AP Recht - KoLaWiss

05.04.2013 Aufrufe
KoLaWiss-Gutachten AP 4: Recht Seite 20 von 163 12. Zu Frage 14: Müssen für die Langzeitarchivierung medizinischer Forschungsdaten besondere technische sowie organisatorische Zugangssicherungsmaßnahmen getroffen werden? Wie stellt sich dies im Kontext bei Daten mit und ohne Personenbezug dar? Im Rahmen der Langzeitarchivierung medizinischer Forschungsdaten hat die Univer- sität dafür Sorge zu tragen, dass Unbefugte keinen Zutritt zu den Datenverarbeitungs- anlagen erhalten. Dazu ist zunächst erforderlich, alle Verarbeitungsanlagen des LZA zu erfassen. Darüber hinaus hat sie festzulegen, welche Personen in welchem Umfang Zugang zu den Verarbeitungsanlagen des LZA und dessen IT-Systemen haben dürfen. Des Weiteren sind die Bedingungen und die Form der Identifikation und Authentisie- rung der Zugriffsberechtigten festzulegen. Hinsichtlich des Zugriffs und der Bearbei- tung der Daten ist darüber hinaus genau festzulegen, wie die Authentisierung und Identifikation von Mitarbeitern und Zugriffsgeräten zu erfolgen hat und welche Aktio- nen bei einer nicht erfolgreichen Authentisierung zu erfolgen haben. Dies kann unter anderem erreicht werden, indem für den Zugriff auf den Datenkatalog und die Eingabe neuer bzw. die Veränderung bereits gespeicherter Daten spezielle Zugriffsrechte entsprechend den Aufgabenfeldern der einzelnen Mitarbeiter zugeteilt werden. Damit könnte nur ein begrenzter und möglichst kleiner Kreis von Mitarbeitern Eingaben vornehmen und die gespeicherten personenbezogenen Daten ändern. Dabei sind die Zu- griffsrechte nur insoweit zu erteilen, als die Inhaber der Nutzungsrechte diese auch tat- sächlich ihrem Tätigkeitsfeld entsprechend benötigen. So könnten separate Nutzungs- rechte für den Zugang zu den Daten, der Eingabe von neuen Daten, der Übertragung der Daten an einen anderen Speicherort, der Veränderung sowie der Löschung der Da- ten erteilt werden. Die Vergabe, Änderung oder Entziehung dieser Nutzungsrechte darf dabei nur durch autorisierte Personen erfolgen und ist genau zu dokumentieren, damit stets Klarheit darüber herrscht, wie groß der Personenkreis ist, der Zugriff auf die Daten hat und welche Personen er umfasst. Die Datenbestände sind infolge dessen so aufzubereiten, dass bei einer Eingabe in den Datenbestand zunächst geprüft wird, ob die jeweilige Person auf die Daten zugreifen darf, bzw. ob und inwieweit sie Ände- rungen an den Datensätzen vornehmen darf. Dies kann beispielsweise durch die Ein- richtung von Zugriffssicherungen in Form von Passwörtern oder durch chipkartenba- sierte oder biometrische Identifikationsverfahren geschehen. Des Weiteren empfiehlt sich in diesem Zusammenhang die Installation eines physikalischen Schreibschutzes, Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist

KoLaWiss-Gutachten AP 4: Recht Seite 21 von 163 damit die Daten nicht nachträglich manipuliert werden können. Daneben sollten Re- geln für die Aufbewahrung von Datenträgern, wie etwa CD-ROM oder Festplatten, aufgestellt werden, auf denen sich personenbezogene Daten befinden. Neben diesen Maßnahmen, die eine unbefugte Veränderung bzw. einen unbefugten Zugriff verhin- dern sollen, sollten die archivierten Daten unter Umständen mit einer qualifizierten elektronischen Signatur versehen werden, um so etwaige Manipulationen von Daten- beständen möglichst schnell aufzufinden, die trotz aller getroffenen Sicherheitsvorkeh- rungen unter Umständen nicht verhindert werden können. Ferner sollten Ereignisse im Zusammenhang mit den personenbezogenen Daten protokolliert werden, um so feststellen zu können, zu welchem Zeitpunkt welche Daten von welchem Zugriffsgerä- te aufgerufen bzw. verändert worden sind. Eine Protokollierung sollte ferner hinsichtlich der erteilten Zugriffsrechte erfolgen. Zu beachten ist dabei, dass die vorgenom- menen Protokollierungen vollständig und klar aufgebaut sein müssen, um im Ernstfall tatsächlich nachvollziehen zu können, zu welchem Zeitpunkt welche Veränderung von welchem Arbeitsplatz vorgenommen wurde. 13. Zu Frage 15: Ist bereits absehbar, inwieweit die elektronische Gesundheitskarte und der elektronische Heilberufeausweis Auswirkungen auf die elektronische Langzeitarchivierung medizinischer Forschungsdaten haben werden? Dies gilt insbesondere im Kontext mit der qualifizierten elektronischen Signatur. Die elektronische Gesundheitskarte und der elektronisch Heilberufeausweis haben voraussichtlich keine Auswirkungen auf die elektronische Langzeitarchivierung medizinischer Forschungsdaten. Zwar sieht § 291a Abs. 3 SGB V vor, dass der Heilberu- feausweis elektronische Signaturen vergeben können muss. Allerdings regelt die Norm nur die Speicherung und den Zugriff auf der elektronischen Gesundheitskarte. Darüber hinaus macht die Norm weder datenschutzrechtliche noch sonstige Angaben zur Verwendung medizinischer Daten. Abzuwarten bleibt jedoch, welches technische Verfahren für die sogenannte elektronische Patientenakte gewählt wird. Sofern die darin enthaltenen Daten nicht direkt auf der Karte, sondern auf einem zentralen Server gespeichert werden, käme dies technisch den Maßnahmen sehr nahe, die auch im Rahmen der digitalen Langzeitarchivierung getroffen werden, so dass damit einherge- Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist

Seite 1 und 2: KoLaWiss-Gutachten AP 4: Recht Seit









Seite 19: KoLaWiss-Gutachten AP 4: Recht Seit







































































Seite 163: KoLaWiss-Gutachten AP 4: Recht Seit

urhg

recht

ndsg

sofern

gerald

tobias

hillegeist

bdsg

archivierung

einwilligung

kolawiss

kolawiss.uni-goettingen.de

AP Recht - KoLaWiss

AP Recht - KoLaWiss ... Mehr anzeigen AP Recht - KoLaWiss

Template löschen?

Als Template speichern ?

AP Recht - KoLaWiss AP Recht - KoLaWiss