[section_dd][column_dd span=’11’][text_dd]Dürfen Gesundheitsfachpersonen Patientendaten in einer Cloud aufbewahren? Ist der Versand des Fotos eines Behandlungsdossiers datenschutzkonform? Und welche Konsequenzen können Datenschutzverletzungen haben? Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, gibt Auskunft.[/text_dd][spacer_dd pixels=’30’][/spacer_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’7′][text_dd]Herr Lobsiger, welche Konsequenzen können Datenschutzverletzungen im Gesundheitswesen haben?[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Im Gesundheitswesen werden neben den Personenattributen wie Name, Alter, Adresse und Telefonnummer typischerweise Informationen über die Gesundheit und medizinische Behandlungen bestimmbarer Personen bearbeitet. Solche Personendaten gelten gemäss geltendem als auch neuem Datenschutzgesetz (DSG) als besonders schützenswert. Denn wenn Daten über Erkrankungen, Prädispositionen, Sucht oder Risikoverhalten an Krankenversicherer gehen, könnten Betroffene beispielsweise von einer Zusatzversicherung ausgeschlossen oder mit höheren Prämien belastet werden. Oder sie könnten Opfer von Erpressern werden, die drohen, gestohlene Informationen im Darknet zu publizieren. [/text_dd][spacer_dd pixels=’25’][/spacer_dd][text_dd]Und mit welchen Folgen müssen Leistungserbringer im Falle einer Datenschutzverletzung rechnen?[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Wer schützenswerte Daten bearbeitet, muss entweder eine explizite Einwilligung der Betroffenen oder einen anderen Rechtfertigungsgrund nachweisen oder sich auf eine hinreichend bestimmte Grundlage im Gesetz berufen können. Dem hohen Schutzbedarf von Gesundheitsdaten muss bei deren Bearbeitung auch durch taugliche Sicherheitsvorkehren Rechnung getragen werden. Die Anforderungen an die technische Sicherheit werden durch die neue Datenschutzgesetzgebung verschärft. Die verantwortlichen Personen können mit Bussen bis CHF 250’000 belegt werden, falls ihnen nachgewiesen werden kann, dass sie einen voraussehbaren Verlust von sensiblen Personendaten in Kauf genommen haben.[/text_dd][/column_dd][column_dd span=’4′][image_dd url=’http://local.hin.ch/wp-content/uploads/2021/11/Adrian-Lobsiger_EDOEB.png’ duration=’1000′ delay=’0′ alt=’Adrian Lobsiger, EDÖB’ class=’hin-box-grey’][/image_dd][text_dd class=’hin-box-grey’]Adrian Lobsiger wurde im November 2015 vom Bundesrat zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gewählt und im März 2016 vom Parlament bestätigt. 2019 hat der Bundesrat seine Wiederwahl für eine zweite Amtsperiode bis Ende 2023 bestätigt.[/text_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’12’][blockquote_dd style=’style1′]« Das Berufsgeheimnis der Medizinalpersonen verpflichtet auch Hilfspersonen. Als solche gelten auch Mitarbeitende von Cloud-Diensten, wenn sie Zugriff auf Gesundheitsdaten der Kunden haben. »[/blockquote_dd][/column_dd][/section_dd][section_dd][column_dd span=’11’][text_dd]Die Bearbeitung und Aufbewahrung von Patientendaten in der Cloud sind im Gesundheitswesen immer wieder ein Thema. Was müssen Gesundheitsfachpersonen beachten? [/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Das ist ein vielschichtiges Thema. Die Verordnung zum Datenschutzgesetz legt fest, dass Privatpersonen, die Personendaten bearbeiten, für die Vertraulichkeit dieser Daten sorgen müssen. Für patientenbezogene Daten kommen die strafrechtlich geschützten Berufsgeheimnisse der Medizinalpersonen hinzu. Diese verpflichten auch deren Hilfspersonen – und als solche gelten zum Beispiel auch Mitarbeitende von Cloud-Diensten, wenn sie Zugriff auf Gesundheitsdaten der Kunden haben. [/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Ob der Datenschutz und das Berufsgeheimnis rechtlich hinreichend geschützt, durchsetzbar und durch entsprechende Haftungsklauseln untermauert sind, hängt von der Ausgestaltung der vertraglichen Vereinbarungen ab, die der Datenherr mit den Cloudanbietern abschliesst.[/text_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’12’][blockquote_dd style=’style1′]« Wir empfehlen, ausserhalb der Schweiz oder weiteren Regionen mit angemessenem Datenschutz bearbeitete Personendaten zu anonymisieren oder zu verschlüsseln. »[/blockquote_dd][/column_dd][/section_dd][section_dd][column_dd span=’11’][text_dd]Was gilt es zu beachten, wenn sich der Cloudstandort nicht in der Schweiz befindet?[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Befindet sich der Cloudstandort ausserhalb der Schweiz, kommt als zusätzliche Dimension hinzu, dass ausländische Behörden auf dort bearbeitete Daten zugreifen könnten. In Ländern mit einem Datenschutzniveau, das jenem der Schweiz gleichwertig ist – wie in den Staaten des Europäischen Wirtschaftsraums oder in Grossbritannien – erfolgen solche Zugriffe nur in einem justizförmigen Verfahren auf richterliche Anordnung hin. Beim Datenexport in andere Staaten muss hingegen damit gerechnet werden, dass die dortigen Behörden in intransparenter Weise auf die in einer Cloud bearbeiteten Daten zugreifen, ohne den Cloudbetreibern oder den direkt betroffenen Personen einen wirksamen Rechtschutz zu gewähren. Leider gehören nicht nur autoritäre, sondern auch demokratische Staaten wie die USA zum Kreis dieser Länder. Das macht den Export von Personendaten in Clouds, die auf US-Boden betrieben werden, kompliziert. [/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Es wäre der Rechtsicherheit zuträglich, wenn zwischen den USA und Europa bald ein Ersatz für das dahingefallene «Privacy Shield»-Regelwerk vereinbart werden könnte. Solange dies nicht der Fall ist, empfehlen wir, ausserhalb der Schweiz oder weiteren Regionen mit angemessenem Datenschutz bearbeitete Personendaten entweder zu anonymisieren oder so zu verschlüsseln, dass sie dort niemand auslesen kann.[/text_dd][spacer_dd pixels=’25’][/spacer_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’11’][text_dd]Und wie lassen sich Daten entsprechend verschlüsseln oder anonymisieren?[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Bei der Anonymisierung werden die Personendaten zu Sachdaten gemacht, sodass keine Rückschlüsse auf bestimmbare Personen mehr möglich sind. Bei der Verschlüsselung werden Personendaten für Dritte unlesbar gemacht. Letztere stösst heute an technische Grenzen, wenn die Daten nicht nur archiviert, sondern noch verändert werden sollen. Die Entwicklung datenschutzfreundlicher Technologien schreitet indessen voran. Vielversprechend ist die neue Technologie der homomorphen Verschlüsselung, welche die aktive Bearbeitung von Daten auch im verschlüsselten Zustand ermöglichen soll. Für detaillierte Informationen zur Problematik der Datenauslagerung ins Ausland verweise ich auf die Webseite des EDÖB.[/text_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’12’][blockquote_dd style=’style1′]« Gesundheitsdaten aus dem beruflichen Umfeld dürfen weder auf private Datenträger kopiert noch über privat benutzte Kanäle wie WhatsApp weitergegeben werden. »[/blockquote_dd][/column_dd][/section_dd][section_dd][column_dd span=’11’][text_dd]Ein weiteres Szenario, das im Arbeitsalltag von Gesundheitsfachpersonen ein Stolperstein darstellen könnte: Eine MPA schickt ein Foto des Behandlungsdossiers eines Patienten per WhatsApp an einen Arzt…[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Gesundheitsdaten, die auf Datenträgern und Infrastrukturen des Arbeitgebers bearbeitet werden, dürfen weder auf private Datenträger wie ein Smartphone kopiert noch über privat benutzte Kanäle wie WhatsApp weitergegeben werden. Solches Tun sprengt den Rahmen der in den internen Nutzungsreglementen autorisierten Datenbearbeitungen und unterläuft die technischen Sicherheitsvorkehren, mit denen Unternehmen und Gesundheitseinrichtungen ihre Infrastrukturen schützen.[/text_dd][spacer_dd pixels=’40’][/spacer_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd][column_dd span=’11’][text_dd]Über seine Aufgaben als EDÖB, die Besonderheiten des Gesundheitswesens und über die Herausforderungen rund um das EPD spricht Adrian Lobsiger im ersten Teil des Interviews.[/text_dd][spacer_dd pixels=’50’][/spacer_dd][/column_dd][column_dd span=’1′][/column_dd][/section_dd][section_dd class=’hin-box-grey’][column_dd span=’9′][text_dd]Die HIN Academy sensibilisiert[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]Die HIN Academy der Health Info Net AG (HIN) sensibilisiert Akteure des Gesundheitswesens für den Datenschutz und die Gefahren durch Cyberkriminalität. Das neue Modul Datenschutz legt den Fokus vollumfänglich auf das Thema Datenschutz. Sowohl individuell konfigurierbare Schulungen für Institutionen als auch die Teilnahme als Einzelperson sind möglich.[/text_dd][spacer_dd pixels=’10’][/spacer_dd][text_dd]HIN Academy kennenlernen[/text_dd][/column_dd][column_dd span=’3′][image_dd url=’http://local.hin.ch/wp-content/uploads/2019/04/hin-awareness-schulung-orange.png’ link=’www.hin.ch/hinacademy’ duration=’1000′ delay=’0′ alt=’HIN Awareness Schulungen’][/image_dd][/column_dd][/section_dd][section_dd][column_dd span=’12’][spacer_dd pixels=’40’][/spacer_dd][/column_dd][/section_dd]
