Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Datenschutz und Datensicherheit in Informationssystemen des Gesundheitswesens

Erschienen (in leicht redigierter Form) in f&w 2/97, 133-138.
B. Blobel (1) und K. Pommerening (2)

Zusammenfassung

Mit den gegenwärtigen und längst noch nicht abgeschlossenen dramatischen strukturellen Veränderungen entwickelt sich das Gesundheitswesen zu einer offenen und verteilten Struktur im Sinne des „Shared Care“. Zur Steigerung der Effizienz trägt entscheidend die elektronische Informationsverarbeitung bei. Die hohen Ansprüche an Datenschutz und Datensicherheit in der Medizin erfordern dabei effektive und sorgfältig geplante Maßnahmen.
Dieser Artikel richtet sich an die Verantwortlichen im Management und in den Anwendungsbereichen der Informationstechnologie in Einrichtungen des Gesundheitswesens. Er soll ihnen einen Überblick über die in diesem Rahmen bestehenden Anforderungen, Probleme und Lösungskonzepte geben und Entscheidungsgrundlagen liefern. Insbesondere werden Empfehlungen für die organisatorischen und technischen Maßnahmen formuliert, die zur Umsetzung solcher Konzepte geeignet sind. (3)
Fazit: Vollständige Sicherheit kann es auch in einem Gesundheitsinformationssystem nicht geben. Mit dem Stand der Technik läßt sich aber prinzipiell ein angemessenes Sicherheitsniveau erreichen, ohne die Arbeitsabläufe im Gesundheitswesen unzumutbar zu beeinträchtigen.

1. Veränderungen in Struktur und Funktion des Gesundheits- und Sozialwesens unter dem Aspekt der Datensicherheit

Die Bemühungen um Sicherung des sich qualitativ und quantitativ ausweitenden Versorgungsauftrages bei gleichzeitiger Dämpfung der Kostenexplosion werden nur durch eine straffe, auf Effizienz und Qualität ausgerichtete Gestaltung der Betreuungsprozesse erfolgreich sein können. Die Arbeitsteiligkeit im Gesundheitswesen und die Verzahnung seiner Strukturen nehmen zu. Das erfordert eine entwickelte Kommunikation und Kooperation innerhalb der sowie zwischen den Einrichtungen des Gesundheits- und Sozialwesens im Sinne des "Shared Care" [7, 8, 13, 14]. Unter Shared Care verstehen wir nach [19] die „fortlaufende und koordinierte Tätigkeit von verschiedenen Personen in verschiedenen Institutionen unter Einsatz verschiedener Methoden zu verschiedenen Zeiten, um Patienten in medizinischer, psychologischer und sozialer Hinsicht optimal helfen zu können“.
Mit der Schaffung der kommunikativen Infrastruktur in den Gesundheitseinrichtungen, mit der informationslogistischen Begleitung der arbeitsteiligen Prozesse in der medizinischen Versorgung und der daraus resultierenden Realisierung komplexer, z. T. strukturübergreifend kooperierender Krankenhausinformationssysteme ergeben sich hohe Anforderungen zur Gewährleistung von Datensicherheit und Datenschutz [4, 5, 10, 25]. Durch die Entwicklung der politischen und wirtschaftlichen Integration sind diese Fragen der sicheren Kommunikation in verteilten Gesundheitsinformationssystemen nicht nur im nationalen, sondern auch im internationalen (bzw. zumindest im europäischen) Rahmen zu sehen.
Die zu gewährleistenden Dimensionen der Datensicherheit für Gesundheitsinformationen sind

  • die Integrität der Informationen
  • die Vertraulichkeit der Informationen
  • die Verfügbarkeit der Informationen sowie
  • die Verantwortlichkeit für Informationen und Prozesse im Sinne der Verläßlichkeit und Verbindlichkeit

Die Vertraulichkeit der Information spricht Aspekte des Datenschutzes an. Die Integrität und Verfügbarkeit der Information stellt inzwischen eine wesentliche Bedingung im Gesundheitswesen dar - insbesondere unter den Bedingungen zunehmender Integration der Informationsverarbeitung in die realen Abläufe und der daraus resultierenden Abhängigkeit von der richtig aufbereiteten Information zur rechten Zeit am rechten Ort. Somit darf die Betrachtung nicht auf die Dimensionen des Datenschutzes beschränkt bleiben, sondern muß die Aspekte der Datensicherheit als Grundlage für Kooperativität integrieren.

2. Rechtliche Basisprinzipien für die Verarbeitung medizinischer Informationen

Im Volkszählungsurteil hat das Bundesverfassungsgericht erstmals das Recht des Bürgers auf informationelle Selbstbestimmung definiert. Diese Gedanken wurden von der Europäischen Union adaptiert und in Verbindung mit fortschrittlicher Datenschutzgesetzgebung, bei der das deutsche Datenschutzrecht an vielen Stellen Pate stand, als rechtsverbindliche EU-Direktive [4, 5, 40] zum Schutz des Individuums bei automatisierter Verarbeitung seiner persönlichen Daten und deren Austausch formuliert. Diese Direktive ist bis zum 24. Oktober 1998 von allen EU-Mitgliedsländern in nationale Gesetze umzusetzen. Danach dürfen personenbezogene Daten nur für einen klar definierten und rechtlich abgesicherten Zweck erfaßt und nicht von diesem Zweck abweichend weiterverarbeitet werden. Das generelle Verbot der Erfassung und Verarbeitung sensitiver Daten wird nur aufgehoben, wenn

  • eine nachprüfbare (schriftliche) Einwilligung durch den Patienten bzw. seinen Vertreter vorliegt
  • die Erfassung und Verarbeitung für medizinische oder gesundheitsbezogene Zwecke durch Personen erfolgt, die durch ein Berufsgeheimnis (z. B. die ärztliche Schweigepflicht) oder eine gleichwertige Verpflichtung gebunden sind
  • der Schutz der vitalen Interessen des Patienten die Erfassung und Verarbeitung notwendig macht
  • ein unabdingbares, rechtlich gesichertes Gemeininteresse über das Individualinteresse zu stellen ist oder sonstige, rechtlich fixierte Ausnahmen die Erfassung und Verarbeitung erfordern

Dabei hat die Erfassung und Verarbeitung der Daten fair und rechtmäßig zu erfolgen und ist auf ein zweckbezogen adäquates, relevantes und minimales Maß zu beschränken. Die Daten müssen korrekt sein und dürfen nur für eine zweckgebunden unbedingt notwendige Zeit gespeichert werden.
Der Patient hat das Recht auf Informiertheit über die beabsichtigte Erfassung und Verarbeitung seiner personenbezogenen Daten sowie auf Berücksichtigung seiner Rechte hinsichtlich des Zwecks der Erfassung und Verarbeitung. Der Patient darf auf diese Daten direkt oder über eine Person des Vertrauens (z. B. seinen Hausarzt) zugreifen. Infolge der Durchdringung der medizinischen Prozesse mit Informationstechnik kann es zunehmend zur Verselbständigung der Patientendaten kommen, so daß die Daten einen status personae annehmen und mit "Persönlichkeitsrechten" auszustatten sind. Deshalb ist laut EU-Direktive eine automatisierte Entscheidungsfindung allein auf der Grundlage gespeicherter Daten unzulässig.
Der Patient darf erwarten, daß seine persönlichen Daten im Gesundheitswesen mit äußerster Sorgfalt und Vertraulichkeit behandelt werden. Auch darf der Patient voraussetzen, daß vorhandene, erforderliche Informationen zur rechten Zeit am rechten Ort in der erforderlichen Aufbereitung der berechtigten Person zur Verfügung stehen, um eine optimale Betreuung zu gewährleisten. Ebenso sind die persönlichen Daten der Beteiligten im Gesundheitsprozeß entsprechend der Datenschutzgesetzgebung zu schützen.
Das arbeitsteilig organisierte Gesundheitswesen benötigt zur Erfüllung seiner Aufgaben entsprechende Informationen über den Patienten, spezifische Teile seiner Krankengeschichte sowie diagnostische und therapeutische Informationen aus dem Behandlungsgeschehen. Sowohl die ärztliche Schweigepflicht (§203 Abs.1 Nr. 1 StGB (4)) als auch das „Datengeheimnis“ (§5 BDSG (5)), das den Beschäftigten im Gesundheitswesen die Verarbeitung von Patientendaten nur im Rahmen der Zweckbestimmung des Behandlungsvertrages gestattet, verbieten es aber, Patientendaten uneingeschränkt - d.h. über die unmittelbare Zweckbindung hinaus - auszutauschen und zu verwenden.
Erschwerend in der Diskussion um den Datenschutz wirkt die diffizile Rollenverteilung bei den informationellen Prozessen in der Medizin. Diese Rollenverteilung ist mit einer unterschiedlichen Distanz zum Ursprung der Information verbunden, definiert Rechte und Pflichten und begründet Rechtsverhältnisse (in der Bundesrepublik noch als Eigentumsverhältnisse diskutiert) an Informationen [3]. Ein besonderer Bereich ist die Notfallmedizin mit ihrem zunächst anonymen Arzt-Patienten-Verhältnis, was in Sicherheitskonzepten entsprechend berücksichtigt werden muß.
Der Patient als Urheber und das medizinische Fachpersonal als Produzent der Information tragen die Verantwortung für die korrekte Verwendung der Daten unter Berücksichtigung der Persönlichkeitsrechte der Beteiligten. Folglich kann nur der die Daten produzierende, das heißt, sie erhebende Arzt bzw. die Institution unter Einbeziehung des Patienten die Rechte für den Zugriff auf die medizinischen Daten des Patienten und deren definierte Verwendung erteilen. Das gilt auch für archivierte Daten [3, 4].

3. Folgerungen für Datenschutz und Datensicherheit in medizinischen Informationssystemen

Vorschriften und Maßnahmen zur Datensicherheit im Gesundheitswesen tragen dazu bei, daß das Vertrauensverhältnis zwischen Patient und Arzt und das Persönlichkeitsrecht des Patienten bei der Datenverarbeitung gewahrt bleiben. Datensicherheit muß bereichsspezifisch, insbesondere medizinspezifisch gestaltet werden. Das Problem der Datensicherheit im Gesundheits- und Sozialwesen ist insbesondere auch unter ethischen Gesichtspunkten zu lösen.
Patientendaten sind nach dem Stand der Technik zu schützen, wobei aber das Prinzip der Verhältnismäßigkeit zu beachten ist (siehe auch EU-Direktive [40]). Insbesondere für medizinische Daten ist wegen ihrer Sensitivität ein entsprechend hoher Aufwand zur Realisierung der Sicherheit geboten. Durch technische und organisatorische Maßnahmen muß gewährleistet sein, daß nur der zuständige Arzt und, soweit für die Behandlung nötig, mitbehandelnde Ärze und Pflegepersonal sowie sonstige berechtigte Personen (6) die Patientendaten lesen oder im zulässigen Rahmen weitergeben können. Auch eine Krankenhausverwaltung darf nur zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind. Als technische Absicherung müssen Patientendaten (wie auch andere möglicherweise vertrauliche Daten) per Systemvoreinstellung gegen Einsichtnahme und Übermittlung geschützt sein; die jeweilige Freigabe muß ein bewußter Akt sein. Den unterschiedlichen Aufgaben und Zielen entsprechend ist der Zugriff selektiv nach

  • Identifikationsdaten
  • administrativen Daten
  • sozialen Daten
  • medizinischen Daten
  • genetischen Daten

zu gewährleisten [40].
Die Sicherheitsmaßnahmen sollen die Aufmerksamkeit des Arztes nicht vom Patienten ablenken. Zwar sind Datenschutzmaßnahmen ohne Mitwirkung der Beteiligten nicht zu verwirklichen, aber die Belastung des medizinischen Personals durch organisatorische und technische Verfahren ist zu minimieren. Der sachgerechte Umgang mit den Patientendaten darf durch Schutzmaßnahmen nicht beeinträchtigt werden. Die Verfügbarkeit der Daten, besonders in kritischen Situationen, ist im Interesse des Patienten zu gewährleisten. Auch ist die Verfügbarkeit der Daten im begründeten allgemeinen Interesse zu gewährleisten, wobei hier strenge Maßstäbe anzusetzen sind. Technische Datenschutzmaßnahmen sollen den Austausch nicht sensitiver Informationen, z.B. den Zugriff auf externe Informationsdienste im Internet und elektronische Post, möglichst wenig behindern. Auch die Verwendung der Daten für Forschungszwecke soll, soweit die Datenschutzanforderungen für wissenschaftliche Forschungsvorhaben (7) erfüllt sind, gewährleistet sein. Dabei sollten die Daten zum frühest möglichen Zeitpunkt anonymisiert werden. Erfordert der Forschungszweck die Zusammenführung der Daten aus verschiedenen Quellen oder die Möglichkeit zur Reidentifizierung von Fällen, sollten Pseudonyme verwendet werden [32].
Die technischen und organisatorischen Datenschutzmaßnahmen in einer Institution des Gesundheitswesens sind nicht nebenbei zu erledigen. Sie erfordern die Schaffung einer entsprechenden Infrastruktur und eine klare Festlegung der Verantwortlichkeiten sowie die Einplanung eines angemessenen finanziellen und persönlichen Aufwands (siehe Abschnitt 6.).

4. Kommunikation im Gesundheitswesen: Gefahren, Bedrohungen und Schutzobjekte

Die Kommunikation im Gesundheitswesen kann bezüglich des Inhalts, der Partner, der Infrastruktur und der Dienste unterschieden werden. Kommunikationsinhalte betreffen die Medizin- oder Personenbezogenheit, insbesondere in der Differenzierung nach Identifikationsdaten usw. wie in Abschnitt 3. Die Kommunikationspartner können im Gesundheitswesen (z. B. Ärzte, Krankenhäuser, Krankenkassen) bzw. außerhalb des Gesundheitswesens (z. B. Lieferanten, Bibliotheken) angesiedelt sein. Die Kommunikationsinfrastruktur bezieht sich auf die Systemarchitektur und die genutzten Kommunikationsverbindungen, während die Dienste von der elektronischen Post über Messagesysteme wie HL7 (8) bis hin zu verteilten kooperierenden Systemen auf der Basis von CORBA (9) und/oder DHE (10) [6] reichen können [13, 14]. Die verschiedenen Kommunikationsinhalte, -partner, -infrastrukturelemente und -dienste können beliebig kombiniert werden und führen zu unterschiedlichen Bedrohungen mit unterschiedlichen Risiken und erfordern somit unterschiedliche Gegenmaßnahmen (für Messagesysteme siehe z. B. [9]).
Die Risiken, die durch die Informationstechnik im Gesundheitswesen drohen, sind vor allem:

  • die Gefährdung der Patienten durch fehlerhafte Prozeduren oder unrichtige sowie unvollständige Daten
  • die Nichtnachvollziehbarkeit der Verantwortung von Maßnahmen
  • die Bedrohung der Vertraulichkeit, insbesondere die Verletzung der Schweigepflicht und des Datenschutzes, sowie
  • die Nichtverfügbarkeit von Daten oder des Informationssystems

Bei diesen Bedrohungen kann man unterscheiden zwischen sich zufällig, mittelbar, mit geringer krimineller Energie ergebenden Aktionen (Fahrlässigkeit) sowie aggressiveren, gezielten, mit hoher krimineller Energie ausgeführten Angriffe (Vorsätzlichkeit). Die ersten entstehen durch

  • unbefugte Betriebsfremde (z.B. zufällige Besucher an unbeaufsichtigten Geräten)
  • unbefugte Betriebsangehörige (z.B. nicht-medizinisches Personal und Personal ohne Sonderbefugnis)
  • befugte Betriebsangehörige mit abweichender Befugnis (z.B. Systemverantwortliche, Administratoren)
  • befugte Betriebsfremde mit abweichender Befugnis (z.B. Wartungsdienst, Reparaturdienst)

Die Bedrohungen der zweiten Art sind zwar auch real und müssen bedacht werden, sie stellen jedoch auch nach den Ergebnissen internationaler Untersuchungen (veröffentlicht als sogenannte Incident-Reports) hinsichtlich Häufigkeit (< 20%) und z. t. auch auswirkungen das geringere potential dar. die differenzierung der bedrohungen ist allerdings von untergeordneter bedeutung, da die datenschutzvorschriften prinzipiell die bestmögliche sicherung nach dem stand der technik verlangen [31].
Zu den fahrlässigen Bedrohungen des Datenschutzes und der IT-Sicherheit durch Befugte zählen vor allem Benutzerfehler, die die Integrität der Daten und der Systeme beeinträchtigen, aber auch die für den Anwender unzureichende Transparenz von Verhalten von Betriebssystemen und Anwendungen (wie z. B. für den Benutzer nicht erkennbare Reste gelöschter Textpassagen bei Textverarbeitungssoftware) und unbeabsichtigte Nebenwirkungen von Benutzeraktionen (z. B. überschreiben einer gleichnamigen existierenden Datei beim Datentransfer). Zu vorsätzlichen Bedrohungen gehören absichtliche Manipulationen durch Insider, die z. B. die Verantwortung für begangene Fehler vertuschen wollen, aber auch „Frustreaktionen“ von Mitarbeitern. Von außen werden Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen vor allem bei einem Anschluß an öffentliche Netze bedroht. Die CERT-Advisories [15] warnen in jüngster Zeit immer wieder vor ständig beobachteten Netzaktivitäten, die automatisch die ans Internet angeschlossenen Rechner auf Sicherheitslücken testen.
Unter dem Aspekt des Datenschutzes zu beachtende Objekte sind in erster Linie die Patientendaten, aber auch die Personaldaten der Institution, deren Schutzwürdigkeit vor unbefugter Einsichtnahme sich aus den Datenschutzgesetzen ergibt. Zu schützen sind aber auch Betriebsdaten der Institution und Systemdaten aller verwendeten Rechenanlagen. Um sich nicht in komplexen Details zu verlieren, ist es am besten, auf alle Daten das 'Need-to-Know'-Prinzip bzw. das Prinzip der minimalen Rechte anzuwenden: Ein Datum darf grundsätzlich nur von demjenigen eingesehen oder verändert werden, zu dessen Aufgabe das ausdrücklich gehört [5, 31, 36].
Auch Daten, die bei der Aufzeichnung von Benutzeraktivitäten entstehen, unterliegen den Datenschutzvorschriften. Sie dürfen nur im begründeten Fall zum Nachweis von Sicherheitsverstößen verwendet werden, nicht aber zur Erstellung von Tätigkeits- und Bewegungsprofilen der Mitarbeiter (vgl. Betriebsverfassungsgesetz). Zur Regelung dieser Problematik sind begleitend zur Einführung von Informationssystemen gegebenenfalls betriebliche Vereinbarungen zwischen Personalvertretung und Management abzuschließen.

5. Modellierung und Implementierung sicherer Informationssysteme

Der Realisierung eines Informationssystems, insbesondere unter dem Gesichtspunkt der im Gesundheitswesen erforderlichen Sicherheit, muß ein klare Konzeption vorausgehen, in der Anwendungsziele und erwarteter Nutzen definiert, Probleme identifiziert und Lösungsmöglichkeiten benannt werden. Die Entwicklung von Lösungen und deren integrative Implementierung in existierende Anwendungsumgebungen erfordern klare Aufgabendefinitionen, Aufgabenteilungen, Kommunikation und Kooperation zwischen Entwicklern/Systemanbietern, Management und Nutzern [12]. Da die Einführung von IT-Anwendungen an den Zielen und Prozessen der betroffenen Institutiotiert sein muß, ist die wichtigste Aktivität eine klare und vollständige Beschreibung der Unternehmenspolitik (Ziele; Maßnahmen; Management-, Prozeß- und Qualitäts-Bewertungskriterien). Die zweite Aktivität sollte auf die komplexe Prozeßanalyse einschließlich der Integrationsmechanismen gerichtet sein [11, 12]n orien. Dann ist eine generelle Risikoanalyse des Systems und seiner Umgebung sowie die Definition von Bedrohungen und Gegenmaßnahmen durchzuführen. Qualitätsmanagement und Systembewertung werden als Entwicklungsergebnis oft unterschätzt, sind jedoch von besonderer Bedeutung für den Erfolg eines Informationssystems [39, 41].
Eine entscheidende Voraussetzung für die Entwicklung und Implementierung sicherer Informationssysteme ist die klare Zuweisung und Beschreibung von Verantwortlichkeiten innerhalb der Institution sowie beim Partner. Die umfassende Integration der Anwender und Einbeziehung der Personalvertretung ist selbstverständlich.
Alle Aktivitäten sind zu dokumentieren bzw. in der Durchführungsphase detailliert zu protokollieren.
Für jeden Schritt der Entwicklung und Implementierung sind die kontinuierliche Fortschreibung der Sicherheitsgrundsätze und die Verbesserung des Datensicherheitsbewußtseins wichtig. Dabei kommt dem Training sowie der Ausbildung und Schulung sowohl des Managements als auch der Mitarbeiter höchste Bedeutung zu [41].
Folgende Grundsätze für die Speicherung, Kommunikation und Verarbeitung von Daten in Gesundheitsinformationssystemen sind zu beachten [5, 7, 8]:

  • Die Organisation der Systeme einschließlich der Kommunikationsinfrastruktur (Netzwerktopologie) sollte unter Beachtung struktureller Einheiten und funktioneller Gemeinsamkeiten/Bedingungen erfolgen
  • Der berechtigte Personenkreis sowie dessen Rechte sind stets zu minimieren
  • Daten werden in der Verantwortung der erhebenden Institution oder Abteilung der Leistungsstelle gespeichert und verarbeitet und sind vor anderen Institutionen/Abteilungen zu schützen. Die erhebende Stellen tragen die Verantwortung für die erhobenen Daten sowie für die funktionellen und Zugriffsrechte auf diese Daten. Somit können Rechte an Dritte stets nur gegeben (logische Überweisung) und nie selbständig durch sie genommen werden
  • Produktion sowie Test und Schulung sind strikt zu trennen
  • Für Netzwerke sind die ISO-Sicherheitsstandards zu realisieren [33, 37]

Noch nicht befriedigend gelöst ist die Definition geeigneter, technischer Standards für medizinische Anwendungssysteme aller Arten in Anlehnung an die IT-Sicherheitskriterien [44], die man den Herstellern gegenüber durchsetzen kann und die die Planung und Beurteilung von Systemen erleichtern. Datenschutzinhalte und -ziele sowie Sicherheitsanforderungen sind dafür so zu spezifizieren, daß Hersteller genügend genaue Richtlinien in die Hand bekommen. Insbesondere ist eine geeignete kryptographische Infrastruktur zu definieren und soweit wie möglich zu schaffen; ein wesentlicher Schritt in diese Richtung wird zur Zeit durch das EU-Project TRUSTHEALTH [24, 38, 42, 43] sowie durch das Multimedia-Gesetz [18] geleistet.
Die vom Sicherheitskonzept geforderten Beschränkungen müssen von der Implementation garantiert, d. h., durch Sicherheitstechnik verwirklicht werden, z. B. die Festlegung, wer Zugang zu welchen Informationen hat. Hier dürfen natürlich auch die Möglichkeiten zum Datenzugriff unter Umgehung der Anwendungsprogramme nicht vergessen werden, z. B. mit Hilfe von direktem Plattenzugriff oder Netzmonitorprogrammen.

6. Verantwortlichkeiten und organisatorischen Maßnahmen

Jede Institution des Gesundheitswesens braucht einen Datenschutzbeauftragten und einen IT-Sicherheitsverantwortlichen ('Security Officer'). Diese Aufgaben sind zu trennen, da der Datenschutzbeauftragte Kontrollinstanz ist und nicht gleichzeitig Ausführender sein kann. Beide Funktionsträger benötigen, abhängig von Größe und Struktur der Institution, für die Erfüllung ihrer Aufgaben ausreichend Zeit, Mittel (auch Räumlichkeiten) und Unterstützung, insbesondere durch Schreibkräfte für Korrespondenz, Dokumentations- und Organisationsaufgaben, sowie Durchsetzungsbefugnisse. Der Datenschutzbeauftragte hat die im zuständigen Datenschutzgesetz festgelegten Aufgaben; er sollte nach Möglichkeit Mediziner sein, evtl. kommt auch ein Jurist in Betracht. Im einzelnen sind seine Aufgaben:

  • Dokumentation personenbezogener Datensammlungen
  • Überprüfung der Informationssysteme durch Revision
  • Überwachung, Verfolgung und Auswertung von Datenschutzverletzungen
  • zielgruppenorientierte Information und Schulung in Datenschutzfragen, Beratung der Abteilungen
  • Mitwirkung bei Auskunftsersuchen und Beschwerden
  • Zusammenarbeit mit dem IT-Sicherheitsverantwortlichen
  • Vertretung der Institution bei Aufsichtsbehörden und anderen relevanten Gremien

Der IT-Sicherheitsverantwortliche sollte Informatiker oder Medizin-Informatiker sein. Er erstellt das Datenschutz- und IT-Sicherheitskonzept der Institution, stimmt es mit dem Datenschutzbeauftragten ab, setzt es mit Hilfe des vorhandenen IT-Personals um und schreibt es fort [39, 41]. Im einzelnen ist er verantwortlich für:

  • die physische Sicherheit der Rechner, Netze und Datenträger einschließlich Brandschutz und Schutz vor Naturgewalten
  • Kontrolle der Sicherheit von Datenarchiven
  • die Konfiguration der Systeme, so daß sie dem Sicherheitskonzept genügen (insbesondere hinsichtlich des Einrichtens der Zugriffsrechte) [5, 7-10, 13, 14, 36]
  • die Überwachung des lokalen Netzes auf unerwünschte Datenflüsse, insbesondere auf ungenehmigte Anschlüsse an des Internet (über Modems) [37]
  • die Verwaltung von Sicherheitsausweisen, Paßwörtern und Schlüsseln (mit Systemunterstützung) [31, 39, 41]
  • die Auswertung von sicherheitsrelevanten Systemaufzeichnungen (gegebenenfalls Alarm und Einleiten von Abwehrmaßnahmen)
  • die Kontrolle der Implementation von Software
  • die Prüfung der Systemvoreinstellungen auf Sicherheitslücken
    Schulung des IT-Personals und der Benutzer in Sicherheitsfragen
  • Erstellung von Verpflichtungserklärungen für IT-Personal und Benutzer (in Abstimmung mit dem Datenschutzbeauftragten und der Personalvertretung) [36]
  • technische Beratung des Datenschutzbeauftragten

In großen Institutionen wie z. B. Universitätskliniken erfordern die Tätigkeiten des Datenschutzbeauftragten und des IT-Sicherheitsverantwortlichen je eine volle Stelle, wobei die Aufgaben des letzteren anteilig auf mehrere Personen verteilt sein können und zusätzliche Unterstützung durch das vorhandene IT-Personal notwendig ist. Ferner sollte jede Abteilung mit eigenem IT-Personal auch einen Verantwortlichen für die IT-Sicherheit (Mitglied des IT-Personals in Teilzeit) sowie einen Verantwortlichen für den Datenschutz (Mediziner, ebenfalls in Teilzeit) haben.
In kleinen Institutionen stellt sich das Problem des 'Outsourcing' in der Form des Heranziehens externer Sicherheitsberater. Hier sollte die Verantwortung aber auf jeden Fall im Hause bleiben, zusammen mit ausreichenden Grundkenntnissen von Problemen und Lösungen. Beim Datenschutzbeauftragten wäre an die Bestellung eines gemeinsamen Datenschutzbeauftragten für mehrere Häuser zu denken. Da die differenzierte Kenntnis der lokalen Verhältnisse wichtig ist, wird Outsourcing oft als wenig effektiv und zu teuer erachtet.

7. Empfohlene technische Maßnahmen und Sicherheitsinfrastruktur

Die zunehmende Tendenz auch in größeren Häusern, IT-Systeme auf dem Markt einzukaufen und weitgehend Standard-Software zu verwenden, führt zu einer wachsenden Abhängigkeit von den Herstellern dieser Systeme: Sicherheit muß nämlich schon bei der Konzeption und Entwicklung der Systeme berücksichtigt werden und kann nachträglich auf ein fertiges System in der Regel nicht mehr wirksam aufgepfropft werden [39, 41]. Die zur Zeit angebotenen Systeme erfüllen aber bestenfalls einzelne der folgenden, in offenen Systemen unverzichtbaren Anforderungen:

  • verschlüsselte Datenspeicherung
  • verschlüsselte Kommunikation (Datenübermittlung)
  • überprüfbare Zugriffskontrolle (mandatory) aufgrund einer systemweit definierten Zugriffsmatrix bei dezentraler Verantwortlichkeit für die Zugriffsrechte [11, 36]
  • Verbindlichkeit und Integrität von Verordnungen, Leistungsanforderungen, Kommunikation, Dokumentation durch elektronische Unterschrift
  • Schaffung der technischen Voraussetzunge zur Integration der künftigen Health Professional Card und zur Einrichtung der dazu nötigen vertrauenswürdigen Schlüsselverwaltungs-Infrastruktur (Thrusted Authorities, Thrusted Third Parties und deren gesicherte Kommunikation) [2, 7, 8, 42]
  • Integration von PC- und Netz-Sicherheitssystemen
  • sicherer Internet-Anschluß über ein Firewall-System [16, 35, 37]

Die technische Entwicklung hinsichtlich der Umsetzung dieser Anforderungen ist zur Zeit allerdings in starke Bewegung gekommen. Man kann im Moment nur an die Hersteller appellieren, diese Entwicklungen nicht zu verschlafen und insbesondere das kryptographische Know-How schnellstmöglich zu erwerben. Die Verantwortlichen für die Beschaffung von IT-Systemen im Gesundheitswesen sollten von Herstellern und Anbietern mit Nachdruck die Erfüllung der obigen Anforderungsliste verlangen.
Die technischen Systemleistungen sollten für den Benutzer verständlich und durchschaubar konzipiert werden, ihn nicht mit komplizierten Prozeduren belasten und für die seiner Datenhoheit unterstehenden Bestände kontrollierbar sein. Sie dürfen aber von ihm nicht ohne weiteres abgeschaltet oder umgangen werden können.
Für detaillierte technische Empfehlungen ist hier nicht der Ort. Die GMDS-Arbeitsgruppe „Datenschutz in Krankenhausinformationssystemen“ arbeitet auch hieran und wird zu gegebener Zeit ihre Ergebnisse veröffentlichen. Der aktuellste Stand ist stets über den WWW-Server der Arbeitsgruppe [20] abzurufen.

8. Schlußfolgerungen und Ausblick

Die gegenwärtigen offenen Informationssysteme gewährleisten nicht das für den Einsatz im Gesundheitswesen erforderliche Niveau an Datenschutz und Datensicherheit. Die technischen Voraussetzungen sind aber gegeben, diese ohne große Zusatzkosten in die Systeme zu integrieren: Chipkartenleser sind weit verbreitet und ihre Spezifikation für die Belange von Datenschutz und Datensicherheit definiert [1], die Health Professional Card geht in den Feldtest [2, 7, 8], kryptographische Software ist frei verfügbar [34].
Auf der Anwenderseite werden durch konsequente technische Sicherheitsmaßnahmen kaum Beeinträchtigungen der Arbeitsabläufe entstehen. Es ist aber ein nicht zu vernachlässigender organisatorischer Aufwand für die in Abschnitt 6 empfohlenen Maßnahmen nötig. Dieser führt zu einer wesentlichen Verbesserung der Qualität der Informationen und der Erfüllung gesetzlicher Auflagen. Die dadurch entstehenden Kosten werden aber vom Rationalisierungseffekt der Informationstechnik im Gesundheitswesen bei weitem aufgefangen.
Datenschutz und Datensicherheit erfordern Bewußtsein, Bildung und Training bei allen Involvierten vom Manager über das IT-Fachpersonal bis zum Anwender einschließlich des Patienten, Organisation und technische Mittel. Die Zeit ist reif, ernsthafte Anstrengungen für die Verbesserung von Datenschutz und Datensicherheit in Informationssystemen zu unternehmen.

9. Literaturverzeichnis

[1] Arbeitsgemeinschaft „Karten im Gesundheitswesen“, GMD-Forschungszentrum Informationstechnik GmbH: Multifunktionale KartenTerminals (MKT) für das Gesundheitswesen und andere Anwendungsgebiete. Spezifikation Version 0.9, August 1995.
[2] Arbeitskreis „Health Professional Card“ der Arbeitsgemeinschaft „Karten im Gesundheitswesen“: Deutscher Modellversuch „Health Professional Card (HPC)“, Göttingen, Oktober 1996.
[3] Bakker, A. R., et al. (Edrs.): Caring for Health Information. Safety, Security and Secrecy. North-Holland, Amsterdam 1995.
[4] Barber, B., Treacher, A., and Louwerse, K.: Towards Security in Medical Telematics. Legal and Technical Aspects. IOS Press, Amsterdam, Washington DC, Tokio, 1995.
[5] Blobel, B. (Hrg.): Datenschutz in medizinischen Informationssystemen. Vieweg, Braunschweig, Wiesbaden, 1995
[6] Blobel, B., and Holena, M.: Advanced Healthcare System Architecture Using Middleware Concepts - A Comparative Study. HANSA Deliverable, September 1996.
[7] Blobel, B.: A regional clinical cancer documentation system for an optimal shared health care in cancer. In: Brender, J., Christensen, J. P., Scherrer, J.-R., McNair, P. (Edrs.): Medical Informatics Europe '96, pp 1019-1026. IOS Press, Amsterdam 1996.
[8] Blobel, B.: Clinical record systems in oncology. Experiences and developments on cancer registers in eastern Germany. In: Anderson, R. A., et al. (Edrs.): Personal Information - Security, Engineering and Ethics. Conference Preprint, pp 37-54. International Workshop, Cambridge 21-22 June, 1996, to appear in Springer LNCS.
[9] Blobel, B.: Datensicherheitsaspekte beim standardisierten Datenaustausch im Gesundheitswesen. In: Mayr, H. T.: Informatik '96. Beherrschung von Informationssystemen, Band 8, S. 155-165. R. Oldenbourg Verlag, München und Wien 1996.
[10] Blobel, B.: GSG `93 und GNG `95 - Umstrukturierung der Krankenhaussysteme. klinikarzt Nr. 10/24 (1995) 491-499.
[11] Blobel, B.: Modelling for design and implementation of secure health information systems. In: Bakker, A. R., et al. (Edrs.): Communicating Health Information in an Insecure World. Conference Preprint, pp 149-156. Data Protection and Security Working Conference, Helsinki 30 September - 3 October 1995, to appear at North-Holland, Amsterdam.
[12] Blobel, B.: Moderne Architektur für ein integriertes Krankenhausinformationssystem - Grundzüge und Magdeburger Realisierungsbeispiel. In: Pöppl, S. J., et al. (Hrg.): Medizinische Informatik - Ein integrierender Teil arztunterstützender Technologien. S. 46-49. MMV Medizin Verlag München, München 1994
[13] B.Blobel: Datensicherheit in offenen Gesundheitsinformationssystemen, Teil 1. krankenhausumschau 11 (1996) S. 852-857.
[14] B.Blobel: Datensicherheit in offenen Gesundheitsinformationssystemen, Teil 2. krankenhausumschau 12 (1996).
[15] CERT Coordination Center. Im World Wide Web unter www.cert.org
[16] Chapman, D. B., and Zwicky, Elizabeth D.: Building Internet Firewalls. O'Reilly Associates, Inc., Sebastopol 1995.
[17] Datenschutzkommission Rheinland-Pfalz, Mainz. Datenschutzrechtliche Anforderungen an wissenschaftlichen Forschungsvorhaben, 1987
[18] Der Deutsche Bundestag: Multimedia-Gesetz (Referenten-Entwurf) Bonn, 1996. Im World Wide Web unter www.fitug.de/ulf/politik/iukdg.html
[19] Ellsässer, K.-H., Köhler, C. O.: Shared Care: Konzept einer verteilten Pflege - Kurz- und langfristige Perspektiven in Europa. Informatik, Biometrie und Epidemiologie in Medizin und Biologie 24 (1993) H. 4, S. 188-198.
[20] GMDS-Arbeitsgruppe �Datenschutz in Krankenhausinformationssystemen�. Im World Wide Web unter www.uni-mainz.de/FB/Medizin/IMSD/AGDatenschutz
[21] HANSA Consortium: Middleware Approaches in Healthcare. A Presentation for the Healthcare Management (Draft). August 1996.
[22] Health Level Seven Inc.: HL7 Version 2.2, 1995.
[23] HL7 Technical Steering Committee Retreat: HL7 Version 3, 1996
[24] Klein, G. (Edr.): Trusted Health Information Systems, Part 1 - 2, SPRI, Stockholm 1994.
[25] McCurley, K. S.: Protecting privacy and information integrity of computerized medical information. 1995. World Wide Web at www.cs.sandia.gov/~mccurley/health.html
[26] OMG: Common Facilities Architecture. Revision 4.0, 1995.
[27] OMG: Common Secure Interoperability. OMG Doc.No. orbos/96-06-20.
[28] OMG: CORBA Services: Common Object Services Specification. Revised Edition, 1996.
[29] OMG: The Common Object Request Broker: Architecture and Specification. Revision 2.0, 1995.
[30] OMG: The CORBA Security Specification. OMG Doc.No. 95-12-01.
[31] Pommerening, K.: Datenschutz und Datensicherheit. BI-Wissenschaftsverlag, Mannheim, Wien, Zürich, 1991
[32] Pommerening, K.: Pseudonyme - ein Kompromiß zwischen Anonymisierung und Personenbezug. In: Trampisch, H. J., Lange, S. (Hrg.). Medizinische Forschung - ärztliches Handeln. S. 329-333. MMV Medizin Verlag, München 1995
[33] Ruhland, Ch.: Informationssicherheit in Datennetzen. DATACOM-Verlag 1993
[34] Schneier, B.: Applied Cryptography. Second Edition. John Wiley & Sons, Inc., New York 1996.
[35] Security Issues for the Internet and the World Wide Web; CTR Report No 8, Computer Technology Research Corp., Charleston 1996.
[36] Seelos, H-J.: Informationssysteme und Datenschutz im Krankenhaus. DuD-Fachbeiträge 14. Vieweg, Braunschweig, Wiesbaden, 1991
[37] Stallings, W.: Network and Internet Security. Principles and Practice. Prentice Hall, Hemel Hempstead 1995.
[38] Swedish Institut for Health Service Development: Trusted Health Information Systems. Version 2, 1994-11-30.
[39] The Commission of the European Communities DG XIII/F AIM. Data Protection and Confidentiality in Health Informatics, AIM Working Conference, Brussels, 19-21 March 1990, IOS Press, Amsterdam, Washington DC, Tokio, 1991.
[40] The European Parliament and the Council of the European Union: Directive 95/ /EC of the European Parliament and of the Council of the European Union on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data. Im World Wide Web unter www.rewi.hu-berlin.de/Datenschutz/EURichtlinie/directive.html.
[41] The SEISMED Consortium (Edr.): Data Security for Health Care, Volume I - III. IOS Press, Amsterdam 1996.
[42] TRUSTHEALTH1: Functional Specification of TTP Services (Version 1.0). 1996-07-29.
[43] TRUSTHEALTH1: Selection of Security Services and Interfaces (Version 1.0). 1996-07-29.
[44] Zentralstelle für Sicherheit in der Informationstechnik, Köln. IT-Sicherheitskriterien - Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT), 1989

Fußnoten

(1) Otto-von-Guericke-Universität Magdeburg, Medizinische Fakultät, Institut für Biometrie und Medizinische Informatik
(2) Johannes-Gutenberg-Universität Mainz, Fachbereich Medizin, Institut für Medizinische Statistik und Dokumentation
(3) Dabei werden die von der Arbeitsgruppe �Datenschutz in Krankenhausinformationssystemen� der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e. V. [20] erarbeiteten Ergebnisse berücksichtigt.
(4) Strafgesetzbuch
(5) Bundesdatenschutzgesetz
(6) Entsprechend der EU-Direktive [40] unterliegen alle Personen, die im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten haben, einer Schweigepflicht, unabhängig davon, ob eine solche in einer Berufsordnung verankert worden ist.
(7) §40 BDSG, vgl. auch [7].
(8) Health Level 7, ein Protokoll zur systemunabhängigen Datenkommunikation im Gesundheitswesen [22, 23]
(9) Common Object Broker Architecture ist die objekt-orientierte Architektur der Object Management Group (OMG) für verteilte kooperierende Informationssysteme [26-30].
(102) Distributed Healthcare Environment beschreibt die europäische Architektur für Gesundheitsinformationssysteme und ihre Standardisierung [6, 21].