Handbuch E-Health. Grundverständnis im Umgang mit Patientendaten

Inhaltsverzeichnis

1 Einführung

1.1 Beratung

1.2 Übungsaufgaben und Lösungen

1.3 Farben in diesem Buch

2 Was bedeutet E-Health?

2.1 Das System in Zahlen

2.2 Praxisbeispiele für den Einsatz von E-Health

3 Patientendaten

3.1 Die Patientendaten

3.2 Wieso werden Daten erhoben

3.3 Welche Regelungen gelten

3.4 Auf welche Verordnungen oder Gesetze achten

3.5 Meldungen nach dem IT-Sicherheitsgesetz

3.6 Kommunikation mit Patienten per neue Medien

3.6.1 E-Mail

3.6.2 Messenger-Dienste

3.6.3 Einsatz von externen Mailboxen

4 Der Datenschutzbeauftragte

4.1 Aufgaben

4.2 Meldung an Behörden

4.3 Hierarchie

4.4 Interne und externe Datenschutzbeauftragte

4.5 Schweigepflicht

4.6 Voraussetzungen

4.7 Datenschutzverantwortlicher

5 Schweigepflicht

5.1 Berufe mit Schweigepflicht

5.2 Was wird genau als Geheimnis gesehen

5.3 Kein Patientenbezug = kein Geheimnis

5.4 Offenbarungspflicht

5.4.1 Ausdrückliches Einverständnis

5.4.2 Stillschweigende Willenserklärung

5.4.3 Gesetzliche Ausnahmen

5.4.4 Betriebsprüfung, Finanzamt

5.4.5 Offenbarung zur Abwendung von Straftaten

5.5 Anfragen von Krankenkassen und Ämtern

5.6 Konsequenzen

5.7 Anforderung an eine Einwilligung

6 Dokumentation

6.1 Grundsatz

6.2 Einwilligung, Originale

6.3 Gesetzliche Grundlagen

6.4 Inhalte der Dokumentation

6.5 Manipulationen, Änderungen

6.6 Elektronische Dokumentation

6.7 Aufbewahrungspflicht

6.8 Auskünfte und digitaler Versand

7 Schutz der Patientendaten

7.1 Grundsätzliches

7.2 Empfang

7.3 Behandlungszimmer

7.4 Wartebereich, Aufrufen

7.5 Computer

7.5.1 Passwörter

7.5.2 Korrekter Umgang mit dem Computer

7.5.3 Firewall und Anti-Virus-Programm

7.6 Datensicherungen

7.7 Verschlüsselung

7.7.1 Warum ist eine Verschlüsselung so wichtig?

7.7.2 Praxisbeispiele Verschlüsselung

7.7.3 Verfahren/Methoden der Verschlüsselung

7.8 Arbeit mit digitalen Zertifikaten

7.9 Digitale Signaturen

7.10 Fernwartung der Systeme

7.10.1 Grundsätzliches

7.10.2 Organisatorische Maßnahmen

7.10.3 Sonstiges

7.11 Wohin mit Hardwaremüll?

7.12 Empfangene Schriftstücke

7.13 Aushändigen von Rezepten

7.14 Auskunft an Apotheken

8 Zugangskontrollen Grundwissen

8.1 Zugangskontrolle in der Praxis

8.2 Umgang mit Dritten

9 Administrative Aufnahme eines Patienten

9.1 Datenaufnahme

9.2 Behandlungsvertrag

9.3 Einwilligungen

9.3.1 Besonderheiten Privatpatienten

9.4 Datenübermittlung zum Zweck der Abrechnung

10 Briefe, Faxe

10.1 Eingang

10.2 Ausgang

10.2.1 Fax an andere Ärzte

10.2.2 Fax an Beihilfestellen

10.2.3 Fax an Patienten

11 Gesundheitsinformationssystem (GIS)

11.1 Unterstützung

11.2 Vertraulichkeit und Datenschutz

11.3 Zugriffe auf ein GIS

11.4 Nutzungsbedingungen

11.5 Spezielle Sicherheit im Gesundheitsinformationssystem

12 Weitere Informationen

12.1 Webseite der Praxis

12.2 Aufsichtsbehörden in Deutschland

12.2.1 Deutschland

12.2.2 Baden-Württemberg

12.2.3 Bayern

12.2.4 Berlin

12.2.5 Brandenburg

12.2.6 Bremen

12.2.7 Hamburg

12.2.8 Hessen

12.2.9 Mecklenburg-Vorpommern

12.2.10 Niedersachsen

12.2.11 Nordrhein-Westfalen

12.2.12 Rheinland-Pfalz

12.2.13 Saarland

12.2.14 Sachsen

12.2.15 Sachsen-Anhalt

12.2.16 Schleswig-Holstein

12.2.17 Thüringen

12.3 Umgang mit Patientenbewertungen

15 Situationsaufgaben

15.1 Aufgabe 1

15.2 Aufgabe 2

15.3 Aufgabe 3

15.4 Aufgabe 4

16 Übungsaufgaben

16.1 Dürfen Sie Patientendaten ohne die Einwilligung des Betroffenen per E-Mail versenden?

16.2 Wie wird ein sicheres Passwort erstellt?

16.3 Welche der unten aufgeführten Kombinationen stellt ein sinnvolles Passwort dar?

16.4 In einem Krankenhaus kam es in der Vergangenheit zu unbefugten Zugriffen auf digital abgelegte Krankenakten. Welche Möglichkeiten gibt es, um die Zugangskontrolle, also den unberechtigten Zugang zur Krankenhaus-EDV, zu verhindern?

16.5 Was müssen Sie beim Verlassen des Bildschirmarbeitsplatzes beachten?

16.6 Was muss bei der Fernwartung durch externe Dienstleister beachtet werden?

16.7 Welche Sanktionen drohen bei der Verletzung der ärztlichen Schweigepflicht?

16.8 Was sollte am Empfang einer medizinischen Einrichtung bei der Patientenaufnahme eingehalten werden.

16.9 Durch welche Funktion kann der Schutz dienstlich genutzter Accounts verbessert werden?

16.10 Was müssen Sie bei der Verwendung von Passwörtern beachten?

16.11 Wer ist neben den Ärzten an die ärztliche Schweigepflicht noch gebunden?

16.12 Eine Krankenschwester im einzigen Krankenhaus einer Kleinstadt hat am Wochenende einen Mann kennengelernt. Da sie Zugriff auf das zentrale Krankenhausinformationssystem hat, überprüft sie seine Daten, um zu erfahren, ob er bereits wegen irgendwelchen ansteckenden Krankheiten behandelt wurde. Ist ein solches Vorgehen erlaubt?

16.13 Wer bleibt bis zur Abgabe der Patientenakten an das Archiv für ebendiese verantwortlich?

16.14 Was müssen die Praxismitarbeiter am Empfang im Umgang mit Patientendaten am Computer beachten?

16.15 Welche Vorsichtsmaßnahme sollte vor der Versendung von Faxen mit patientenbezogenen Daten beachtet werden?

16.16 Welche Daten dürfen bei der medizinischen Aufnahme erhoben werden?

16.17 Was müssen Sie im Umgang mit Patientenakten oder anderen schriftlichen Aufzeichnungen von Patientendaten beachten?

16.18 Was muss bei der Gestaltung eines Aufnahmeformulars beachtet werden?

16.19 Welche Daten dürfen vom Patienten bei der administrativen Aufnahme in Krankenhäuser oder Pflegeeinrichtungen immer erhoben und gespeichert werden?

16.20 Was ist bei der Weitergabe der Patientendaten an den Krankenhausgeistlichen notwendig?

16.21 Darf der Arzt die Behandlungsdaten ohne die Einwilligung des Patienten an den angegebenen Hausarzt weiterleiten?

16.22 Über welche Maßnahme muss der Patient zwingend von der Krankenhausverwaltung informiert werden?

16.23 Was müssen Sie bei der Nutzung von Faxgeräten in Zusammenhang mit patientenbezogenen Inhalten beachten?

16.24 Welche Voraussetzung muss vorliegen, damit bei Privatpatienten die Abrechnung über die privatärztliche Verrechnungsstelle erfolgen darf?

16.25 Was gilt zwingend bei der Postöffnung in der Poststelle?

16.26 In welchen Räumlichkeiten einer medizinischen Einrichtung müssen Patientenunterlagen nicht besonders vor dem Zugriff und der Einsichtnahme durch Unbefugte geschützt werden?

16.27 Welche typischen Gefahrensituationen kennen Sie bei einem Gesundheitsinformationssystem?

16.28 Welches ist die größte Gefahr für das Patientengeheimnis beim Einsatz mobiler Geräte im Gesundheitsumfeld?

16.29 Ein Krankenhaus möchte ein informationstechnisches System einführen, das neben den Patientenakten auch medizinische Statistiken über Anamnesen, Diagnosen, Untersuchungsergebnisse etc. beinhaltet. Wie wird ein solches IT-System gemeinhin bezeichnet?

16.30 Was muss ein Mitarbeiter unternehmen, wenn er Sicherheitsverletzungen feststellt?

17 Übungsaufgaben – Lösungen

Zielsetzung & Themen

Dieses Handbuch dient als umfassender Leitfaden für ein grundlegendes Verständnis des Datenschutzes und der Sicherheit im modernen Gesundheitswesen (E-Health). Das primäre Ziel ist es, medizinischem Personal und Mitarbeitern in Arztpraxen und Krankenhäusern die notwendigen Kenntnisse zu vermitteln, um den strengen gesetzlichen Anforderungen an Patientendaten, Dokumentation und IT-Sicherheit gerecht zu werden und somit das Arzt-Patienten-Vertrauensverhältnis nachhaltig zu schützen.

• Grundlagen des Datenschutzes und der IT-Sicherheit im E-Health-Sektor
• Die ärztliche Schweigepflicht und ihre Anwendung in der digitalen Kommunikation
• Anforderungen an die rechtskonforme Dokumentation und Datenaufbewahrung
• Zugangskontrollen und Schutz vor unberechtigtem Datenzugriff in der Praxis
• Sicherheitsrelevante Aspekte bei der Fernwartung von IT-Systemen

Auszug aus dem Buch

Zusammenfassung der Kapitel

Einführung: Dieser Abschnitt bietet einen Überblick über den Zweck des Handbuchs und erläutert die Konzeption sowie die Symbolik zur besseren Orientierung innerhalb der Lerneinheiten.

Was bedeutet E-Health?: Hier werden die Grundlagen der Digitalisierung im Gesundheitssektor definiert, untermauert durch statistische Daten und praktische Anwendungsbeispiele der Telemedizin.

Patientendaten: Dieses Kapitel behandelt die Definition und Erhebung von Patientendaten unter Berücksichtigung der geltenden gesetzlichen Rahmenbedingungen und des IT-Sicherheitsgesetzes.

Der Datenschutzbeauftragte: Hier werden die Aufgaben, Hierarchien und Voraussetzungen für die Funktion des Datenschutzbeauftragten in medizinischen Einrichtungen detailliert dargelegt.

Schweigepflicht: Das Kapitel erläutert die rechtliche Tragweite der ärztlichen Schweigepflicht, betroffene Berufsgruppen sowie notwendige Ausnahmen, etwa bei Notständen oder strafrechtlichen Anfragen.

Dokumentation: Dieser Teil befasst sich mit den Anforderungen an eine ordnungsgemäße, manipulationssichere und dokumentenechte Aktenführung nach § 630f BGB.

Schutz der Patientendaten: Fokus auf technische und organisatorische Maßnahmen wie Zugangskontrollen, Verschlüsselung, Fernwartung und den sicheren Umgang mit Hardware.

Zugangskontrollen Grundwissen: Eine Einführung in die Sensibilitätsklassifizierung von Daten und praktische Methoden zur physischen und digitalen Sicherung des Praxiseingangs.

Administrative Aufnahme eines Patienten: Leitfaden für den datenschutzkonformen Prozess der Patientenanmeldung und die rechtsgültige Handhabung von Einwilligungen.

Briefe, Faxe: Hinweise für den sicheren Umgang mit sensiblen Daten bei Postein- und -ausgang sowie bei der Kommunikation via Fax an Ärzte oder Behörden.

Gesundheitsinformationssystem (GIS): Erläuterung der Sicherheitsanforderungen beim Betrieb digitaler Informationssysteme und den Umgang mit Benutzerrechten.

Weitere Informationen: Eine Zusammenstellung wichtiger rechtlicher Mindestinhalte für Webseiten sowie eine Auflistung der Aufsichtsbehörden aller Bundesländer.

Schlüsselwörter

Datenschutz, E-Health, Schweigepflicht, Patientendaten, DSGVO, IT-Sicherheit, Dokumentation, Fernwartung, Verschlüsselung, Gesundheitsinformationssystem, Zugangskontrolle, Behandlungsvertrag, Patientenakte, Datenschutzbeauftragter, Datensicherung

Häufig gestellte Fragen

Worum geht es in diesem Handbuch grundsätzlich?

Das Handbuch bietet eine praxisorientierte Anleitung zur Umsetzung von Datenschutzvorgaben und IT-Sicherheitsstandards im deutschen Gesundheitswesen für Mediziner und Praxismitarbeiter.

Welche zentralen Themenfelder werden abgedeckt?

Zentrale Themen sind die ärztliche Schweigepflicht, Anforderungen an die Dokumentation, sichere IT-Infrastruktur, der korrekte Umgang mit Patientendaten am Empfang und die rechtlichen Rahmenbedingungen der Datenübermittlung.

Was ist das primäre Ziel des Werks?

Ziel ist es, Mitarbeitern in Gesundheitseinrichtungen Sicherheit im Umgang mit hochsensiblen Daten zu geben, um sowohl gesetzliche Strafen zu vermeiden als auch das Vertrauen der Patienten zu wahren.

Welche wissenschaftlichen oder rechtlichen Grundlagen finden Anwendung?

Die Arbeit basiert auf der DSGVO, dem BDSG, dem BGB (§ 630f ff.) sowie verschiedenen Sozialgesetzbüchern (SGB V) und dem IT-Sicherheitsgesetz.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in konkrete Handlungsanweisungen für den Alltag, angefangen bei der Patientenaufnahme, über technische Schutzmaßnahmen (Passwörter, Verschlüsselung) bis hin zu rechtssicheren Abläufen bei der Kommunikation mit Ämtern und Krankenkassen.

Welche Schlüsselwörter charakterisieren das Werk?

Die Arbeit lässt sich durch Begriffe wie E-Health, Schweigepflicht, Datenschutz, IT-Sicherheit und Patientengeheimnis definieren.

Ist die namentliche Aufrufung von Patienten in der Praxis zulässig?

Ja, laut Tätigkeitsbericht des bayerischen Landesamtes für Datenschutzaufsicht ist die namentliche Ansprache in der Arztpraxis gesellschaftsüblich und stellt keinen Verstoß gegen die DSGVO dar.

Darf ein Mitarbeiter privat auf das Krankenhausinformationssystem zugreifen?

Nein, der Zugriff auf Patientendaten darf ausschließlich für die eigene, für die Behandlung notwendige berufliche Tätigkeit erfolgen; sogenannte „Privatrecherche“ ist strikt untersagt.

Welche Vorsicht ist bei der Faxkommunikation geboten?

Es muss sichergestellt werden, dass der Empfänger (oder ein Berechtigter) das Fax unmittelbar nach Erhalt zur Kenntnis nimmt und keine Unbefugten Zugriff auf das Gerät haben; Faxe an private Anschlüsse sind ohne Einwilligung untersagt.