SCHLIESSEN

Kontakt und Information

Wer, was, wo?
Adressen und Kontakt

Fragen - Tipps und Anregungen - Bitte senden an:
datenschutz@nordkirche.de

Auf einen Blick

Suche

Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns“ (UPDK)

Mit der Datenschutz-Grundverordnung kommen neue Pflichten auf die Krankenhäuser und universitätsmedizinischen Einrichtungen zu. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) und der Datenschutzbeauftragte der Nordkirche planen in Kooperation das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns“ (UPDK), welches für die Jahre 2018 und 2019 vorgesehen ist. Mit dem Projekt wollen sich beide Datenschutzbeauftragten einen Überblick über den Stand im Umgang mit Patientendaten in ausgesuchten Handlungsfeldern der Kliniken in unserem Bundesland verschaffen.


Hierzu wollen beide Datenschutzbeauftragte in einen Informationsaustausch mit den leitenden Verantwortlichen der Krankenhäuser treten. Im ersten Schritt möchten sie den datenschutzrechtlichen Ist-Zustand bei den Befragten aufnehmen, um herauszufinden, welche voraussichtlichen Auswirkungen die Datenschutz-Grundverordnung auf die Krankenhäuser und universitätsmedizinischen Einrichtungen haben wird. Dazu sind die Erfahrungen und die Expertise der Verantwortlichen in den Einrichtungen unverzichtbar. Die Themen der Befragung werden zum großen Teil auf Patientendaten zentriert sein und beinhalten die Verarbeitung von Patientendaten innerhalb des Krankenhauses, z.B. Zugriffsmöglichkeiten von mitbehandelnden Fachkräften, sowie die Dokumentation und Archivierung von Patientendaten innerhalb des Krankenhauses. Weitere Themen sollen die auf Patientendaten bezogene Kommunikation unter den zuständigen Fachkräften innerhalb und außerhalb des Krankenhauses sein. Dies betrifft beispielsweise die Kommunikation zu Hausärzten, Rehabilitationszentren, Pflegekräften etc. Dabei ist auch der Umgang mit Patientendaten bei Forschungen oder Studien im Krankenhaus sowie die Aus- und Weiterbildungen in den Krankenhäusern zum Datenschutz von großem Interesse. Beide Datenschutzbeauftragte wollen hierbei zudem Bereiche explorieren, die nach Einschätzung der Fachkräfte vor Ort potenzielle Risiken bergen.


Ein erfolgreicher Projektverlauf ist nur möglich, wenn die Befragten unvoreingenommen antworten. Um den Befragten das hierfür nötige Vertrauen zu ermöglichen, planen beide Datenschutzbeauftragte, das Projekt in pseudonymisierter Form durchzuführen. Dazu nutzen sie technische und organisatorische Maßnahmen sowie Rollen- und Zugriffskonzepte, die eine Identifikation der Einrichtungen und befragten Personen nach Abschluss der Befragung verhindern.


Für die Teilnahme an diesem Projekt sind jeweils die Abteilungen der Psychiatrie und Psychosomatik sowie die Innere Medizin oder vergleichbare Abteilungen in den Krankenhäusern vorgesehen. Zusätzlich zu diesen Abteilungen sollen auch die Fakultäts- und Forschungseinrichtungen der universitätsmedizinischen Einrichtungen an dem Projekt beteiligt werden. Die Interviews sollen mit den für die jeweiligen Abteilungen und Bereichen verantwortlichen Personen und den jeweiligen Datenschutzbeauftragten geführt werden.


Als Ergebnis der Befragung der Krankenhäuser und universitätsmedizinischen Einrichtungen des Landes erhoffen sich beide Datenschutzbeauftragte ein besseres Verständnis für die datenschutzrechtlichen Herausforderungen in den Einrichtungen, um in Zusammenarbeit mit den Verantwortlichen vor Ort ein hohes Niveau an Datenschutz im Gesundheitsland Mecklenburg-Vorpommern zu garantieren und unser Land dadurch wirtschaftlich zu stärken.


In der Regel soll eine Befragung maximal 4-5 Stunden dauern, wobei in dieser Zeit eine Pause von einer halben Stunde eingeplant ist. Es sollen zwei Mitarbeiter zeitgleich Befragungen zu jeweils zwei Themen durchführen. Nach 90 Minuten ist eine Pause vorgesehen, danach wechseln die Teilnehmer zum jeweils anderen Befrager und dessen zwei Themenbereichen.


Beide Datenschutzbeauftragte verstehen, dass die Zeit des Fachpersonals im Krankenhaus sehr kostbar ist. Deshalb sind Folgetermine nicht vorgesehen. Innerhalb des geplanten maximalen Zeitrahmens sollen somit alle Fragen ausführlich geklärt werden.

 

Pseudonymisierungskonzept für das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns“ (UPDK)

Das Projekt UPDK hat das Ziel, eine Übersicht der datenschutzrechtlichen Herausforderungen in den Krankenhausbetrieben Mecklenburg-Vorpommerns zu erfassen. Dabei geht es nicht um die Einzelanalyse der Krankenhäuser, sondern um eine realistische Erfassung der datenschutzrechtlichen Bedürfnisse im Alltag der Krankenhausbetriebe. Die Erfahrungswerte und Expertise des Fachpersonals der Krankenhäuser sind notwendig, um die Alltagstauglichkeit des Datenschutzes im Krankenhaus einzuschätzen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit und der Datenschutzbeauftragte der Nordkirche stellen jedoch klar dass, unabhängig von der Kontaktaufnahme, keine identifizierende Daten von Krankenhäusern oder personbezogene Daten der Fachkräfte für die Auswertung und Erlangung der Ziele des Projekts erforderlich sind. Aus diesem Grund erstellten beide Datenschutzbeauftragte ein Datenschutzkonzept, um identifizierende und personbezogene Daten nach der Datenerhebung zu pseudonymisieren und folgend zu anonymisieren.

Hier sind die wichtigsten Punkte des Datenschutzkonzeptes, an dem sich alle beteiligten Mitarbeiter des Projekts verpflichtend orientieren.

  1. Kontaktdaten werden von den Mitarbeitern beider Datenschutzbeauftragten erhoben, soweit es für die Kontaktaufnahme für die Befragung notwendig ist.
  2. Nach der Befragung werden die Kontaktdaten durch ein Pseudonym ersetzt, welches in einem zufälligen Verfahren, noch vor dem ersten Termin, erstellt worden ist. Danach werden die Kontaktdaten in allen Dokumenten und Datensätzen gelöscht.
  3. Alle Befragungsdaten werden in einem zugriffsgesicherten und verschlüsselten Datencontainer, außerhalb des internen Dokumentenmanagementsystem (DMS) der Behörde, gespeichert, sodass nur die zwei zuständigen Interviewer auf die Befragungsdaten zugreifen können.
  4. Die Befragungsdaten werden in einem zweiten Schritt inhaltlich pseudonymisiert und zusammengefasst, um daraus Daten für die Analyse zu erstellen.
  5. Bevor die Analysedaten weiterverarbeitet werden können, bekommen die Analysedaten ein zweites Pseudonym, welches das erste Pseudonym ersetzt. Damit sind die erhobenen Daten anonymisiert, da nicht einmal die Interviewer einen Rückschluss zu einzelnen Teilnehmer noch zu den teilnehmenden Krankenhäuser ziehen können. Die neuen Pseudonyme wurden vor Kontaktaufnahme in einem zufälligen Verfahren erstellt. Alle Dokumente, die mit dem ersten Pseudonym gekennzeichnet sind, werden gelöscht.
  6. Erst wenn die Analysedaten das zweite Pseudonymisierungs-Verfahren durchlaufen haben, werden die Analysedaten von den Interviewern des Projekts analysiert und gelten als Anonym.
  7. Das Projekt wird durch einen Bericht abgeschlossen. Dieser wird veröffentlicht. Mit Erstellung des Berichtes werden alle Pseudonymisierungs-Kennzeichen und die entsprechenden Speicherungen im internen DMS der Behörden vollständig gelöscht.

Zugriffskonzepte und Zugriffsberechtigungen für das Projekt werden wie folgt festgelegt:

  1.  Kontaktdaten der Krankenhäuser und teilnehmenden Fachkräfte werden von den Mitarbeitern beider Datenschutzbeauftragten, nur nach dienstlicher Notwendigkeit einsehbar sein. Die Kontaktdaten beinhalten den Namen des Krankenhauses, die Adresse des Krankenhauses, den Namen des Geschäftsführers sowie das Datum der Befragung. Nach dem Befragungstermin werden alle Kontaktdaten der Teilnehmenden, durch einen Pseudonym zu ersetzt und aus den Aufzeichnungen zu gelöscht.
  2. Alle weiteren Daten des Projekts werden ausschließlich von den Durchführenden Mitarbeitern verarbeitet. Die Mitarbeiter sind verpflichtet, alle Daten und Informationen bezüglich des Projekts für sich zu bewahren und dürfen diese Daten auch innerhalb der Behörde nicht an Dritte weitergeben. Weiterhin verpflichten sich die Frau Mauch und Herr Kipka für einen Zeitraum von 3 Jahren keine Kotrollbesuche bei den beteiligten Bereichen in den beteiligten Krankenhäusern vorzunehmen.
  3. Mit der Veröffentlichung des Berichts ist das Projekt beendet und die anonymisierten Daten öffentlich zugänglich.

Diese dargestellten Maßnahmen ergreifen beide Datenschutzbeauftragte, um die Pseudonymisierung und Anonymisierung der Teilnehmer am Projekt zu garantieren.