Aktenvernichtung ? Ja ! Aber datenschutzkonform ! - Datenschutz in der Medizin- 2016
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Aktenvernichtung ?
Ja !
Aber datenschutzkonform !
Datenschutz in der Medizin-‐2016
ALLE WELT SPRICHT VON:
• Cyberkriminalität
• Sicherheit von Datenträgern
• Verschlüsselten Netzwerken
• Phishing
• Spam
• Hoax
• ...
Quelle: BKA.de
HackSvismus ist ein neues
Keiner spricht von Sicherheit bei Papier und Phänomen, hervorgebracht durch
Akten !!! die globale informaSons-‐ und
kommunikaSonstechnische
Vernetzung. (Quelle: BKA.de)
Auszug aus “Polizeiliche Datenverarbeitung” BKA Wiesbaden
2008
Datenschutz in der Medizin-‐2016DATENVERLETZUNG
May 5, 2015 Ponemon InsStute, Michigan, ponemon.org
Criminal Aaacks Are Now Leading Cause of Data Breach in Healthcare, According to New Ponemon
Study
Study Reveals Five-‐Year Data Breach and Security Trends of Growing $6 Billion Epidemic That Puts
Millions of PaSents and Their InformaSon at Risk
Security incidents part of everyday business.
65% of healthcare organizaSons and 87 % of BAs experienced electronic informaSon-‐based security
incidents over the past two years, and approximately half of all respondents suffered paper-‐based
security incidents.
hap://www.ponemon.org/news-‐2/66
Datenschutz in der Medizin-‐2016BEISPIELE AUS DEUTSCHLAND
LKA eines Bundeslandes
Papiermüll wird flurweise in blauen Säcken gesammelt,
von “sicherheitsüberprümen Putzfrauen” auf dem Hof in Container des Entsorgers geschmissen
......
Zollbehörde Norddeutschland (ca. 500 MA)
Zitat: „...bisher haben wir Glück gehabt!“
Berufsfeuerwehr einer 400.000 Einwohner Stadt
ca. 2.000 Einsätze/Jahr im Rahmen von Bränden
ca. 42.000 Einsätze/Jahr Reaungseinsätze -‐ pro Einsatz wird ein Formular mit mehreren
Durchschlägen angeferSgt.
Nach vorgeschriebener Auoewahrungsfrist werden diese bei der
Feuerwehr in bereitgestellten Containern auf dem Hof geworfen.
Achtung: Hier handelt es sich um PaSentenakten/-‐daten
Datenschutz in der Medizin-‐2016§ 203 STGB
Strafgesetzbuch (STGB)
§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum Lebensbereich gehörendes
Geheimnis oder ein Betriebs-‐ oder Geschämsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für
die Berufsausübung oder die Führung der Berufsbezeichnung eine staalich geregelte
Ausbildung erfordert,
2. Berufspsychologen ...
3. Rechtsanwalt, Patentanwalt, Notar, ..., Wirtschamsprüfer, ...., Steuerberater, ...
.....
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem
Jahr oder mit Geldstrafe bestram.
Datenschutz in der Medizin-‐2016AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ
1. Ein Arzt muss die Datenträger mit PaSentendaten nicht selbst vernichten. Er kann diese
Arbeiten auch Praxismitarbeitern übertragen oder Unternehmen beaumragen, die sich auf die
Vernichtung von Datenträgern spezialisiert haben. (BDSG § 9, Anlage)
2. Entscheidet man sich für eine Entsorgung durch ein externes Unternehmen, muss unter
BerücksichSgung des strafrechtlich geschützten PaSentengeheimnisses sichergestellt sein,
dass keine unbefugte Offenbarung im Sinne des §203 STGB an die Mitarbeiter des
Entsorgungsunternehmens erfolgt.
Aus diesem Grund ist eine bloß vertragliche Absicherung im Wege einer
Aumragsdatenverarbeitung gegen einen unbefugten Zugriff nicht ausreichend.
3. Eine datenschutzkonforme Vernichtung durch DriEe ist nur möglich,
-‐ wenn der Arzt die Verfügungsgewalt über die Datenträger bis zur Vernichtung behält...
-‐ wenn das Unternehmen ausschließen kann, dass eine Einsichtnahme in die Unterlagen
überhaupt möglich ist
Gleiches gilt für Krankenkassen und Krankenhäuser !!!
Datenschutz in der Medizin-‐2016Datenschutz in der Medizin-‐2016
Datenschutz in der Medizin-‐2015
hap://www.gesundheitsdatenschutz.org/doku.php/nachrichten-‐datenschutzpannen
Datenschutzpannen ...nur ein Auszug !!!
2015-‐05-‐04 Kassenärztliche Vereinigung (KV) hat unberechSgterweise Versicherten-‐ Daten von
PaSenten der Barmer Ersatzkasse (BEK) an die Stuagarter Inkasso-‐Kanzlei „RVR Rechtsanwälte“
weitergegeben Quelle: taz
2014-‐07-‐18 PaSentenakten im Reha-‐Zentrum: Datenschutz bestäSgt Missstände
Quelle: Hessische/Niedersächsische Allgemeine (HNA)
2014-‐07-‐05 Arzt in Rellingen: PaSentenakten im Hausmüll entsorgt
Quelle: Pinneberger Tageblaa
2014-‐05-‐06 Nicht gesicherte PaSentenakten gefunden Quelle: Focus online
2013-‐07-‐16 Aktenvernichter lagert 250.000 Akten (PaSentenakten, Akten aus Rechtsanwalts-‐
kanzleien…) in einem unverschlossenen, verlassenen Gebäude Quelle:Frankfurter Rundschau
Datenschutz in der Medizin-‐2016DAS KANN IHR ENTSORGER -‐ UND NICHT MEHR
P3 Fläche < 320 qmm (ca. 18x 18 mm)
bzw. Streifenbreite < 2mm, unendlich lang
Mit diesem Auszug aus der Norm DIN 66399-‐1 verkaum er Ihnen auch P4 – jedoch:
Vermischen und Verpressen der vernichteten Datenträger erschwert die ReprodukPon. Eine
Beeinflussung des möglichen InformaPonsgehaltes einzelner Materialteilchen erfolgt
hierdurch nicht. (da die Teilchengröße nach wie vor P-‐3 entspricht !!!)
Für Datenträger mit InformaSonsdarstellung in Originalgröße oder InformaSonsdarstellung
verkleinert, die in der Sicherheitsstufe ein, zwei oder drei vernichtet wurden, kann durch
Vermischen und Verpressen, einmal die nächsthöhere, jedoch maximal die Sicherheitsstufe
vier, Anwendung finden.
Welche Schutzklasse bietet er Ihnen an? à Verhinderung der unbefugten Offenbarung
nur durch Schutzklasse 3
Besuchen Sie Ihren Entsorger – unangemeldet !
Datenschutz in der Medizin-‐2016ÜBERBLICK ZUR DATENSCHUTZKONFORMEN AKTENVERNICHTUNG
TEIL 1
ULD* Blaue Reihe 8 “Datenschutz für PaSenten“
(Stand: 01.Juni 2015)
Wie werden eigentlich PaSentenakten sicher vernichtet? (Seite 24)
... Das ULD SH empfiehlt Schredder, die bei der Vernichtung die ParSkelgröße P-‐5 der (neuen) DIN
66399-‐1/2 erreichen. ....
*
Unabhängiges
Landeszentrum
für
Datenschutz
Schleswig-‐Holstein
Datenschutz in der Medizin-‐2016ÜBERBLICK ZUR DATENSCHUTZKONFORMEN AKTENVERNICHTUNG
TEIL 3
DKG* “Datenschutz im Krankenhaus“
(Stand: 2012)
Für Unterlagen mit besonders sensiblen personenbezogenen Daten, wozu auch medizinische Daten
zählen, sollte:
• mindestens eine Vernichtung nach Stufe 4 (S4) *1)
• möglichst aber nach Stufe 5 (S5) *2) sichergestellt sein.
Quelle AKTEN-‐EX: *1) früher S4 n. DIN 32757 à heute P-‐5 n. DIN 66399
*2) früher S5 n. DIN 32757 à heute P-‐6 n. DIN 66399
S5 war nach alter Norm DIN 32757 die höchste Sicherheitsstufe,
P-‐7 ist es nach neuer Norm DIN 66399 (seit Okt 2012).
* Deutsche Krankenhausgesellscham
Datenschutz in der Medizin-‐2016ÜBERBLICK ZUR DATENSCHUTZKONFORMEN AKTENVERNICHTUNG
TEIL 4
ULD Datenschutzgerechte Entsorgung von PaSentenunterlagen
(Stand: 10.April 2002)
3. Art und Weise der Entsorgung
... Bei InformaSonsträgern mit besonders sensiblen personenbezogenen Daten, wozu auch
medizinische Daten zählen, sollte eine Vernichtung nach der vierten Stufe *1) sicher gestellt sein....
Aus Sicht des Datenschutzes wünschenswert ist eine Vernichtung nach der fünmen Sicherheitsstufe
*2) mit anschließender Unmöglichkeit des Wiederherstellens nach dem Stand der Technik.
Quelle AKTEN-‐EX: *1) früher S4 n. DIN 32757 à heute P-‐5 n. DIN 66399
*2) früher S5 n. DIN 32757 à heute P-‐6 n. DIN 66399
Datenschutz in der Medizin-‐2016ÜBERBLICK ZUR DATENSCHUTZKONFORMEN AKTENVERNICHTUNG
TEIL 5
ULD Datenschutzgerechte Entsorgung von PaSentenunterlagen
(Stand: 10.April 2002) Fortsetzung
Entscheidet man sich für eine Entsorgung durch ein externes Unternehmen -‐ ... -‐ muss unter
BerücksichSgung des strafrechtlich geschützten PaSentengeheimnisses sicher gestellt sein, dass
keine unbefugte Offenbarung im Sinne des § 203 Strafgesetzbuch an die Mitarbeiter des
Entsorgungsunternehmens erfolgt.
Aus diesem Grund ist eine bloße vertragliche Absicherung im Wege einer Aumragsdatenverarbeitung
(vgl. § 11 Bundesdatenschutzgesetz, § 17 Landesdatenschutzgesetz Schleswig-‐Holstein) gegen einen
unbefugten Zugriff nicht ausreichend.
Auch die Datenweitergabe im Rahmen einer Aumragsdatenverarbeitung stellt ein straoares
Offenbaren dar. ... d.h.-‐-‐> Schutzklasse 3
Datenschutz in der Medizin-‐2016ÜBERBLICK ZUR DATENSCHUTZKONFORMEN AKTENVERNICHTUNG
TEIL 6
GDD* Ratgeber „Datenschutzgerechte Datenträgervernichtung“ (Stand: 3.Auflage, 2014)
Datenträgervernichtung bei besonderen Berufs-‐ und Geheimnisträgern
(Kapitel 3.3, Seite 34/35)
Berufsgruppen und InsStuSonen nach §203 STGB
.... Im Allgemeinen ist eine Vernichtung nach Schutzklasse 3 erforderlich, mindestens ist die
Sicherheitsstufe 4 für die ParSkelgröße* zu erreichen. ....
* geschniaen, nicht verwirbelt
* Gesellscham für Datenschutz und Datensicherheit
Datenschutz in der Medizin-‐2016Ich hoffe ich konnte zum Nachdenken anregen...
Datenschutz in der Medizin-‐2016
Datenschutz in der Medizin-‐2016Sie können auch lesen
