Dienstliche Nutzung privater Geräte
Transcrição
Dienstliche Nutzung privater Geräte
THEMEN DER ZEIT tenbank. Die Ärzte rufen die Daten über eine übersichtliche Webapplikation ab. Abweichungen vom Therapieplan werden rasch sichtbar, Feedback-Nachrichten und Therapieanpassungen können sie den Patienten direkt auf das Handy übermitteln. Das Telemonitoringprogramm setzt die Versicherungsanstalt für Eisenbahnen und Bergbau laut Morak bereits seit zwei Jahren erfolgreich zur Betreuung ihrer Versicherten ein. MOBILE ANWENDUNGEN Dienstliche Nutzung privater Geräte Werden private Smartphones oder Tablet-PCs im Krankenhaus auch beruflich genutzt, sind bestimmte rechtliche und technische Voraussetzungen zu beachten. Urs-Vito Albrecht , Ralf Gerhard Weiß, Oliver Pramann Kontextbezogene Infos Darüber hinaus arbeitet das AIT auch an mobilen Lösungen für medizinische Fachkräfte, die diese kontext- und rollenbezogenen Informationen zur Verfügung stellen. Auch dabei spielen kontaktlose RFID-Karten zur Identifikation der Beteiligten eine Rolle, etwa wenn ein Tablet-PC im Altenheim von mehreren Personen genutzt wird. So könnte ein Arzt nach der Anmeldung dort auf andere Inhalte zugreifen als eine Pflegekraft. Treffen Pfleger und Patient beispielsweise am Tablet-PC aufeinander, könnten automatisiert bestimmte Daten wie die Flüssigkeitszufuhr angezeigt werden. „Hier sind künftig viele Einsatzmöglichkeiten etwa in der mobilen Betreuung, der Rehabilitation oder im Case Management denkbar“, meinte Falgenhauer. Die großen Potenziale mobiler Apps im medizinischen Umfeld können sich jedoch nur entfalten, so das Fazit der Experten, wenn die Anwendungen in professionelle ITSysteme integriert sind und wenn sie die direkte Kommunikation zwischen Ärzten beziehungsweise medizinischen Fachkräften und Patienten unterstützen. „Smartphones etablieren sich in atemberaubender Geschwindigkeit als universelle Plattform für telemedizinische Behandlung und Prävention. Gleichzeitig zeigen neue Studien, dass Technologie allein nicht ausreicht: Zentrale Wirkfaktoren sind individuelle Kommunikation und persönliche Zielvereinbarungen“, betonte etwa Dr. med. Stephan Schug, Geschäftsführer der Deutschen Gesellschaft für Gesundheitstelematik. ▄ Heike E. Krüger-Brand rreichbarkeit, Mobilität und die damit verbundene Flexibilität haben im privaten wie dienstlichen Umfeld einen hohen Stellenwert. Smartphones und Tablet-PCs unterstützen dies durch ihr Design und ihre Funktionalität wie kaum ein anderes technisches Gerät. Sie prägen den modernen „Lifestyle“ und sind ständige Begleiter. Ihre Anwendungsfelder reichen weit über die persönliche Kommunikation hinaus und umfassen zum Beispiel Navigation, Unterhaltung und Information (1). Mit der Änderung des Arbeitsverhaltens, das heute weniger trennscharf den „Feierabend“ vom „Arbeitstag“ unterscheidet, vermischen sich auch der private und dienstliche Gebrauch der Mobilgeräte. Häufig sind hierfür praktische Gründe ausschlaggebend. Das Angebot an professionellen Anwendungen für die Geräte macht den Zugang einfacher und lässt die Problematik der Daten(un)sicherheit zugunsten des Komforts und der schnelleren Aufgabenbewältigung bei dieser Vermischung verblassen. Die Folge ist, dass zunehmend private Geräte mitgebracht und dienstlich genutzt werden. Das unter dem Schlagwort „Bring Your Own Device“ (BYOD) zusammengefasste Phänomen betrifft immer häufiger auch medizinische Einrichtungen. Prinzipiell bedarf der Einsatz privater Endgeräte im Betrieb des Arbeitgebers dessen Erlaubnis. Setzt der Arbeitnehmer ohne Einwilligung des Arbeitgebers sein mobiles Endgerät zu betrieblichen Zwecken ein, kann Gefahr für die Sicherheit des Betriebs drohen. Für den Arbeitneh- E P.-L.-Reichertz-Institut für Medizinische Informatik, Medizinische Hochschule Hannover: Dr. med. Albrecht, Dr. jur. Pramann Zentrum für Informationsmanagement, Medizinische Hochschule Hannover: Weiß Kanzlei 34 Rechtsanwälte und Notare, Hannover: Dr. jur. Pramann Deutsches Ärzteblatt | Jg. 109 | Heft 31–32 | 6. August 2012 mer kann dies wiederum zu arbeitsrechtlichen Konsequenzen führen. Schließlich sind Schäden möglich, die auf den Einsatz des Endgeräts zurückführbar sein können. Bei unerlaubter Datenspeicherung dienstlicher Information auf dem privaten Endgerät sind Verstöße gegen den Schutz des Betriebsgeheimnisses denkbar, die durchaus in mehrere rechtliche Dimensionen reichen. Für Arbeitgeber und Arbeitnehmer birgt „Bring Your Own Device“ daher Problempotenzial in unterschiedlichen Rechtsbereichen wie Datenschutz- und Arbeitsrecht, Medizinprodukterecht (CE-Zulassung), Zivilrecht (Eigentum, Kosten bei Verlust), Wettbewerbsrecht, aber auch Lizenzrecht und sogar Strafrecht (2). Erlaubnis des Arbeitgebers erforderlich Vor diesem Hintergrund sollte jeder Arbeitgeber den Einsatz mobiler Endgeräte in seinem Betrieb präventiv regeln (3, 4). Der Inhalt einer solchen Regelung kann sich sowohl auf die Nutzung privater Endgeräte in einer medizinischen Einrichtung als auch auf die Nutzung betrieblicher Endgeräte im Privatbereich erstrecken (5). Die jeweiligen Details der Nutzung sollten vertraglich bestimmt werden, wobei diese Absprachen den Arbeitnehmer weder unangemessen benachteiligen noch ihn überraschen dürfen. Gerade die Nutzung eines privaten Gerätes kann nicht Gegenstand einer Verpflichtung sein, wenn eine vertragliche Regelung fehlt (6). Spezielle Risiken im Zusammenhang mit dem Einsatz mobiler End- A 1545 THEMEN DER ZEIT geräte stellt die Möglichkeit der Kontamination mit Krankheitserregern dar. Auch hier sollte das Krankenhaus entsprechende Regelungen treffen, um Haftungsprobleme zu umgehen (7). BYOD ist vor allem unter dem Aspekt des Datenschutzes für medizinische Einrichtungen eine besondere Herausforderung (8). Vertraulichkeit der Kommunikation, Dokumentation und Archivierung sind für Krankenhäuser von übergeordneter Bedeutung. Die technische Verantwortung zur Sicherung der datenschutzrechtlichen Interessen liegt bei der Unternehmens-IT, die mit der Eingliederung privater Mobilgeräte (technisch wie konzeptionell) in die Sicherheitsstruktur des Unternehmens vor einer hochkomplexen Aufgabe steht. Durch besondere Vorkehrungen muss sie zusätzlich für die Aufrechterhaltung der Sicherheitsbarrieren nach Außen sorgen, etwa in Form von Pflege und Wartung vorhandener Sicherheitssysteme von Firewall bis Virenscanner, was durch unterschiedliche Betriebssysteme noch erschwert wird. Eine Regulierung durch innerbetriebliche IT-Richtlinien, die nach dem aktuellen Stand der Technik auch Mobilgeräte wie Smartphones und Tablet-PCs einschließen und die genannten Problembereiche umfassen sollten, kann die „Bring-YourOwn-Device“-Problematik abfedern, ohne mobile Endgeräte völlig zu verbieten. Letzteres wäre im Ergebnis sicherlich nicht gewünscht und auch kaum durchsetzbar. Innerbetriebliche IT-Richtlinie Mit einer verständlichen und klar strukturierten IT-Richtlinie lässt sich ein Sicherheitsstandard kommunizieren, der für alle Mitarbeiter ein referenzierbares Instrument darstellt und neben einer Problemsensibilisierung auch Sicherheit für die Nutzer schafft. Diese müssen letztendlich die Vorgaben umsetzen, und dies setzt primär die Informati- ASPEKTE DER IT-RICHTLINIE Die physische Sicherung soll dazu dienen, mobile Geräte als Datenträger sowie als Zugangsmöglichkeit ins betriebliche Datennetz vor dem direkten Zugriff durch Dritte zu schützen. Eine (auch vorübergehende) Weitergabe des Mobilgeräts an Externe ist nicht erlaubt. Zudem sind allgemeine Vorkehrungsmaßnahmen zum Schutz vor Diebstahl zu treffen. So darf etwa auch im verschlossenen Fahrzeug das Gerät nicht sichtbar liegen gelassen werden. Der Verlust des Geräts ist der ausgebenden Stelle unverzüglich anzuzeigen. Der Schutz der Daten auf dem Gerät soll durch Aktivierung der Identifizierungsmaßnahmen für den Nutzer, wie Einschaltkennwort oder -PIN, und durch die automatische passwortgeschützte Sperrung bei Inaktivität (Bildschirm-/Tastensperre), gestärkt werden. Der Zeitraum der Inaktivität bis zur Sperrung sollte nicht mehr als 20 Minuten betragen. Generell sollen personal- und patientenbezogene Daten, wenn sie überhaupt auf dem Gerät gespeichert werden müssen, nur temporär vorgehalten und verschlüsselt werden. Das Speichern dieser sensiblen Daten auf externen Datenträgern ist nur verschlüsselt zulässig. Die externe Speicherung außerhalb des betriebseigenen Datennetzes („in der Cloud“) erfordert eine Geneh- A 1546 migung. Sensible Daten dürfen zu keiner Zeit „in der Cloud“ gespeichert werden. Bei der Installation von Software („Apps“) auf dem mobilen Gerät dürfen der Software keine Zugriffsrechte eingeräumt werden, die den Schutz sensibler Daten kompromittieren. Passwörter dürfen nicht lokal und insbesondere niemals im Klartext auf dem Gerät gespeichert werden. Zum Schutz vor Angriffen auf die Kommunikation sind sämtliche Funk-, Infrarot- und andere Kommunikationsschnittstellen zu deaktivieren, sofern diese nicht aktiv benutzt werden. Innerhalb des betriebseigenen Datennetzes dürfen dessen Sicherheitsmechanismen (Firewall, Proxy, Virenschutz et cetera) nicht umgangen werden. Auch innerhalb des Betriebs ist die parallele Nutzung von GPRS/UMTS und LAN/WLAN für die Datenkommunikation nicht erlaubt. Nach Möglichkeit muss jegliche Datenübertragung über verschlüsselte Kanäle erfolgen. Vor Außerbetriebnahme eines Geräts sind alle darauf gespeicherten Daten bei Bedarf zu sichern und in jedem Fall unwiederbringlich zu löschen. Die Konfiguration des Geräts ist zurückzusetzen, so dass ein Rückgriff auf Unternehmensressourcen wie etwa E-Mails ausgeschlossen ist. on und das Verständnis von Problem und Problemlösung voraus. Das Bundesamt für Sicherheit in der Informationstechnik hat in seiner Vorgabe „Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen“ bereits Empfehlungen zur sicheren Integration veröffentlicht, die als Grundlage für die Entwicklung neuer oder die Anpassung vorhandener IT-Richtlinien im Unternehmen dienen können (9). Diese Empfehlungen datieren von 2006, insofern ist der technische Fortschritt der vergangenen Jahre nicht berücksichtigt. Dennoch benennen sie im Grundsatz die zu berücksichtigenden Komponenten und sind daher sehr hilfreich. Eine aktualisierte Richtlinie sollte weitere Aspekte berücksichtigen wie die physische Gerätesicherung, den Schutz der Daten auf dem Gerät, den Schutz vor Angriffen auf die Kommunikation, Maßnahmen bei Außerbetriebnahme und allgemeine Hinweise, wie sie etwa an der Medizinischen Hochschule Hannover exemplarisch dargelegt sind (10). Sie könnte neben allgemeinen Empfehlungen wie dem Datensparsamkeitsgebot auch Empfehlungen zur Verwendung von Passwörtern, Benutzerauthentifikation und Verschlüsselung aussprechen, die den derzeit gültigen Anforderungen hinsichtlich Passwortlänge und Komplexität entsprechen (Kasten). Zusammenfassend ist zu konstatieren, dass medizinische Einrichtungen sich zunehmend mit der Thematik BYOD auseinandersetzen müssen. Namentlich unter den Aspekten Datenschutz und Datensicherheit sind präventiv Maßnahmen zu ergreifen, die den Umgang mit privaten mobilen Endgeräten reglementieren und auf das jeweilige medizinische Umfeld anpassen. █ Zitierweise dieses Beitrags: Dtsch Arztebl 2012; 109(31/32): A 1545–6 Anschrift für die Verfasser Dr. med. Urs-Vito Albrecht, MPH P.-L.-Reichertz-Institut für Medizinische Informatik Medizinische Hochschule Hannover Carl-Neuberg-Straße 1, 30625 Hannover [email protected] @ Literatur im Internet: www.aerzteblatt.de/lit3112 Deutsches Ärzteblatt | Jg. 109 | Heft 31–32 | 6. August 2012 LITERATURVERZEICHNIS HEFT 31–32/2012, ZU: MOBILE ANWENDUNGEN Dienstliche Nutzung privater Geräte Werden private Smartphones oder Tablet-PCs im Krankenhaus auch beruflich genutzt, sind bestimmte rechtliche und technische Voraussetzungen zu beachten. Urs-Vito Albrecht , Ralf Gerhard Weiß, Oliver Pramann LITERATUR 1. Pramann O, Gärtner A, Albrecht UV: Medical Apps: Mobile Helfer am Krankenbett. Dtsch Arztebl 2012; 109(22/23): A-1201. 2. Bierekoven C: Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen, ITRB 2012, 106–8. 3. Conrad I: Einsatz von Data Loss Prevention-Systemen im Unternehmen: Geheimnis-, Konkurrenz- und Datenschutz in Zeiten von „Consumerization“ und „Bring Your Own Device“, CR 2011, 797–805. 4. Söbbing T, Müller NR: Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt, ITRB 2012, 15–7. 5. So hat das Hessische Landesarbeitsgericht entschieden, dass unerlaubte Privatnutzung eines vom Arbeitgeber zur Verfügung gestellten Internetanschlusses u. a. dann an sich geeignet sein kann, einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB für eine außerordentliche Kündigung des Arbeitsverhältnisses zu bilden, wenn das Betriebsmittel unberechtigt in Anspruch genommen wird und hierdurch zusätzliche Kosten entstehen (Urteil vom 25.07.2011, Az. 17 Sa 1818/10, zitiert nach juris). 6. Koch FA: Arbeitsrechtliche Auswirkungen von „Bring your own Device“: Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht, ITRB 2012, 35–9. 7. Pramann O, Graf A, Albrecht UV: Tablet-PC im Krankenhaus: Hygienische Aspekte beachten. Dtsch Arztebl 2012; 109(14): A-706. A5 8. Conrad I, Schneider J: Einsatz von „privater IT“ im Unternehmen: Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153ff. 9. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen (2006). https://www.bsi.bund.de/SharedDocs/ Downloads/DE/BSI/Publikationen/Broschueren/MobilEndgeraete/mobile_endgeraete_pdf.pdf?__blob=publicationFile (Letzer Besuch: 09.07.2012). 10. Zentrum für Informationsmanagement: Richtlinien zum Umgang mit mobilen Geräten im Datennetz der MHH. Version: 2.0 vom 13.06.2012. Deutsches Ärzteblatt | Jg. 109 | Heft 31 | 6. August 2012