Cloud Computing ist aus dem Alltag von Spitälern und Arztpraxen nicht mehr wegzudenken. Der Anwendungsbereich reicht vom elektronischen Patientendossier bis hin zur Überwachung von Implantaten. Dabei stellen sich schnell Fragen zur Informationssicherheit und zu den Nutzungsbedingungen.
Spitäler, Arztpraxen und weitere Einrichtungen im Gesundheitswesen sind mit Entscheidungen zur Auslagerung von Informatikdienstleistungen in die Cloud konfrontiert. Solche Clouddienste können einen grossen Nutzen für alle Involvierten haben. Gleichzeitig birgt die zunehmende technische Abhängigkeit auch Risiken für die Sicherheit der Patientendaten. In diesem Artikel wird ein Merkblatt vorgestellt, das eine erste Orientierung für die Umsetzung von Cloudvorhaben ermöglichen soll.
Ein wolkiger Begriff kurz erklärt
Hinter der Cloud steht eine bodenständige technische Infrastruktur: Der Speicherplatz (Hosting), das Betriebssystem und die Software eines externen Anbieters werden genutzt. Dazu müssen Daten über das Internet transferiert werden. Abhängig davon, was aus der Cloud bezogen wird, spricht man von Infrastruktur als Service (IaaS), Plattform als Service (PaaS) oder Software als Service (SaaS). Bei Letzterer wird die Informatikdienstleistung komplett ausgelagert. Die Software und die Daten, die darin verarbeitet werden, sind auf den Rechnern des Anbieters und damit vollständig in der Cloud. Die nachfolgenden Ausführungen fokussieren auf Software als Service, gelten aber auch für die anderen Formen der Cloudnutzung.
Orientierungshilfe in der Cloud
Viele Publikationen zeigen die rechtlichen Rahmenbedingungen auf, unter denen Clouddienste im medizinischen Alltag eingesetzt werden können. Allerdings bestehen noch unterschiedliche Anschauungen darüber, inwieweit das Berufsgeheimnis die Benutzung von Clouddiensten zulässt. Denn Cloud Computing stellt immer eine Bearbeitung von Daten durch einen externen Anbieter dar. Sie erfolgt im Auftrag der auslagernden Spitäler oder Arztpraxen, die für die Daten verantwortlich bleiben. Das kann zu Verunsicherung führen.
Das Cloudmerkblatt basiert auf dem Gesetz über die Information und den Datenschutz des Kantons Zürich vom 12. Februar 2007 samt Verordnungsrecht [1]. Die dortigen Grundsätze entsprechen der Regelung auf Bundesebene bzw. dem Bundesgesetz über den Datenschutz vom 19. Juni 1992 [2].
Das Merkblatt ist in die Spalten «Fragestellungen» und «zu erfüllende Anforderungen» aufgeteilt. Es liest sich von links nach rechts mit Fragen zu den datenschutzrechtlichen und den informationssicherheitstechnischen Anforderungen.
Als Erstes muss ganz links die Frage beantwortet werden, was für Daten bearbeitet werden und wie schutzwürdig diese sind. Bei Patientendaten sind nicht nur die datenschutzrechtlichen Bestimmungen, sondern auch das Berufsgeheimnis zu beachten. Als Zweites stellt sich die Frage, ob eine Person identifizierbar ist. Sofern das möglich ist, gelten die höchsten Schutzanforderungen.
Sind die Informationen anonymisiert, können die Daten ohne hohe Hürden ausgelagert werden. Dazwischen können die Daten aber auch pseudonymisiert sein. Das heisst, eine individuelle Person kann dann nur anhand eines Schlüssels oder aus den Umständen identifiziert werden. Sofern sich der Identifikationsschlüssel ausschliesslich im Besitz des Spitals oder der Arztpraxis befindet und eine Identifikation aus den Umständen nicht möglich ist, sind die Daten ausreichend pseudonymisiert und können aus Sicht des Anbieters als anonymisiert betrachtet und damit in der Cloud bearbeitet werden.
Im Unterschied zur Pseudonymisierung ist die Anonymisierung irreversibel, weil z.B. niemand einen Schlüssel für die Re-Identifikation besitzt. Wenn personenbezogene Daten vollständig anonymisiert sind, gelten sie nicht mehr als Personendaten.
Praxisbeispiel 1: Rechnungsstellung und Inkasso mit Clouddienst in der Schweiz
• Ausgangslage: Ein Spital möchte für die Rechnungsstellung und das Inkasso einen Clouddienst in der Schweiz verwenden.
• Merkblatt (von links nach rechts): Die Rechnungsstellung an die Patientinnen und Patienten für die medizinische Behandlung und das Inkasso erfordert, dass mit dem Clouddienst Patientendaten in identifizierter Form bearbeitet werden können. Die Bearbeitung erfolgt in der Schweiz.
• Spalte «zu erfüllende Anforderungen»: Es zeigt sich, dass ein Vertrag zwischen Spital und Anbieter für die Auslagerung nötig ist. Der Vertrag muss sicherstellen, dass auch der Anbieter die datenschutzrechtlichen und informationssicherheitstechnischen Vorgaben an das Spital einhält. Der Anbieter muss insbesondere weisungsgebunden sein, die Patientendaten vertraulich behandeln und die Grundsätze des Datenschutzes wie die Zweckbindung sowie Verhältnismässigkeit einhalten. Klar ist, dass der Anbieter auch sorgfältig ausgesucht werden muss. Denn das Spital bleibt trotz Auslagerung stets verantwortlich für die ausgelagerten Daten. Eine Zustimmung der betroffenen Personen ist hingegen nicht erforderlich.
Als Letztes stellt sich die Frage, ob die Daten in der Schweiz oder im Ausland bearbeitet werden; mit anderen Worten, ob die Cloud in der Schweiz oder im Ausland betrieben wird. Bei Bearbeitungen in der Schweiz greift das Schweizer Recht inklusive Berufsgeheimnis, womit die Daten auch bei einer Auslagerung an einen externen Anbieter mit gleichem juristischem Niveau geschützt sind. Erfolgt ein Datentransfer ins Ausland, müssen allenfalls zusätzliche Vorkehrungen zur Gewährleistung eines äquivalenten Schutzes getroffen werden.
Praxisbeispiel 2: Patientenbefragung mit einem Clouddienst im Ausland
• Ausgangslage: Nach einem Spitalaufenthalt werden Patientinnen und Patienten zu ihrer Zufriedenheit befragt. Dazu erhalten sie über einen ausländischen Clouddienst eine E-Mail, die sie zu einer Online-Umfrage führt. Der Clouddienst wertet die Umfrage aus und informiert das Spital über die Ergebnisse.
• Merkblatt (von links nach rechts): Der Clouddienst benötigt zur Kontaktierung der Personen deren Namen und die E-Mail-Adresse. Die Daten werden im Zusammenhang mit der Behandlung im Spital bearbeitet. Es handelt sich folglich um Patientendaten, welche die Identifikation einer Person ermöglichen. Die Daten werden im Ausland bearbeitet.
• Spalte «zu erfüllende Anforderungen»: Es muss ein Vertrag vorliegen, mit dem das Spital seine Pflichten dem Clouddienst überbindet und mindestens ein äquivalentes Datenschutzniveau wie in der Schweiz gewährleistet. Hinzu kommt, dass die angeschriebenen Personen über die Bearbeitung ihrer Daten im Ausland informiert werden und ausdrücklich einwilligen müssen. Wichtig ist, dass die Einwilligung freiwillig erfolgt. Das bedeutet, dass eine Wahlfreiheit zwischen der Patientenumfrage mit dem Clouddienst im Ausland und einer Alternative wie z.B. der Abgabe von Fragebögen beim Austritt vorliegt. Neben den weiteren rechtlichen Voraussetzungen muss immer auch die Informationssicherheit gemäss der rechten Spalte «zu erfüllende Anforderungen / technisch» gewährleistet sein.
Anforderungen
Durch die Beantwortung der Fragen zur Datenbearbeitung ergeben sich unter «zu erfüllende Anforderungen» in der rechten Spalte des Merkblatts 16 verschiedene Lösungen. Sie zeigen in vereinfachter Form, welche rechtlichen und informationssicherheitstechnischen Anforderungen bei der Umsetzung berücksichtigt werden müssen. Auf der zweiten Seite des Merkblatts sind sie im Detail erläutert. Die Unterteilung der Antworten in datenschutzrechtliche und informationssicherheitstechnische Aspekte gibt zudem Anhaltspunkte dafür, welche Fachpersonen nötigenfalls beigezogen werden können.
Wenn Daten in einer Cloud bearbeitet werden, braucht es einen Vertrag. Das ergibt sich aus der Spalte «zu erfüllende Anforderungen / rechtlich». Darin müssen dem externen Anbieter dieselben Pflichten auferlegt werden, die das Spital oder die Arztpraxis hat. Denn sie bleiben gegenüber den Patientinnen und Patienten verantwortlich. Allem voran muss der Anbieter verpflichtet werden, die Sicherheitsvorkehrungen einzuhalten und die anvertrauten Daten nur zum vereinbarten Zweck zu bearbeiten.
Kommen neue Technologien zum Einsatz oder wird eine besonders grosse Menge von besonders schützenswerten Personendaten bearbeitet, braucht es nach dem Gesetz über die Information und den Datenschutz des Kantons Zürich zudem eine Datenschutz-Folgenabschätzung sowie eine Vorabkontrolle durch die kantonalen Datenschutzbeauftragten.
Findet die Bearbeitung in einer Cloud im Ausland statt, ist das nur zulässig, wenn das Datenschutzniveau im Empfängerstaat mindestens dem der Schweiz entspricht. Ist das nicht der Fall, muss eine Absicherung über Datenschutzvertragsklauseln erfolgen, die von den Datenschutzbehörden genehmigt sind. Bei Datenbearbeitungen im Ausland kann die Rechtsdurchsetzung erschwert sein und es gelangt auch ausländisches Recht zur Anwendung. Es ist angesichts der Risiken ratsam, dass die Patientinnen und Patienten bei einer Bearbeitung ihrer identifizierbaren Daten im Ausland informiert werden und in eine solche Bearbeitung einwilligen.
Die bearbeiteten Daten müssen schliesslich gemäss der Spalte «zu erfüllende Anforderungen / technisch» nach dem aktuellen Stand der technischen Informationssicherheit geschützt sein. Dies bedeutet, dass die Daten bei der Übertragung und vor Ort z.B. durch Verschlüsslung und rollenbasierte Zugriffe angemessen geschützt werden.
Der hohe Nutzen von Clouddiensten ist unbestritten, denn sie ermöglichen eine Ressourcenoptimierung für Patientinnen und Patienten, Spitäler und Arztpraxen gleichermassen. Clouddienste ziehen bei allen Vorteilen aber auch Risiken und rechtliche Fragen nach sich, denen mit Hilfe des Cloudmerkblatts begegnet werden kann. So bleiben Cloudprojekte nicht «wolkig» und können auf den Boden gebracht werden.
Praxisbeispiel 3: Pseudonymisierte oder anonymisierte Patientenbefragung
• Ausgangslage: Die Patientenbefragung erfolgt direkt durch das Spital. Der Clouddienst unterstützt nur technisch. Die Patientinnen und Patienten werden nicht namentlich, sondern mit einer Laufnummer angeschrieben. Die Identifikation einzelner Personen ist nur über einen Identifikationsschlüssel möglich, den das Spital hält. Auch die E-Mail-Adressen der Personen bleiben im Spital.
• Merkblatt (von links nach rechts): Das Spital kann die Patientinnen und Patienten mit dem Schlüssel identifizieren. Es handelt sich somit um pseudonymisierte Patientendaten. Wird hingegen auch auf eine Laufnummer verzichtet, sind Umfrage und Daten anonym. Es handelt sich nicht mehr um personenbezogene Daten. Der Schutz durch das Berufsgeheimnis entfällt. Es ist in beiden Fällen unerheblich, ob die Daten in der Schweiz oder im Ausland bearbeitet werden. Die Einholung einer Patienteneinwilligung ist nicht erforderlich. Es reicht aus, in der E-Mail, welche durch das Spital verschickt wird, auf die externe Durchführung der Umfrage hinzuweisen. Auch hier müssen zusätzlich die informationssicherheitstechnischen Anforderungen beachtet werden.
• Bei Registern/Überwachungssystemen: Dasselbe gilt bei internationalen Registern und Überwachungssystemen von Vitaldaten (z.B. Herzschrittmacher, Blutzuckerspiegel, Augendruck), in welchen die darin geführten Daten nur über einen vom Spital gehaltenen Schlüssel den Personen zugeordnet werden können. Bei einer solchen Pseudonymisierung von Personendaten stellt sich allerdings immer die Frage, ob diese ausreichend stark ist. Es empfiehlt sich deshalb, bei Datenbearbeitungen im Ausland im Zweifelsfall mindestens zusammen mit der Information die implizite Zustimmung der Patientinnen und Patienten einzuholen.
Das Wichtigste in Kürze
• Immer mehr Spitäler und Arztpraxen lagern Informatikdienstleistungen an externe Clouddienste aus. Dabei stellen sich rechtliche Fragen zum Schutz der Patientendaten, für die das abgebildete Merkblatt eine Orientierungshilfe bietet.
• Das Merkblatt gibt Auskunft darüber, welche rechtlichen und technischen Anforderungen je nach Datenart und Verschlüsselungsform und bei der Datenverarbeitung im In- oder Ausland anfallen.
L’essentiel en bref
• De plus en plus d’hôpitaux et de cabinets médicaux externalisent leurs services informatiques à des services de cloud externes. Cela soulève des questions juridiques sur la protection des données des patients, pour lesquelles l’aide-mémoire présenté ici fournit des conseils.
• L’aide-mémoire informe sur les exigences juridiques et techniques qui s’appliquent selon le type de données et la forme de cryptage et selon si les données sont traitées dans le pays ou à l’étranger.
Correspondance
Philip Gut Universitätsspital Zürich Stab Spitaldirektion Rämistrasse 100 CH-8091 Zürich philip.gut2[at]usz.ch
