Kategorie: Gesundheitsdatenschutz
4. Juli 2012
Das Sozialgericht (SG) Düsseldorf hat am vergangenen Donnerstag die Klage eines Versicherten gegen die beabsichtigte Einführung der elektronischen Gesundheitskarte abgewiesen (Az.: S 9 KR 111/09). Der von mehreren Interessenverbänden unterstützte Kläger hat von der beklagten Bergischen Krankenkasse Solingen unter Berufung auf datenschutzrechtliche Bedenken und das Recht auf informationelle Selbstbestimmung die Befreiung von der elektronischen Gesundheitskarte gefordert.
Nach Auffassung des Gerichts verletzt die Karte jedoch nicht das Recht des Versicherten auf informationelle Selbstbestimmung. Eine Befreiung von der Pflicht zur elektronischen Gesundheitskarte sei gesetzlich nicht vorgesehen, was keine verfassungsrechtlichen Bedenken aufwerfe. Schließlich bestimme der Versicherte selbst, welche Informationen auf der Karte gespeichert würden. Die Pflichtangaben wie Name, Anschrift und Gültigkeitsdauer entsprächen denen der bisherigen Krankenversicherungskarte. Nur das Lichtbild sei neu. Im Hinblick auf den konkreten Streitgegenstand gebe es daher keine Veranlassung, auf die datenschutzrechtlichen Bedenken bezüglich der weiteren jedoch freiwilligen und erst zukünftigen Speichermöglichkeiten auf elektronischen Gesundheitskarten im Allgemeinen einzugehen, begründete das Gericht.
18. Juni 2012
Wie der Patientenbeauftragte der Bundesregierung Wolfgang Zöller (CSU) jetzt auf einer Podiumsdiskussion beim Hauptstadtkongress in Berlin ankündigte, soll das Patientenrechtegesetz noch in diesem Jahr in Kraft treten. Um hinsichtlich des inhaltlich umstrittenen Gesetzes diesen Zeitplan einhalten zu können, sei er auch bereit, umstrittene Punkte wie die IGeL (Individuelle Gesundheitsleistung, also Leistungen, die Ärzte ihren gesetzlich versicherten Patienten gegen Selbstzahlung anbieten können) erst nachträglich zu berücksichtigen. Drei Punkte erklärte er für einen Konsens seinerseits als notwendig. So lehnt er Härtefallfonds auf Kosten der Patienten grundsätzlich ab. Ferner plädiert er für ein Mitbestimmungsrecht der Patientenvertreter im Gemeinsamen Bundesausschuss (G-BA) in Verfahrensfragen sowie dafür auch Beinahefehler in Meldesystemen zu erfassen.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte sich bereits Ende Mai mit einer Entschließung bei der Bundesregierung für eine Stärkung der Patientenrechte innerhalb des Patientenrechtegesetzes eingesetzt. Zentrales Anliegen der Konferenz war hierbei u.a. die Förderung des Rechts der Patienten auf Zugang zur Dokumentation ihrer Behandlung und eine aktive Informationsverpflichtung bei Behandlungsfehlern.
Das parlamentarische Verfahren um das Patientenrechtegesetz beginnt am 27. September dieses Jahres.
14. Juni 2012
Medienangaben zufolge hat ein Passant in der Kasseler Fußgängerzone eine Liste mit Namen, Geburtsdaten und Diagnosen von 20 Patienten der Psychiatrie des Klinikums Kassel gefunden. Die Sprecherin des verantwortlichen Klinikums habe den Vorfall bestätigt. Es handele sich um ein Übersichtsblatt, wie es für Visiten oder internen Übergaben verwendet werde. Nach intensiven Recherchen gehe man davon aus, dass “menschliches Versagen einer einzelnen Person” die Ursache sei, heißt es in einer Stellungnahme der Geschäftsführung. Der Vorfall sei dadurch erklärbar, “dass ein Mitarbeiter oder eine Mitarbeiterin die Liste versehentlich nicht im Datenmüll entsorgt, sondern in einer Kleidungstasche vergessen und später aus Unachtsamkeit verloren hat.”
Die mit dem Vorfall befasste Referatsleiterin für das Gesundheitswesen bei dem Hessischen Datenschutzbeauftragten, Rita Wellbrock, soll diesen Datenfund als “bedauerlichen Einzelfall” bezeichnet haben. Man erwarte nun einen Bericht der verantwortlichen Stelle. Das Klinikum habe bereits eine weitere Schulung der Abteilung mit dem internen Datenbeauftragten zugesagt und die Anschaffung zusätzlicher Geräte für eine zeitnahe Aktenvernichtung vor Ort in Aussicht gestellt. Wenn adäquate Maßnahmen ergriffen würden, werde von einer Beanstandung abgesehen, so Wellbrock.
24. Mai 2012
In einer am gestrigen Tag veröffentlichten Entschließung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) die Bundesregierung mit Nachdruck aufgefordert, den Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) zu überarbeiten. Zwar teile sie das Anliegen der Bundesregierung, die Rechte von Patienten zu stärken. Die in dem Gesetzesentwurf vorgesehenen Regelungen seien jedoch nicht ausreichend.
Nach Ansicht der DSK dürfen die vertraglichen Offenbarungsobliegenheiten der Patienten gegenüber den Behandelnden nicht ausgeweitet werden. Insbesondere dürfe keine Verpflichtung zur Offenlegung von Angaben über ihre körperliche Verfassung aufgenommen werden, die keinen Behandlungsbezug haben. Ferner sei es zwingend, dass Patienten in jedem Fall und nicht erst auf Nachfrage über erlittene Behandlungsfehler informiert werden. Der Gesetzentwurf lasse zudem im Zusammenhang mit der Behandlungsdokumentation verlässliche Vorgaben zur Absicherung des Auskunftsrechts der Patienten sowie zur Archivierung und Löschung vermissen und bedürfe insoweit einer Ergänzung. Der Zugang der Patienten zu den sie betreffenden Behandlungsdokumentation dürfe weiterhin nur in besonderen Ausnahmefällen eingeschränkt werden. Klargestellt werden müsse überdies, dass auch berechtigte eigene Interessen der Angehörigen einen Auskunftsanspruch begründen können. Regelungsbedürftig seien zuletzt der Einbezug Dritter im Rahmen eines Behandlungsvertrages (Auftragsdatenverarbeitung) sowie der Umgang mit Behandlungsdokumentationen im Falle eines vorübergehenden Ausfalls, des Todes oder der Insolvenz des Behandelnden.
23. Mai 2012
In einer gemeinsamen Presseerklärung haben das Bundesministerium der Justiz, das Bundesministeriums der Gesundheit und der Beauftragte der Bundesregierung für die Belange der Patientinnen und Patienten den vom Bundeskabinett am heutigen Tage beschlossenen Gesetzesentwurf zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz) kommentiert. In dem Gesetzesentwurf ist u.a. aufgenommen, dass der Behandlungsvertrag – also die Vertragsbeziehung zwischen Patienten und Ärzten, aber auch Vertretern andere Heilberufe (z.B Heilpraktiker, Hebammen, Psycho- oder Physiotherapeut) – ausdrücklich im Bürgerlichen Gesetzbuch verankert wird. Weiterhin aufgenommen sind Regelungen zur umgehenden und verpflichtenden Aufklärung von Patienten sowie zu Dokumentationspflichten. Geregelt wird, dass Patientenakten vollständig und sorgfältig zu führen sind. Patienten bekommen des Weiteren nunmehr ein gesetzliches Recht auf Akteneinsicht. Fehlt die Dokumentation oder ist sie unvollständig, wird im Prozess zu Lasten des Behandelnden vermutet, dass die nicht dokumentierte Maßnahme auch nicht erfolgt ist.
Nach Ansicht der Bundesjustizministerin Leuthheusser-Schnarrenberger gleichen die neuen Regelungen nicht nur das Informationsgefälle zwischen Behandelndem und Patient aus, sondern sie helfen den Patientinnen und Patienten, ihre Rechte zu kennen und besser durchsetzen zu können. Auch Bundesgesundheitsminister Bahr sprach sich für das Patientenrechtegesetz aus. „Das neue Patientenrechtegesetz bringt umfassende und verständliche Informationen für Patientinnen und Patienten. Es ermöglicht Arzt-Patienten-Gespräche auf Augenhöhe und stärkt die Rechte der Versicherten gegenüber den Leistungserbringern. Mit dem gemeinsam vorgelegten Patientenrechtegesetz schaffen wir endlich eine einheitliche gesetzliche Grundlage und sorgen dadurch für mehr Klarheit und Transparenz im Gesundheits- wesen.” Der Patientenbeauftragte der Bundesregierung Zöller sieht in dem Patientenrechtegesetz eine Stärkung der Patienten auf dem Weg “vom Bittsteller zum Partner”. Der Gesetzentwurf sei ein neues, zeitgemäßes Fundament.
21. Mai 2012
Am 22.05.2012 findet im Thüringer Landtag eine gemeinsame Informations- veranstaltung des Thüringer Landesbeauftragten für den Datenschutz (TLfD) und der Landeskrankenhausgesellschaft Thüringen e.V. (LKHG) zur Umsetzung der „Orientierungshilfe zur datenschutzkonformen Gestaltung und Nutzung von Krankenhausinformationssystemen (KIS)“ statt. Der TLfD wird im Rahmen der Veranstaltung den Vertretern von voraussichtlich 27 Thüringer Krankenhäusern sowohl den Inhalt der „Orientierungshilfe KIS“ vorstellen als auch Informationen über die Ergebnisse der im Jahr 2011 durchgeführten Prüfungen der Krankenhaus- informationssysteme geben. Zudem werden Vertreter der LKHG zu den Anforderungen der „Orientierungshilfe KIS“ und deren Umsetzung aus Sicht der Krankenhausträger referieren. Die Tagung soll insbesondere auch Gelegenheit bieten, Streitpunkte zu erörtern.
“Optimale Patientenversorgung muss immer auch mit optimalem Schutz der Patientendaten einhergehen.“, so der TLfD. Der Datenschutz stünde einem Einsatz von Informationstechnologie in Krankenhäusern nicht entgegen – vielmehr sei gemeinsam mit den Krankenhäusern ein Weg zu finden und zu gehen, der gerade in diesem sensiblen Bereich zu einem rechtskonformen Schutz der Patientendaten führt. Darüber zu wachen, dass die Nutzung von Krankenhausinformations- systemen datenschutzkonform erfolgt, verstehe er als eine seiner wichtigsten Aufgaben. „Ich verbinde die Informationsveranstaltung mit dem Angebot an die Vertreter der Krankenhäuser, im Dialog zu praktikablen Lösungen zu gelangen.“, betonte er im Vorfeld.
2. Mai 2012
Wie die BBC online berichtet, wurde ein walisisches Gesundheitsamt als erste staatliche Behörde mit einer Geldbuße von 70.000 Pfund belegt. Grund ist die Weitergabe von sensiblen Gesundheitsdaten eines Patienten an den falschen Adressaten.
Der betreffende Arzt hatte den Namen falsch geschrieben und keine weiteren Informationen zur Identifikation an seine Sekretärin weitergeleitet, die das Schreiben schließlich an einen anderen Empfänger mit ähnlichem Namen sendete.
Nach Angaben des Information Commissioner’s Office enthielt das Schreiben genaue Details über den Gesundheitszustand des Patienten und bedeute einen ernsthaften Datenschutzverstoß. Die folgende Untersuchung des Vorfalls habe ergeben, dass das Personal weder datenschutzrechtlich geschult gewesen sei, noch hätte es Routinen zur Überprüfung der richtigen Empfängeradressen gegeben.
Gleichzeitig bemängelte das ICO, dass ähnliche Standards zum Datenschutzrecht auch in anderen Einrichtungen herrschen, wobei doch das Gesundheitswesen mit den sensibelsten Daten umgehe.
Die Behörde reagierte inzwischen und will für die Zukunft sicherstellen, dass alle Mitarbeiter und Angestellten Schulungen zum Datenschutz erhalten und sich an die Richtlinien zum Datenschutz halten.
Der betroffene Patient bekam ein Entschuldigungsschreiben.
26. April 2012
Der erst in der jüngeren Vergangenheit bekannt gewordene Datenskandal bei der Asklepios Klinik Hamburg-Eilbek zeigt, dass – erst recht wenn besondere Arten personenbezogener Daten wie Patientendaten betroffen sind – besonderes Augenmerk auf die Organisation der Aktenvernichtung gelegt werden muss. Eine unzureichende Organisation im Vernichtungsablauf kann schnell zur Folge haben, dass Patientenakten in unbefugte Hände geraten, was – von dem ungewünschten Medienecho ganz zu schweigen – nicht nur datenschutzrechtlich unzulässig und bußgeldbewehrt ist, sondern auch strafrechtliche Relevanz hat.
Aber was muss eine verantwortliche Stelle beachten, damit der Datenschutz bei der Vernichtung von Patientenakten in adäquater Form gewahrt wird?
Strukturierung der Abläufe
Zunächst ist es unabdingbar, die Abläufe hinreichend zu strukturieren. Es sollten auf dem Betriebsgelände verschlossene Entsorgungsbehälter in angemessener Anzahl an zentralen Stellen positioniert werden. Abteilungen, in denen erfahrungsgemäß viele und überwiegend besondere Arten personenbezogener Daten anfallen (z.B. Personalabteilung, Archiv), sollten mit einem eigenen Entsorgungsbehälter ausgestattet werden. Alle Mitarbeiter sollten angehalten werden, vertrauliches Material – was im Einzelnen genau zu definieren wäre – umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zwischenlagerungen (z.B. in einem Karton unter dem Schreibtisch) sind zu vermeiden, jedenfalls dann, wenn das Büro nicht durchgängig sozial überwacht oder abgeschlossen ist.
Schlüssel zur Öffnung der Entsorgungsbehälter sollten nicht in den allgemeinen Umlauf gelangen, sondern von einer Person, die einen Stellvertreter für Fälle der Abwesenheit benennt, verwaltet werden. Öffnungen der Entsorgungsbehälter sollten nur in konkret definierten (Ausnahme-)Fällen unter Wahrung des Vier-Augen-Prinzips (z.B. unter Hinzuziehung des Datenschutzbeauftragten) gestattet werden.
Haben die Entsorgungsbehälter ihren maximalen Füllstand erreicht, ist eine sichere Abholung zur Vernichtung durch einen externen Dienstleister, mit dem ein Vertrag zur Auftragsdatenverarbeitung abzuschließen wäre, zu gewährleisten. Bis zur Abholung durch den externen Dienstleister ist es empfehlenswert, die zuständige Abteilung aufzufordern, auch bis dahin jede Zwischenlagerung des zu vernichtenden Materials in öffentlich zugänglichen Bereichen zwingend zu vermeiden. Diese sind allenfalls in stets verschlossenen und nur von einem eng umgrenzten Personenkreis zuzulassen.
Eine hinreichende Dokumentation der Abläufe und Verantwortlichkeiten sowie des jeweiligen Vernichtungsvorgangs sind empfehlenswert.
Sensibilisierung der Mitarbeiter
Die beste Ablaufsorganisation hilft allerdings nur wenig bei der Vermeidung von Datenschutzverstößen, wenn die Vorgaben nicht von allen Mitarbeitern im Betriebsalltag umgesetzt und “gelebt” werden. Daher sollten die Mitarbeiter zum einen in Form einer Arbeitsanweisung mit den Strukturen vertraut gemacht und insbesondere aufgefordert werden, vertrauliches Material umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zum anderen sind sie regelmäßig auf die Einhaltung des Datenschutzes im Allgemeinen sowie im Speziellen bei der Aktenvernichtung zu schulen.
Haben Sie Fragen zu diesem Themenkomplex? Kinast & Partner, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind, stehen Ihnen gern zur Verfügung.
12. April 2012
Medienberichten zufolge sind auf dem Gelände der ehemaligen Asklepios Klinik Hamburg-Eilbek Patientenakten in einem Sperrmüllcontainer entsorgt worden. Neben ausgedienten Möbeln und ähnlichen Sperrmüll seien von einem Journalisten mindestens fünf Behälter mit sensiblen Patienteninformationen aufgefunden und als Beweismaterial für unzureichend gelebten Gesundheitsdatenschutz mitgenommen worden. Dieser Vorfall, den der Journalist dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit angezeigt habe, sei von dem Sprecher der Asklepios Kliniken GmbH, die nun mit der Einleitung eines Bußgeldverfahrens zu rechnen habe, bestätigt worden. Die Patientenunterlagen seien ungeplant in diesem Container entsorgt worden. Sie seien zur Vernichtung bestimmt gewesen und hätten in einen benachbarten Sicherheitscontainer verbracht werden sollen. Wie die Dokumente in dem falschen Container gelandet seien, sei noch nicht abschließend geklärt, teilte er mit.
9. März 2012
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar (HmbBfDI) hat mitgeteilt, das Universitätsklinikum Hamburg-Eppendorf (UKE) formell beanstandet zu haben. Hintergrund dessen sei, dass jedem Arzt im UKE ein Notfallzugriff auf das Krankenhausinformationssystem und damit ein Zugriff auf alle zu dem Patienten vorgehaltenen Daten ermöglicht werde, unabhängig davon, ob er eine Behandlung durchführt oder nicht. Dies könne zwar in zeitkritischen Situationen medizinisch geboten sein, allerdings fehlten die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instrumentes. Der einen Notfallzugriff nutzende Arzt bekomme lediglich einen Warnhinweis nebst Aufforderung, einen Grund für einen Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine (stichprobenartige) Kontrolle finde nicht statt, so dass ein Missbrauch kaum entdeckt werden könne. Da über den Notfallzugriff der Nutzer alle jemals zu dem Patientenkreis des UKE und dessen Tochterunternehmen erfassten Daten einsehen könne, sei das Missbrauchspotential hoch. Das UKE soll eingeräumt haben, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Aktuellere Zahlen lägen nicht vor. Die hohen Zugriffszahlen seien auf Prozessablaufschwierigkeiten zurückzuführen.
Der HmbBfDI fordere daher nun einen regelmäßigen Bericht über Anzahl und Gründe der Notfallzugriffe sowie die Erstellung und Umsetzung eines Konzepts zur Auswertung der Zugriffsprotokolle. Weiterhin müsse eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Der Notzugriff müsse in seinen Ausmaßen deutlich eingedämmt und auf seine eigentliche Bestimmung begrenzt werden. Dem UKE werde eine Frist von drei Wochen zu einer schriftlichen Stellungnahme sowie eine dreimonatige Frist zur Umsetzung geeigneter Kontrollmaßnahmen gesetzt. „Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, kommentierte Caspar seine Schritte.
Pages: 1 2 ... 10 11 12 13 14 15 16 17