SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzverletzungen

MIT EINEM BEIN IM GEFÄNGNIS?

GRAVIERENDE FOLGEN BEI DATSCHENSCHUTZVERLETZUNGEN

Dr. med. Georg Sasse Facharzt für Rechtsmedizin FMH

Leitender Arzt medizinischer Rechtsdienst, Haftpflicht , Datenschutz und Risikomanagement Kantonsspital Aarau AG

Donnerstag, 5. März 2015, Swiss eHealth Forum, Bern

Betrachtungen von Datenschutzverletzungen aus forensischer Sicht

Die Tat: • Täterschaft • Opfer • Motive • Rechtliche und persönliche Konsequenzen

Die Prävention: • Pflichten der Einzelnen • Pflichten der Organisationen • Notwendigkeiten in der Gesetzgebung • Notwendigkeit der Strafverfolgung

© Dr. med. Georg Sasse, KSA AG

Datenschutzverletzungen in einem Zentrumsspital

Täterschaft: Datenschutzverletzungen werden beobachtet:

• Seitens des klinischen Personals (Einzelfälle) • Seitens der Forschungsaktivitäten (Patientengruppen) • Seitens der Verwaltung (Mitarbeiter und Patienten) • Seitens der IT-Verantwortlichen (Datenbanken) • Seitens externer Supportdienste (Datenbanken) • Angriffe Dritter (Datenbanken, Big Data)


Häufigkeiten

Die Mitarbeiter in Spitälern sind in punkto Datenschutzverletzungen:

sowohl die häufigsten Täter wie auch

die häufigsten Opfer


Datenschutzverletzungen in einem Zentrumsspital

Mögliche Motive: • «Neugierde» bzgl. Kollegen und Bekannten

• «Geld» Verkauf von VIP-Informationen an die Medien

• «Geld» Verkauf von Gesundheitsdaten an Medizintechnik-Hersteller und Versicherungen

• «Faulheit, Pragmatismus» Einwilligungen werden nicht abgeholt, Betriebsnormen werden nicht eingehalten,

• «Überwachung, Sicherheit» bzgl. Mitarbeiter, Patienten und Besucher

• «Schädigung» Sabotage auf Infrastruktur durch Staaten, Wettbewerber und Kriminelle

• «ohne» Fahrlässigkeit


Strafbestimmungen im DSG und StGB • DSG: 7. Abschnitt Strafbestimmungen Mit Busse werden private Personen auf Antrag bestraft, die vorsätzlich Datenschutzpflichten verletzen. • StGB Art 321:Verletzung des Berufsgeheimnisses Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Ärzte, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, werden, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Ebenso werden Studierende bestraft, die ein Geheimnis offenbaren, das sie bei ihrem Studium wahrnehmen. Die Verletzung des Berufsgeheimnisses ist auch nach Beendigung der Berufsausübung oder der Studien strafbar.



…mit zum Teil grauenhaften Folgen für Täter…

Screenshots: Blick online



…oder für die Spitäler

Screenshot: Tagblatt online


Zivilrechtliche Folgen bei Datenschutzverstössen

Entsteht dem von einem Datenschutzverstoss Betroffenen einen materieller oder immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Genugtuung genannt) aus mehreren Ansprüchen offen. Neben dem grundsätzlich entstandenem immatriellen Schaden (Persönlichkeitsrechtsverletzung) ist es häufig nicht ganz einfach, den materiellen Schaden zu beziffern. Dies kann besonders dann gelingen, wenn durch die Datenschutzverletzungen z.B. der Abschluss von Versicherungen verweigert wird oder aber die Prämien höher sind, sowie andere vertragliche Nachteile


Grösster Kostenblock: Vorkehrungen IBM: Datenschutzverletzungen gehören zu den häufigsten und kostspieligsten Sicherheitsproblemen in Unternehmen unabhängig von ihrer Grösse. Studien zeigen, dass Unternehmen durchschnittlich zwei Millionen Mal pro Woche Opfer von Angriffen werden, von denen ein grosser Teil zu nicht unerheblichen Datenschutzverletzungen führt. Dadurch, dass sich Daten zwischen Unternehmensnetzwerken, mobilen Geräten und der Cloud frei bewegen, nimmt dieser Trend in beunruhigendem Masse zu


Prävention Die Datensicherheit ist ein zentraler Diskussionspunkt und wird derzeit nahezu überall stark thematisiert. Insbesondere werden auf technischer und normativer Ebene massive Vorkehrungen getroffen um die Datensicherheit zu erhöhen. Auffallend ist jedoch, dass auf Seiten der User wenig Wissen über die technischen und normativen Notwendigkeiten zum Datenschutz vorhanden ist. Der Schulungsaspekt wird häufig stark vernachlässigt. Die am häufigsten angegriffene Datenschutzverletzung in einem Spital ist aber die «persönliche Tat» des Users.


It's the User, Stupid! Spitäler scheuen häufig den Aufwand und die Kosten, um Ihre Mitarbeiter im korrekten Umgang mit dem Datenschutz zu schulen. Dieser Umstand ist geschuldet: • der grossen Menge der Mitarbeiter, • der grossen Fluktuation der Mitarbeiter • der Unmöglichkeit grosse Mengen von Mitarbeitern gleichzeitig zu

schulen • der fehlenden Kontrolle, ob die Mitarbeiterschulungen durchgeführt und

abgeschlossen wurden • der Notwendig der quasi permanenten Schulung und Anpassung • der (fälschlicher Weise) erwarteten immensen Kosten Obgleich die Schulung des Endusers mit das Wichtigste ist. Ohne Schulung des Endusers nützten die besten Vorkehrungen auf technischer und normativer Seite NICHTS!


Lösungsmöglichkeiten Ein eLearning Tool zum Thema Datenschutz gibt die Möglichkeit: • Häufige, repetitive Schulungen ohne grossen Aufwand

durchzuführen. • Unabhängig von Zeit und Ort jeden einzelnen Mitarbeiter

zu schulen. • Den Lerneffekt konkret zu messen • Die Schulungsqualität permanent hoch zu halten • Die Schulung zu repetieren

und damit den Schulungsverpflichtungen seitens Spital dem Arbeitgeber nachzukommen.


Verschiedene Bedürfnisse der Anwendergruppen

Um verschiedenen Bedürfnissen der Anwendergruppen gerecht zu werden empfiehlt es sich, eine mehrstufige Schulung aufzubauen. So wurde ein Schulungskurs erstellt, der sich aus einem:

• Basiskurs und einem • Vertiefungskurs

zusammensetzt.


Basismodul Patientengeheimnis Inhalt des Basismoduls Patientengeheimnis • Grund des Schutzes von Patientendaten • Inhalte des Patientengeheimnisses • Akteneinsichtsrechte und Auskunftsrechte • Gründe der Verweigerung der Akteneinsicht • Möglichkeiten Krankengeschichte zu berichtigen,

ergänzen oder zu löschen • Herausgabe der Krankengeschichte • Krankengeschichte nach dem Tod des Patienten Dauer Diese Lerneinheit dauert ca. 30 Minuten. © Dr. med. Georg Sasse, KSA AG

Vertiefungsmodul Patientengeheimnis Inhalt des Vertiefungsmoduls Patientengeheimnis • Bearbeitung von Patientendaten. • Allgemeiner Umgang und Verhalten in Bezug auf die Krankengeschichte/Patientendaten • der Bedeutung der Einwilligung des Patienten • Datenweitergabe an: •Nachbehandelnde Ärzte und Therapeuten •Nächste Angehörige oder gesetzliche Vertreter •Krankenkasse, Unfall- oder Sozialversicherung •Kollegen im Rahmen von Lehre und Forschung •Die Öffentlichkeit •Entbindungsmöglichkeiten von der Schweigepflicht •geregelte und nur teilweise geregelte Meldepflichten und -rechte Dauer: Die Lerndauer variiert mit den Themenbereichen, die Sie zur Durcharbeitung auswählen. Jeder Themenbereich dauert 20 bis 30 Minuten. Sie haben also eine maximale Lernzeit von 1,5 Stunden.


Weitere Aufgaben in der Gesetzgebung • Die Rolle der Datenbearbeiter (vor allem IT) muss geklärt

werden. • Supportmitarbeiter sollten stärker der gesetzlichen

Schweigepflicht unterstellt werden. • Die Strafbestimmungen sollten überprüft werden • Verpflichtende Datenschutz Audits? • Überprüfung des Schulungsaufwandes der Arbeitgeber


VIELEN DANK FÜR IHRE AUFMERKSAMKEIT

Fragen? Dr. med. Georg Sasse Kantonsspital Aarau, Postfach 5001 Aarau [email protected] Tel: 062 8386948


mailto:[email protected]

SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzverletzungen

Health & Medicine

Transcript of SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzverletzungen