Skip to main content
Skip to main navigation
Skip to footer

von Till Berger
veröffentlicht am 18.07.2017

Was die EU-Datenschutzgrundverordnung für Krankenhäuser bedeutet

Einhergehend mit der Digitalisierung und fortschreitenden Vernetzung im Gesundheitswesen müssen sich Krankenhäuser zunehmend mit Datenschutz und Datensicherheit befassen. Neue Gesetze, wie das 2015 in Kraft getretene IT-Sicherheitsgesetz und das 2016 in Kraft getretene E-Health-Gesetz, haben auch Konsequenzen für das Gesundheitswesen und alle medizinischen Bereiche.

Aktuell steht die neue EU-Datenschutzgrundverordnung (DSGVO) vor der Tür. Nach mittlerweile fünf Jahren sollen ab Mai 2018 die EU-weit geltenden Datenschutzstandards endgültig Anwendung finden. Die DSGVO ist die Antwort auf den digitalen Wandel und soll den Schutz des Bürgers, seiner Privatsphäre und seiner persönlichen Daten gewährleisten. Die bisher geltende Datenschutzrichtlinie von 1995 wird abgelöst – und damit zum Teil auch der Flickenteppich aus einer Vielzahl an nationalen Datenschutzregelungen innerhalb der EU.

Die DSGVO ersetzt als direkt anwendbares Recht nationales Datenschutzrecht. Allerdings bieten sogenannte „Öffnungsklauseln“ die Möglichkeit, bereichsbezogen auch abweichende, teils sogar strengere nationale Regelungen zu erlassen. Eine solche Öffnungsklausel erlaubt es beispielsweise, dass Mitgliedsstaaten eigene – auch strengere – Regeln für die Verarbeitung von Gesundheitsdaten festlegen. Es bleibt abzuwarten, wie Deutschland diese Freiheiten umsetzt. Dies gilt insbesondere auch für unsere landesrechtlichen Datenschutzregularien, z. B. in Landeskrankenhausgesetzen.

In Deutschland gelten neben der DSGVO gleichzeitig die 16 Landesdatenschutzgesetze, die Datenschutzverordnungen der evangelischen und katholischen Kirche sowie das Bundesdatenschutzgesetz, insgesamt also 20 gleichzeitige Regelungen.

Worauf müssen sich Krankenhäuser einstellen?

Für Krankenhäuser wird vor allem das Thema Auftragsdatenverarbeitung (ADV) wichtig. Krankenhäuser müssen sich darauf einstellen, dass sie besser als bisher über die Verarbeitung von personenbezogenen Daten bzw. Patientendaten Auskunft geben müssen. Die Einrichtungen sollten entsprechend ihre Verträge mit Partnern prüfen und gegebenenfalls anpassen. Die DSGVO stellt zudem klar, dass bei Einhaltung der grundsätzlichen Regeln zum Datentransfer eine ADV auch außerhalb der EU stattfinden kann.

Zudem müssen sich Krankenhäuser auf mehr Dokumentationspflichten einstellen. Die Einwilligung des Patienten in die Nutzung seiner Daten erhält beispielsweise mehr Bedeutung und muss beweispflichtig dokumentiert werden. Bisher waren Inhalt und Form korrekter Einwilligungen umstritten und kontrovers diskutiert. Die DSGVO bestimmt, dass nur eine „[…] in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, […]“ wirksam ist.

Einrichtungen sollten auch ihr IT-Konzept überprüfen und anpassen. Gerade die letzten Monate haben gezeigt, wie schnell ein Krankenhaus Opfer eines Hackerangriffs werden kann. Diese Prozesse beziehen sich aber nicht nur auf den Schutz nach außen, sondern auch nach innen: Was passiert bei Datenverlust? Wer hat bei einem solchen Fall welche Aufgaben? Wie sehen Daten-Portabilität und Löschungskonzepte aus? Krankenhäuser sollten diese Prozesse gegebenenfalls neu organisieren und standardisieren.

Wie bereitet sich Cerner auf die Umsetzung der DSGVO vor?

Direkt nach der offiziellen Einführung der DSGVO hat Cerner ein Compliance-Programm erarbeitet, das die strukturierte Implementierung der neuen Anforderungen der DSGVO in die eigenen IT-Lösungen fristgerecht sicherstellt. Gleichzeitig wird Cerner Geschäftsprozesse wo nötig an die DSGVO angleichen.

Die IT-Lösungen sind so gestaltet, dass sie ein hohes Maß an Sicherheit ermöglichen. Cerner berät die Kunden bei ihrer Verpflichtung gegenüber Betroffenen, etwa Zugriffskontrollen oder -berechtigungen. Zudem kann Cerner bei der Daten-Portabilität unterstützen und seine Lösungen individuell nach den dokumentierten Weisungen der Kunden anpassen.

Auf Prozessebene unterstützt Cerner die Auditrechte der Kunden durch transparente Geschäftsprozesse. Schon jetzt stellt Cerner höchste Ansprüche an die Sublieferanten und ist nach dem EU-US Privacy Shield zertifiziert.

Cerner berät seine Kunden außerdem bei der Erfüllung ihrer organisatorischen Verpflichtungen, z. B. im Hinblick auf die Datensicherheit, Meldung von Daten- schutzvorfällen und Datenschutzfolgeabschätzungen.

Für Fragen zur DSGVO wenden Sie sich gern an unsere Datenschutzbeauftragten Jana Fuchs und Andrea Hohmann.

Buten un binnen – wagen un winnen

von Norbert Neumann
20.06.2018
Krankenhäuser sind hochkomplexe Wirtschaftsbetriebe. Insbesondere – wenn auch nicht nur – in Verbünden fallen große, sehr komplexe Datenmengen an, die mit konventionellen Mitteln wie Data Warehouses alleine kaum effizient auszuwerten sind. Die Gesundheit Nord, ein Verbund von vier großen Krankenhäusern in Bremen, verlässt sich deshalb auf die krankenhausspezifische Business-Intelligence-Lösung i.c.m.health® von Cerner® und hat damit ein übergreifend einheitliches, effizientes Krankenhausberichtswesen aufgebaut.

Beitrag lesen

Mit i.s.h.med auf HIMSS 6

von Norbert Neumann
11.06.2018
Neulich unterhielt ich mich mit Frau Perndl. Sie ist Diplom-Ingenieurin und hat mit ihrem Team das KIS des Ordensklinikum Elisabethinen in Linz aufgebaut, das Anfang des Jahres mit HIMSS EMRAM Stufe 6 ausgezeichnet wurde. Ihre Geschichte ist ein schönes Beispiel für die Evolution der Krankenhaus-IT und welchen Nutzen man durch eine zielgerichtete kontinuierliche Entwicklung daraus generieren kann.

Beitrag lesen

Viele Funktionen – intuitiv zu bedienen

von Norbert Neumann
11.06.2018
Mobilität ist im Klinikum Kassel nichts Neues. Bislang waren die mobilen Anwendungen allerdings nicht an das KIS medico von Cerner angebunden und hatten auch nur einen eingeschränkten Funktionsumfang. Deswegen nutzte man im Klinikum die Möglichkeit, medico Touch, die neue mobile Anwendung von medico, im Betatest auszuprobieren.

Beitrag lesen

Was lösche ich und wenn ja, wieviel? – Was sich mit der DSGVO ändert

von Till Berger
25.05.2018
Ab heute werden die EU-weit geltenden Datenschutzstandards der neuen EU-Datenschutzgrundverordnung (DSGVO) endgültig Anwendung finden. Die DSGVO hat zum Ziel, den Datenschutz zu erhöhen und jedem einzelnen Bürger mehr Kontrolle über seine Daten zu geben. Gleichzeitig werden die Strafen bei Zuwiderhandlungen an das realistische Risiko der Verletzung eines Grundrechts angepasst, d. h. sie werden empfindlich erhöht.

Beitrag lesen