AP Recht - KoLaWiss

Empfehlungen

Info

KoLaWiss-Gutachten AP 4: Recht Seite 20 von 163 12. Zu Frage 14: Müssen für die Langzeitarchivierung medizinischer Forschungsdaten besondere technische sowie organisatorische Zugangssicherungsmaßnahmen getroffen werden? Wie stellt sich dies im Kontext bei Daten mit und ohne Personenbezug dar? Im Rahmen der Langzeitarchivierung medizinischer Forschungsdaten hat die Univer- sität dafür Sorge zu tragen, dass Unbefugte keinen Zutritt zu den Datenverarbeitungs- anlagen erhalten. Dazu ist zunächst erforderlich, alle Verarbeitungsanlagen des LZA zu erfassen. Darüber hinaus hat sie festzulegen, welche Personen in welchem Umfang Zugang zu den Verarbeitungsanlagen des LZA und dessen IT-Systemen haben dürfen. Des Weiteren sind die Bedingungen und die Form der Identifikation und Authentisie- rung der Zugriffsberechtigten festzulegen. Hinsichtlich des Zugriffs und der Bearbei- tung der Daten ist darüber hinaus genau festzulegen, wie die Authentisierung und Identifikation von Mitarbeitern und Zugriffsgeräten zu erfolgen hat und welche Aktio- nen bei einer nicht erfolgreichen Authentisierung zu erfolgen haben. Dies kann unter anderem erreicht werden, indem für den Zugriff auf den Datenkatalog und die Eingabe neuer bzw. die Veränderung bereits gespeicherter Daten spezielle Zugriffsrechte entsprechend den Aufgabenfeldern der einzelnen Mitarbeiter zugeteilt werden. Damit könnte nur ein begrenzter und möglichst kleiner Kreis von Mitarbeitern Eingaben vornehmen und die gespeicherten personenbezogenen Daten ändern. Dabei sind die Zu- griffsrechte nur insoweit zu erteilen, als die Inhaber der Nutzungsrechte diese auch tat- sächlich ihrem Tätigkeitsfeld entsprechend benötigen. So könnten separate Nutzungs- rechte für den Zugang zu den Daten, der Eingabe von neuen Daten, der Übertragung der Daten an einen anderen Speicherort, der Veränderung sowie der Löschung der Da- ten erteilt werden. Die Vergabe, Änderung oder Entziehung dieser Nutzungsrechte darf dabei nur durch autorisierte Personen erfolgen und ist genau zu dokumentieren, damit stets Klarheit darüber herrscht, wie groß der Personenkreis ist, der Zugriff auf die Daten hat und welche Personen er umfasst. Die Datenbestände sind infolge dessen so aufzubereiten, dass bei einer Eingabe in den Datenbestand zunächst geprüft wird, ob die jeweilige Person auf die Daten zugreifen darf, bzw. ob und inwieweit sie Ände- rungen an den Datensätzen vornehmen darf. Dies kann beispielsweise durch die Ein- richtung von Zugriffssicherungen in Form von Passwörtern oder durch chipkartenba- sierte oder biometrische Identifikationsverfahren geschehen. Des Weiteren empfiehlt sich in diesem Zusammenhang die Installation eines physikalischen Schreibschutzes, Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
KoLaWiss-Gutachten AP 4: Recht Seite 21 von 163 damit die Daten nicht nachträglich manipuliert werden können. Daneben sollten Re- geln für die Aufbewahrung von Datenträgern, wie etwa CD-ROM oder Festplatten, aufgestellt werden, auf denen sich personenbezogene Daten befinden. Neben diesen Maßnahmen, die eine unbefugte Veränderung bzw. einen unbefugten Zugriff verhin- dern sollen, sollten die archivierten Daten unter Umständen mit einer qualifizierten elektronischen Signatur versehen werden, um so etwaige Manipulationen von Daten- beständen möglichst schnell aufzufinden, die trotz aller getroffenen Sicherheitsvorkeh- rungen unter Umständen nicht verhindert werden können. Ferner sollten Ereignisse im Zusammenhang mit den personenbezogenen Daten protokolliert werden, um so feststellen zu können, zu welchem Zeitpunkt welche Daten von welchem Zugriffsgerä- te aufgerufen bzw. verändert worden sind. Eine Protokollierung sollte ferner hinsichtlich der erteilten Zugriffsrechte erfolgen. Zu beachten ist dabei, dass die vorgenom- menen Protokollierungen vollständig und klar aufgebaut sein müssen, um im Ernstfall tatsächlich nachvollziehen zu können, zu welchem Zeitpunkt welche Veränderung von welchem Arbeitsplatz vorgenommen wurde. 13. Zu Frage 15: Ist bereits absehbar, inwieweit die elektronische Gesundheitskarte und der elektronische Heilberufeausweis Auswirkungen auf die elektronische Langzeitarchivierung medizinischer Forschungsdaten haben werden? Dies gilt insbesondere im Kontext mit der qualifizierten elektronischen Signatur. Die elektronische Gesundheitskarte und der elektronisch Heilberufeausweis haben voraussichtlich keine Auswirkungen auf die elektronische Langzeitarchivierung medizinischer Forschungsdaten. Zwar sieht § 291a Abs. 3 SGB V vor, dass der Heilberu- feausweis elektronische Signaturen vergeben können muss. Allerdings regelt die Norm nur die Speicherung und den Zugriff auf der elektronischen Gesundheitskarte. Darüber hinaus macht die Norm weder datenschutzrechtliche noch sonstige Angaben zur Verwendung medizinischer Daten. Abzuwarten bleibt jedoch, welches technische Verfahren für die sogenannte elektronische Patientenakte gewählt wird. Sofern die darin enthaltenen Daten nicht direkt auf der Karte, sondern auf einem zentralen Server gespeichert werden, käme dies technisch den Maßnahmen sehr nahe, die auch im Rahmen der digitalen Langzeitarchivierung getroffen werden, so dass damit einherge- Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
Seite 1 und 2: KoLaWiss-Gutachten AP 4: Recht Seit
Seite 19: KoLaWiss-Gutachten AP 4: Recht Seit
Seite 71 und 72:
KoLaWiss-Gutachten AP 4: Recht Seit
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163:
Alle anzeigen

AP Recht - KoLaWiss

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?