Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Ziele der Arbeitsgruppe

Als Aufgaben und Ziele der AG DIG gelten insbesondere

  • Einbringung und Kommentierung von Fragestellungen bzgl. Datenschutz und IT-Sicherheit im Gesundheitswesen in Politik und Recht, in medizinischer Versorgung und Forschung
  • Systematische Darstellung der Herausforderungen der Umsetzung von Fragen zu Datenschutz und IT-Sicherheit sowie die Unterbreitung von Lösungsvorschlägen
  • Fragen zu technischen Umsetzung bzgl. Datenschutzanforderungen sowie Abbildung der IT-Sicherheit im Gesundheitswesen
  • Hilfestellungen bei Organisation, Strukturierung und Integration von Datenschutz und Datensicherheit in den Arbeitsablauf von Einrichtungen der Gesundheitsversorgung

Diese Aufgaben beinhalten dementsprechend

  • Empfehlungen zur organisatorischen und technischen Umsetzung von Anforderungen von Datenschutz und IT-Sicherheit in Einrichtungen der Gesundheitsversorgung wie
    • Krankenhäusern
    • Arztpraxen
    • Forschungseinrichtungen
    • Laboren
    • ...
  • Empfehlungen zu einem oder mehreren Datenschutzkonzept(en) und IT-Sicherheitskonzept(en)
  • Fachliche Beratung zu Datenschutz-Technologien und organisatorischen Fragen
  • Durchführung von Kursen, z. B. auf der GMDS-Jahrestagung
  • Bereitstellung von Online-Informationen im Internet (siehe Ausarbeitungen auf der AG-Homepage unter gesundheitsdatenschutz.org/doku.php/themen)
  • Mitwirkung bei überregionalen Veranstaltungen zu Fragen des Datenschutzes und der IT-Sicherheit im Gesundheitswesen
  • Mitarbeit in nationalen und internationalen Gremien

Das Vorhaben der Arbeitsgruppe in diesen Gebieten besteht unter anderem in

  1. Empfehlungen bzgl. Fragen zu IT-Sicherheit und Datenschutz in der Gesundheitsversorgung
  2. Förderung und Beratung von Modellprojekten sowie ggfs. Unterstützung bei deren Durchführung
  3. Konzepte für Beratung, Ausbildung, Schulung
  4. Leitlinien für die Anwendung im laufenden Betrieb

Tätigkeiten der Arbeitsgruppe:

Tätigkeit vom 1. Januar 2017 bis 31. Dezember 2017

Die Aktivitäten der AG-Mitglieder im Themenbereich Datenschutz und IT-Sicherheit sind unvermindert weitergegangen.

 1. Treffen der AG

Die AG traf sich im Rahmen der conhIT am 25. April 2017 sowie auf einer AG-Sitzung am 09. Oktober 2017, beides in Berlin.

 2. Aktivitäten der AG

2.1 Ausarbeitungen

-          Eine Ausarbeitung bzgl. der aus der EU DS-GVO resultierenden datenschutzrechtlichen Anforderungen bei Forschungsvorhaben wurde erarbeitet und im Mai
            2017 veröffentlicht.

-          In Zusammenarbeit mit dem ZTG wurde ein Leitfaden zur Erstellung eines Sicherheitskonzeptes erstellt und im September 2017 veröffentlicht.

-          Zur Verarbeitung personenbezogener Daten wurden verschiedene Hilfsmittel bereitgestellt:

·         Ein „F.A.Q.“ zur Auftragsverarbeitung(Veröffentlichung Mai 2017)

·         Ein Mustervertrag zur Auftragsverarbeitung (Veröffentlichung Juni 2017)

·         Eine Hilfestellung bzgl. des Umgangs mit Altverträgen bzgl. Auftragsverarbeitung (Veröffentlichung Juni 2017)

-          Die Erstellung einer Hilfestellung zum Umgang mit der Datenschutz-Folgenabschätzung (PIA) wurde begonnen und voraussichtlich im Frühjahr 2018
            fertiggestellt.

 2.2 Zusammenarbeit mit anderen Organisationen

Zu erwähnen sind hier vor allem die gute und enge Zusammenarbeit mit

-          BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.),

-          bvitg (Bundesverband Gesundheits-IT e.V.),

-          DKG (Deutsche Krankenhausgesellschaft e.V.),

-          GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.),

-          IHE-D (Integrating the Healthcare Enterprise Deutschland) und

-          ZTG (Zentrum für Telematik und Telemedizin GmbH).

 2.3 Veranstaltungen

Am 26./27. Oktober 2017 wurde ein zweitägiges Seminar zur Umsetzung der Datenschutz-Grundverordnung in der Medizin durchgeführt.

Im Rahmen der conhIT-Satellitenveranstaltung wurde der Workshop „Social Media im Gesundheitswesen: Aber sicher!“ ausgerichtet.

Weiterhin wurde die AG auf diversen Veranstaltungen repräsentiert, z. B.:

-          conhIT

-          KIS-RIS-PACS und DICOM-Treffen

-          Auf Fachtagungen der Krankenhausgesellschaft NRW.

 2.4 Begleitung/Kommentierung von Gesetzen

Da die GMDS leider nicht als Interessensvertretung bzgl. datenschutzrechtlicher Fragen im Sinne der Geschäftsordnung des Bundestages registriert ist, konnte die AG sich leider nicht direkt an den gesetzgeberischen Aktivitäten beteiligen.

Aus dem Umfeld der AG wurden die Aktivitäten des Bundesgesetzgebers dementsprechend über eine Zusammenarbeit mit anderen Verbänden begleitet. Hier sind insbesondere die folgenden Aktivitäten zu benennen:

-          Anpassung des Bundesdatenschutzgesetzes an die DS-GVO

-          Anpassung des Sozialdatenschutzes (SGB X) an die DS-GVO

-          Anpassung der rechtlichen Rahmenbedingungen der Berufsgeheimnisträger (§ 203 StGB).

3. Vorgesehene Aktivitäten 2018

3.1. Treffen der AG DGI

Es sind zwei Treffen der AG geplant:

-          Eines im Rahmen der conhIT 2018, wo auch ein neuer Stellvertreter gewählt werden wird,

-          ein weiteres Treffen findet im Herbst/Winter 2018 statt, der genaue Termin wird auf der conhIT-Sitzung der AG angestimmt.

3.2. Aktivitäten der AG

3.2.1. Veranstaltungen

Im Frühjahr wird ein weiteres zweitägiges Seminar zum Umgang mit der Datenschutz-Grundverordnung im Gesundheitswesen durchgeführt.

3.2.2 Ausarbeitungen

-          Die Ausarbeitung bzgl. der Datenschutz-Folgenabschätzung entsprechend der DS-GVO wird finalisiert.

-          Die Ausarbeitung bezüglich Anforderung von Datenschutz und IT-Sicherheit bei der Fernwartung wird abgeschlossen.

-          Die Ausarbeitung bzgl. der von der DS-GVO geforderten Sicherheit der Verarbeitung wird fertiggestellt.

-          Es soll auf den Umgang mit Checklisten unter der DS-GVO eingegangen werden und am Beispiel bzgl. der Dokumentation der Sicherheit der Verarbeitung
            gezeigt werden, wie Checklisten künftig sinnvoll eingesetzt werden können.

-          Eine Ausarbeitung bzgl. der aus der EU DS-GVO resultierenden datenschutzrechtlichen Anforderungen hinsichtlich Privacy by Design / Privacy by Default soll
            erarbeitet werden.

-          Um auf IHE XDS basierende Systeme zu unterstützen, soll ein Muster-Datenschutzkonzept hierzu entwickelt werden.

-          Der Muster-Vertrag für Auftragsverarbeitungen wird an die geänderte Gesetzeslage bei der Schweigepflicht (§ 203 StGB) angepasst.

3.2.3 Zusammenarbeit mit anderen Organisationen

Die erfolgreiche Zusammenarbeit mit BvD, bvitg, DKG, GDD, IHE und ZTG soll fortgeführt werden.

Archiv der Tätigkeitsberichte

  • Aktivitäten im Jahr 2016

    Aktivitäten im Jahr 2016

    Tätigkeiten im Berichtszeitraum 1. Januar bis 31. Dezember 2016

    Die Aktivitäten der AG-Mitglieder im Themenbereich Datenschutz und IT-Sicherheit sind unvermindert weitergegangen.

    1. Treffen der AG

    Die AG traf sich im Rahmen der conhIT am 19. April 2016 in Berlin. Hier erfolgte die Wahlen bzgl. der AG-Leitung, die aktuelle Leitung wurde wiedergewählt (Wahlprotokoll). Ein zweites Treffen der AG erfolgte im Rahmen der GMDS-Jahrestagung in München.

    2. Aktivitäten der AG

    2.1 Ausarbeitungen

    Zusammen mit dem Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ der GDD erarbeitete die AG eine Stellungnahme zur europäischen Datenschutz-Grundverordnung.
    Zusammen mit der Arbeitsgruppe Datenschutz des bvitg entwickelte die AG eine Umsetzungshilfe hinsichtlich des Umgangs mit der europäischen Datenschutz-Grundverordnung im Gesundheitswesen
    Weiterhin erstellte die AG eine Empfehlung bzgl. der Anforderungen an eine Einwilligung im Rahmen der europäischen Datenschutz-Grundverordnung.
    Die AG formulierte eine Empfehlung hinsichtlich der aus der europäischen Datenschutz-Grundverordnung resultierenden Dokumentationspflichten bzgl. eines Verzeichnisses der Verarbeitungstätigkeiten.
    In Zusammenarbeit mit dem ZTG erstellte die AG einen Leitfaden für die Erstellung von Datenschutzkonzepten im Gesundheitswesen.
    Die AG erarbeitete eine Ausarbeitung bzgl. der Bedeutung des Rechts auf Datenübertragbarkeit (Art. 20 DS-GVO)
    Die in Zusammenarbeit mit bvitg, GDD und IHE-Deutschland erarbeitete Empfehlung bzgl. der datenschutzgerechten Gestaltung von internetbasierten Datenaustauschplattformen wurde finalisiert.

    2.2 Zusammenarbeit mit anderen Organisationen

    Zu erwähnen sind hier vor allem die Zusammenarbeit mit dem BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.), der DKG (Deutsche Krankenhausgesellschaft e.V.), der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) und dem bvitg (Bundesverband Gesundheits-IT e.V.) als auch der TMF (Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V.).

    2.3 Veranstaltungen

    Es wurden verschiedene Workshops durchgeführt:

    Im Rahmen der conhIT-Satellitenveranstaltung wurde der Workshop „Europäische Datenschutzgrundverordnung - Konsequenzen für die Informationsverarbeitung im deutschen Gesundheitswesen“ ausgerichtet.
    Am 23. Mai 2016 wurde gemeinsam mit bvitg, GDD und TMF wurde der Workshop „Anonymisierung und Pseudonymisierung in Patientenversorgung und Forschung“ erfolgreich durchgeführt.
    Während der GMDS-Jahrestagung wurde am 30. August 2016 in Zusammenarbeit mit dem ZTG der Workshop „Datenschutz in der Telemedizin“ erfolgreich durchgeführt.
    Weiterhin wurde die AG auf diversen Veranstaltungen repräsentiert, z. B.:

    conhIT
    KIS-RIS-PACS und DICOM-Treffen
    GMDS-Jahrestagung
    2.4 Publikationen

    GMDS und GDD zum Gesundheitsdatenschutz nach der DS-GVO. GDD-Mitteilungen (2016-05): 2-3
    Umsetzungshilfe für die DS-GVO. GDD-Mitteilungen 2016-05: 4
    Schütze B. (2016) Alter Wein in neuen Schläuchen? E-HEALTH-COM: 14-17
    Schütze B. (2016) Einwilligung nach der europäischen Datenschutz-Grundverordnung. mdi:93
    Schütze B, Spyra G. (2016) DS-GVO – Was ändert sich im Gesundheitswesen? RDV 32(6): 285-294

    Vorgesehene Tätigkeiten im nächsten Jahr:

    3.1. Treffen der AG DGI

    Es sind zwei Treffen der AG geplant:

    Eines im Rahmen der conhIT 2017, ein weiteres Treffen findet im Herbst/Winter 2017 statt, der genaue Termin wird auf der conhIT-Tagung bekannt gegeben.
    Eine Übersicht zu bisher stattgefundenen Sitzungen sowie zu den jeweils nächsten geplanten Sitzung ist auf der Homepage der AG unter gesundheitsdatenschutz.org/doku.php/gmds-dgi-treffen zu finden.

    3.2. Aktivitäten der AG

    3.2.1. Veranstaltungen

    Im Rahmen der conhIT wird ein Workshop „Social Media im Gesundheitswesen“ angeboten.
    Bedarfsorientiert wird ein Workshop zum Umgang mit der Datenschutz-Grundverordnung angeboten.

    3.2.2 Ausarbeitungen

    Die Ausarbeitung bzgl. Auftragsverarbeitungsverträge entsprechend der DS-GVO wird finalisiert.
    Eine Ausarbeitung bzgl. der aus der EU DS-GVO resultierenden datenschutzrechtlichen Anforderungen bei Forschungsvorhaben soll erarbeitet werden.
    Eine Hilfestellung zum Umgang mit der Datenschutz-Folgenabschätzung (PIA) soll erarbeitet werden.
    In Zusammenarbeit mit dem ZTG soll ein Leitfaden zur Erstellung eines Sicherheitskonzeptes erstellt werden.
    Abschluss der Ausarbeitung bzgl. des sicheren Umgangs mit Probandenstammdaten in Forschungsprojekten.

    3.2.3 Zusammenarbeit mit anderen Organisationen

    Die erfolgreiche Zusammenarbeit mit BvD, bvitg, DKG, GDD, TMF, und ZTG soll fortgeführt werden.