online. Die Firma beauftragte einen externen Datenschutzbeauftragten, der auch die Mitarbeiter schult, auditiert seine externen Dienstleister selbst und erstellt umfangreiche Datenschutz-Jahreshandbücher mit einem detaillierten Prüfplan.


Jürgen Labusch, Unternehmensberater für IT-und Vertriebsconsulting mit dem Schwerpunkt Gesundheitswesen, führte in die Grundlagen des Datenschutzes ein. Er betonte, dass aufgrund der Vorkommnisse der jüngsten Zeit im Umgang mit personenbezogenen Daten die Kunden im höchsten Maße sensibilisiert seien. Die „verantwortlichen Stellen“ führten vermehrt Datenschutzaudits bei Ihrem Dienstleistern durch. Datenschutzverletzungen werden nicht weiter als
bloßes „Kavalierdelikt“ angesehen. Durch die Nutzung des Internets verschärfe sich der Handlungsbedarf. Datenschutz-und Informationssicherheit müsste sich daher zu einem zentralen Thema in der Organisation entwickeln. Die Auditierung von externen Dienstleistern sei zu organisieren und die Thematik gegenüber den Mitarbeitern auf allen Ebenen zu kommunizieren.

Gesetzliche Grundlage ist eine EU-Richtlinie aus dem Jahr 1995, die die Verpflichtung zur Einrichtung eines Datenschutzbeauftragten enthält. Die Richtlinie wurde in Deutschland im Jahr 2011 in nationales Recht umgesetzt. Neben diesem Datenschutzgesetz (BDSG) müssten aber auch weitere Rechtsvorschriften beispielsweise aus dem Sozialgesetzbuch beachtet werden. Mögliche Sanktionen sind Bußgelder bis zu 50.000 Euro bei Verstößen gegen formale Vorschriften und bis zu 300.000 Euro bei Verstößen gegen inhaltliche Vorschriften sowie Freiheitsstrafen bis zu zwei Jahren bei vorsätzlichen Verstößen in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Ziel des Bundesdatenschutzgesetzes sei es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, so Labusch. Personenbezogene Daten sind dabei alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Die Bestellung eines Datenschutzbeauftragten ist erforderlich, wenn besondere Arten personenbezogener Daten verarbeitet werden, personenbezogene Daten geschäftsmäßig verarbeitet werden, mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung betraut sind und mindestens 20 Mitarbeiter beschäftigt sind. Die Unternehmen sollten ein Informationssicherheits-Managementsystem (ISMS) einführen, um einen kontinuierlichen Prozess der Verbesserung des Datenmanagements im Unternehmen zu installieren. Dazu gehört eine Informationssicherheits-Leitlinie, eine Risikoanalyse oder interne und externe Audits.

Axel Klecha, Abteilungsleiter Verwaltung und Politik bei HMM Deutschland, stellte das Datenschutzkonzept bei der Hilfsmittelplattform ZHP-Online vor. Die weltweit größte Hilfsmittelplattform versorgt rund 17 Millionen Versicherte mit Hilfsmitteln. Größter Kunde ist die Krankenkasse Barmer GEK. „Der Datenschutz hat damit in der Organisation eine sehr große Bedeutung“, so Klecha. Sowohl die HMM Deutschland GmbH als auch ZHP-Online übertragen Daten auf elektronischem Weg nur über verschlüsselte Verbindungen. Das Unternehmen bestellte einen externen weisungsungebundenen Datenschutzbeauftragten, der lange Jahre Erfahrungen in der IT und im Gesundheitswesen hat und über die erforderliche Fachkunde verfügt. Er ist der Geschäftsführung unmittelbar unterstellt und hat jederzeitiges Vortragsrecht. Er ist verantwortlich für die Ausbildung von Führungskräften und Mitarbeitern und zentraler Ansprechpartner für alle Belange des Datenschutzes für Kunden, Interessenten, Leistungserbringer sowie den aufsichtführenden Behörden. Die Unterweisungen der Mitarbeiter finden in regelmäßigen Abständen statt und sind verpflichtend. Zusätzlich finden täglich Begehungen durch Datenschutzhelfer in den Räumen der HMM Deutschland statt. Ziel dieser Begehungen ist es, eine weitere Sensibilisierung in Sachen Datenschutz zu erreichen. Der Rechenzentrumsbetreiber T-Systems ist gemäß DIN 27001 hinsichtlich der Datensicherheit überprüft. Regelmäßige Wiederholungsaudits überprüfen die Anpassung an den technischen Fortschritt. Der Aktenvernichter der HMM ist ein zertifiziertes Entsorgungsunternehmen. Sonstige Dienstleister haben nur Zugang zu Räumen, wenn die Mitarbeiter auf den Datenschutz verpflichtet sind.

Rechtsanwältin Maria Heil von der Kanzlei Clifford Chance ging auf rechtliche Fragen des Umgangs mit Patientendaten in der Praxis ein. Der Umgang mit Daten im Geflecht Leistungserbringer – Krankenkasse – Patient sei dabei besonders sensibel. Grundsätzlich ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten verboten. Ausnahmen gibt es durch entsprechende Rechtsvorschriften oder nach Einwilligung der Betroffenen. Alle Schritte des Umgangs mit personenbezogenen Daten müssen einzeln geprüft werden. Sonstige Leistungserbringer beispielsweise im Hilfsmittelbereich dürfen Patientendaten erheben, die zur Durchführung des jeweiligen Behandlungs- bzw. Hilfsvertrags erforderlich sind. Das Speichern von Patientendaten ist zulässig im Rahmen der Zweckbestimmung des jeweiligen Vertrags mit den Patienten. Im Einzelfall ist das Speichern auch bei einem überwiegenden wissenschaftlichen Interesse im Rahmen eines Forschungsvorhabens zulässig. Im Zweifelsfall sollte eine Einwilligung eingeholt bzw. die Daten anonymisiert und pseudonymisiert werden. Die Übermittlung von Patientendaten durch den sonstigen Leistungserbringer erfordert die Einwilligung des Patienten. Die Datenschutzklauseln in Verträgen der Hilfsmittelversorgung nach § 127 SGB V werden immer umfangreicher, da Krankenkassen in diesem Fall Patientendaten an den Leistungserbringer zur Versorgung der Patienten übermitteln.

Hinweis an die Medien:
Druckfähige Bilder zur Konferenz können im Internet unter www.bvmed.de (Bilder – Veranstaltungen) heruntergeladen werden.


Medienkontakt:
Manfred Beeres
Leiter Kommunikation/Pressesprecher
Tel: 030 246 255-20
E-Mail: beeres@bvmed.de


  • Share on Facebook
  • Share on Twitter

Diese Inhalte könnten für Sie ebenfalls interessant sein:


© 1999 - 2012 BVMed e.V., Berlin - Portal für Medizintechnik