diff --git a/documentation/datenschutzanalyse_von_nhplus.md b/documentation/datenschutzanalyse_von_nhplus.md index 1ce4106..be5ad3e 100644 --- a/documentation/datenschutzanalyse_von_nhplus.md +++ b/documentation/datenschutzanalyse_von_nhplus.md @@ -1,62 +1,85 @@ -Du hast im Projekt die Aufgabe übernommen, dich mit den datenschutzrechtlichen Gegebenheiten für die erfolgreiche Umsetzung von NHPlus, auseinander zu setzen. Recherchiere im ersten Schritt die grundlegenden Bestimmungen laut DSGVO bezüglich der Speicherung von Kundendaten und der Daten der Mitarbeiter. Beantworte dabei mindestens folgende Fragen und begründe die Antwort ggf. mit den entsprechenden Paragraphen: +Du hast im Projekt die Aufgabe übernommen, dich mit den datenschutzrechtlichen Gegebenheiten für die erfolgreiche Umsetzung von **NHPlus** auseinanderzusetzen. Recherchiere im ersten Schritt die grundlegenden Bestimmungen laut **DSGVO** bezüglich der Speicherung von **Kundendaten** und der **Daten der Mitarbeiter**. Beantworte dabei mindestens folgende Fragen und begründe die Antwort ggf. mit den entsprechenden Paragraphen: -1. Was musst du bei der technischen Umsetzung der Speicherung von personenbezogenen Daten bedenken? +--- - a. Patientendaten in Krankenakten sind nach Abschluss der Behandlung zu sperren und spätestens nach 30 Jahren zu löschen. § 7 Abs. 4 bleibt unberührt. +### 1. Was musst du bei der technischen Umsetzung der Speicherung von personenbezogenen Daten bedenken? -2. Welche Rechte haben die Patienten (Kunden) bezogen auf ihre persönlichen Daten? +- Patientendaten in Krankenakten sind nach Abschluss der Behandlung zu sperren und spätestens nach **30 Jahren zu löschen**. + *§ 7 Abs. 4 bleibt unberührt.* - Zu den Rechten, die Patientinnen und Patienten haben, gehören: +--- - - Das Einsichtsrecht in die Behandlungsunterlagen: - Patientinnen und Patienten haben das Recht, ihre Behandlungsunterlagen einzusehen. Dazu zählt auch das Recht, Kopien dieser Unterlagen zu erhalten. +### 2. Welche Rechte haben die Patienten (Kunden) bezogen auf ihre persönlichen Daten? - - Das Recht auf Information und Aufklärung: - Patientinnen und Patienten müssen vor einer Behandlung umfassend und verständlich über Diagnose, geplante Maßnahmen, Risiken und Alternativen informiert werden. +Zu den Rechten, die Patientinnen und Patienten haben, gehören: - - Das Recht auf Selbstbestimmung: - Medizinische Maßnahmen dürfen grundsätzlich nur mit der Einwilligung der Patientin oder des Patienten durchgeführt werden. Ohne diese Zustimmung ist eine Behandlung – außer in Notfällen – nicht zulässig. +- **Einsichtsrecht in die Behandlungsunterlagen:** + Patientinnen und Patienten haben das Recht, ihre Behandlungsunterlagen einzusehen. Dazu zählt auch das Recht, Kopien dieser Unterlagen zu erhalten. -3. Welche Rechte haben die MitarbeiterInnen bezogen auf ihre persönlichen Daten? +- **Recht auf Information und Aufklärung:** + Patientinnen und Patienten müssen vor einer Behandlung umfassend und verständlich über Diagnose, geplante Maßnahmen, Risiken und Alternativen informiert werden. - a. MitarbeiterInnen haben das Recht zu erfahren, wofür die Daten verwendet werden, wer die Daten verwendet und was für Daten gespeichert werden(Art. 15 DSGVO). - Sie haben auch das Recht, die Weiterverarbeitung der Daten einzuschränken, wenn der Verdacht besteht, dass die Daten nicht richtig genutzt werden(Art. 18 DSGVO). +- **Recht auf Selbstbestimmung:** + Medizinische Maßnahmen dürfen grundsätzlich nur mit der **Einwilligung** der Patientin oder des Patienten durchgeführt werden. Ohne diese Zustimmung ist eine Behandlung – außer in Notfällen – nicht zulässig. -4. Welche Stellen bieten zertifizierte Fortbildungen für angehende Datenschutzbeauftragte an und welche Firmen sind verpflichtet einen eigenen Datenschutzbeauftragten zu stellen? +--- - a. Der [TüvSüd](https://www.tuvsud.com/de-de/dienstleistungen/cyber-security/datenschutz?utm_source=google&utm_medium=cpc&utm_campaign=a-on_g--se-ge-xdsb_de_de_ba_aca_lds_ts&utm_term=datenschutz%20datenschutzbeauftragter&utm_id=170779529&s_kwcid=AL!14017!3!457723098854!p!!g!!datenschutz%20datenschutzbeauftragter&gad_source=1&gclid=Cj0KCQjwna6_BhCbARIsALId2Z0NjfIyPtKqpPlx75nZGsM905YEuHfgj-Q0xoPbYHIKEVH__PdE_5YaAjvfEALw_wcB) bietet Weiterbildungen an sowie die IHKs. +### 3. Welche Rechte haben die MitarbeiterInnen bezogen auf ihre persönlichen Daten? - b. Ab 20 Mitarbeitern, die regelmäßig und automatisiert personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben (DSGVO, BDSG). Dies gilt für jede systematische, IT-gestützte Datenverarbeitung, unabhängig vom Beschäftigungsstatus. [IHK Stttgart](https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/datenschutzrecht/der-betriebliche-datenschutzbeauftragte2-3810788#:~:text=I.-,Wann%20muss%20ein%20Datenschutzbeauftragter%20bestellt%20werden%3F,verpflichtend%20ein%20Datenschutzbeauftragter%20zu%20benennen.) +- MitarbeiterInnen haben das Recht zu erfahren, **wofür die Daten verwendet werden**, **wer die Daten verwendet** und **welche Daten gespeichert werden** *(Art. 15 DSGVO)*. +- Sie haben auch das Recht, die Weiterverarbeitung der Daten einzuschränken, wenn der Verdacht besteht, dass die Daten **nicht richtig genutzt werden** *(Art. 18 DSGVO)*. -5. Recherchiere nun die Besonderheiten für die Aufbewahrung von Patientendaten. Wo finden sich diese Regelungen wieder? - - a. [Some INFO](https://www.virchowbund.de/praxis-knowhow/praxis-gruenden-und-ausbauen/patientenakten-aufbewahren) +--- -6. Welche Grundsätze zur Arbeit mit Patientendaten stehen in Konflikt mit den Grundsätzen der DSGVO? +### 4. Welche Stellen bieten zertifizierte Fortbildungen für angehende Datenschutzbeauftragte an und welche Firmen sind verpflichtet, einen eigenen Datenschutzbeauftragten zu stellen? - a. Behandlung vs Datenminimierung: - Zur Behandlung werden sehr viele unterschiedliche personenbezogene Daten benötigt und desto mehr Daten desto besser kann die Behandlung vollzogen werden, jedoch geht die Datenminimierung der DSGVO davon aus, dass nur so wenig wie es nur geht an Daten erhoben werden sollen. +**Anbieter zertifizierter Fortbildungen:** - b. Langfristige Speicherung vs Speicherbegrenzung: - Laut nationalem Recht müssen die Patientenakten für bis zu 10 Jahre oder länger abgespeichert sein, dies geht jedoch gegen die DSGVO, die besagt, dass die Daten nur so lange abgespeichert sein sollen, wie sie benötigt werden. Deshalb gibt es legitime Ausnahmen für nationale Aufbewahrungspflichten. +- TÜV SÜD Akademie +- Industrie- und Handelskammern (IHKs) – häufig mit IHK-Zertifikat - c. Transparenz vs medizinische Fachsprache: - In der DSGVO haben diejenigen, von denen die Daten erhoben werden, ein Auskunftsrecht, darauf zu wissen, was mit ihnen geschieht, jedoch ist das für einen Patienten schwierig zu verstehen aufgrund der medizinischen Fachsprache die dort in Verwendung ist. +**Pflicht zur Benennung eines Datenschutzbeauftragten:** - d. Zweckbindung vs Forschung: - Die Gesundheitsdaten könnten weiterverwendet werden für wissenschaftliche Forschung, jedoch steht in der DSGVO, dass eine Weiterverarbeitung der Daten für neue Zwecke nicht ohne Weiteres erlaubt ist. +- Nach DSGVO und BDSG ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben, + wenn ein Unternehmen **mindestens 20 Personen** beschäftigt, die **regelmäßig und automatisiert personenbezogene Daten verarbeiten** – unabhängig von Art der Anstellung. -7. Gegen welche Bestimmungen des Datenschutzgesetzes verstößt NHPlus? +> Weitere Informationen z. B. bei der IHK Stuttgart. - Es werden mehr Daten gesammelt als benötigt. Der Vermögensstand einer Person ist nicht für die Behandlung oder Unterbringung relevant. - Es ist nur wichtig, dass Rechnungen gezahlt werden. - Des Weiteren gibt es keine Passwortsicherung von vertraulichen Daten. - Damit ist die Datenbank NICHT zugriffsgeschützt und es kann von jeder Person zugegriffen werden. - Auch sind die Daten der Patienten nicht voneinander getrennt. - Das heißt, dass PflegerInnen, die nicht für Patient A zuständig sind, trotzdem dessen Daten ohne seine Zustimmung sehen können. +--- +### 5. Recherchiere nun die Besonderheiten für die Aufbewahrung von Patientendaten. Wo finden sich diese Regelungen wieder? -8. Erarbeite ein Konzept, welches die technischen Voraussetzungen für die korrekte Umsetzung aller Gesetze stellt. Benenne dabei die konkreten Änderungen oder Erweiterungen, die in der Anwendung NHPlus zu realisieren sind. +- [Informationen des Virchowbundes](https://www.virchowbund.de/praxis-knowhow/praxis-gruenden-und-ausbauen/patientenakten-aufbewahren) +--- - Hinweis: Nutze die anliegenden Informationen, insbesondere für die Krankenhaus/Pflegebezogenen Regelungen und Gesetze. \ No newline at end of file +### 6. Welche Grundsätze zur Arbeit mit Patientendaten stehen in Konflikt mit den Grundsätzen der DSGVO? + +**a. Behandlung vs. Datenminimierung:** +Für eine gute Behandlung werden viele Daten benötigt – im Widerspruch zur DSGVO, die fordert, nur das **nötigste Maß an Daten** zu erheben. + +**b. Langfristige Speicherung vs. Speicherbegrenzung:** +Gesetze fordern Aufbewahrung über viele Jahre (z. B. 10 oder 30 Jahre), die DSGVO erlaubt Speicherung aber nur **solange wie nötig**. Es gibt **nationale Ausnahmen**. + +**c. Transparenz vs. medizinische Fachsprache:** +PatientInnen haben laut DSGVO **ein Auskunftsrecht**, doch die Sprache in medizinischen Unterlagen ist oft **schwer verständlich**. + +**d. Zweckbindung vs. Forschung:** +Gesundheitsdaten könnten zur Forschung verwendet werden, aber die DSGVO erlaubt **Zweckänderungen nur eingeschränkt**. + +--- + +### 7. Gegen welche Bestimmungen des Datenschutzgesetzes verstößt NHPlus? + +- **Es werden mehr Daten gesammelt als nötig**, z. B. der Vermögensstand einer Person – dieser ist **nicht relevant für Behandlung/Unterbringung**. +- **Keine Passwortsicherung** der vertraulichen Daten +- **Kein Zugriffsschutz** – jede Person kann auf die Daten zugreifen +- **Daten sind nicht voneinander getrennt** – Pflegekräfte sehen auch Daten von Patienten, für die sie **nicht zuständig sind** + +--- + +### 8. Erarbeite ein Konzept, welches die technischen Voraussetzungen für die korrekte Umsetzung aller Gesetze stellt. + +Benenne dabei die konkreten Änderungen oder Erweiterungen, die in der Anwendung NHPlus zu realisieren sind. + +> **Hinweis:** Nutze die anliegenden Informationen, insbesondere für die krankenhaus- und pflegebezogenen Regelungen und Gesetze. \ No newline at end of file