Personenbezogenen Daten des medizinischen Lauf- und Entwicklungsportfolios

Die Datenerhebung und die Datenverarbeitung

Ein Erheben im Sinne des Gesetzes liegt bereits bei der bloßen Beschaffung von Daten über natürliche Personen vor.

Im Sinne des medizinischen Entwicklungsportfolios handelt es sich hier um personenbezogene Daten im Bezug auf die Kompetenzentwicklung der Eigentümer (Assistenzärzte).

Teilweise handelt es sich dabei um Beurteilungen durch ihre Weiterbilder/Ausbilder wie Chefärzte oder Oberärzte. Um die Validität der Beurteilungen zu gewährleisten, werden auch bestimmte Daten des Beurteilenden, wie z.B. Name, Stelle, medizinisches Fachgebiet verarbeitet.

Die Datennutzung

Die Daten werden vom Eigentümer zur Darstellung und Dokumentierung seiner Kompetenzen und seiner Kompetenzentwicklung benutzt. Sie werden während der Ausbildung zum Facharzt genutzt, um die Erfüllung der Anforderungen nachzuweisen. Die Daten werden auch während des weiteren Karriereverlaufs genutzt, um die laufende Qualifizierung und Weiterentwicklung innerhalb eines spezifischen medizinischen Fachgebiets nachweisen zu können.

Die Daten, die registriert werden, sind in Erfahrungen des Assistenzarztes und in Beurteilungen des Beurteilenden aufzuteilen. Kurse, Vorträge, Konferenz- und Kongressbesuche usw., gehören alle zu den Erfahrungen, die durch den Assistenzarzt selbständig eingetragen werden können. Dazu braucht man keine Beurteiler, demzufolge auch nicht ihre Daten.

Beim Eintragen von Beurteilungen sind bestimmte personenbezogene Daten der Beurteiler notwendig. Es handelt sich dabei um grundsätzliche Informationen wie den Namen, die E-Mail-Adresse, den Titel, die Stellung, den Namen der Klinik und die Anzeige des spezifischen medizinischen Fachgebiets. Nur durch die Erfassung dieser Daten erhalten die Beurteilungen ihre Validität.

Eine spezielle Beurteilung ist das 360˚-Feedback, dadurch soll der Befragte anonym Feedback geben können. Vom Befragten sind bei der Einladung nur wenige personenbezogene Daten notwendig, dazu zählen Name, E-Mail-Adresse und Beziehung zum Beurteilten. Diese Daten werden dazu nur kurzfristig benötigt und gespeichert.

Die Sicherheitsmaßnahmen

Das Hosting

Das medizinische Entwicklungsportfolio ist als Cloud-Dienst, auch bekannt als “Software as a Service (SAAS)”, auf der Vrest-Cloud-Plattform implementiert. Diese Plattform nutzt IT-Infrastruktur im niederländischen Staatsgebiet.

Die Vrest-Server befinden sich in Räumen von Datazentren die exklusiv an Vrest zugewiesen sind. Diese Räume sind nur für Personal von unseren Datazentren-Partnern zugänglich. Unsere Datazentren-Partner versorgen die Server mit notwendigen basalen Vorkehrungen wie Strom und Netzwerkdienste.

Vrest ist Inhaber dieser IT-Infrastruktur und verantwortlich für deren Verfügbarkeit, Überwachung und Verwaltung. Vrest wird dabei unterstützt von Root B.V. speziell für 24/7 Überwachung. In diesem Kontext ist Root als Sub-Verarbeiter anzumerken. Jedoch wird die technische und funktionelle Verwaltung komplett von Vrest durchgeführt. Zusätzlich liefern wir direkte Unterstützung und sachkundigen Support. Die aktuelle Verfügbarkeit der Vrest-Cloud-Dienste liegt bei über 99,9%.

Durch all diese Maßnahmen kann Vrest weitgehende Garantien zu Zuverlässigkeit, Stabilität, Sicherheit und Verfügbarkeit der Vrest-Cloud-Dienste liefern.

Die Datenspeicherung

Die Vrest-Cloud-Plattform wird redundant ausgeführt. Die Daten werden in zwei räumlich getrennten Datenzentren gespeichert.

In Zentrum 1 gibt es mehrere Server, die in einem Master-Master-Verhältnis vollständig und in Echtzeit synchronisiert sind. Dieser Aufbau sorgt für eine ausgeglichene Arbeitslastverteilung und garantiert die Erreichbarkeit der Server.

Der Server im Zentrum 2 ist mit den Servern im Zentrum 1 synchronisiert, es besteht ein sogenanntes Master-Slave-Verhältnis zwischen den beiden. Der Server im Zentrum 2 wird also nur aktiviert, wenn alle Server im Zentrum 1 ausgefallen sind.

In jedem Zentrum werden täglich Sicherungskopien angefertigt und in separaten Räumen gespeichert. Diese Sicherungskopien enthalten alle wichtigen Daten wie Benutzerdaten, Konfigurationsdateien, Datenbanken usw.

Der Zugang zum Datenzentrum

Die Datenzentren sind nur für autorisiertes Personal zugänglich. Jedes Zentrum hat eine Vielfalt von aktiven Schutzmaßnahmen, dazu zählen unter anderem Wachen, Kameraüberwachung, Schleusen und verschiedene Zugangsausweise.
Innerhalb der Datenzentren sind die Vrest-Server nur für von Vrest autorisierte Personen zugänglich.

Das Anmelden und Einloggen

Das medizinische Entwicklungsportfolio ist Eigentum des Nutzers. Dabei erhält der Nutzer sogenannte CRUD-Rechte: C = create = erstellen; R = read = lesen; U = update = aktualisieren; D = delete = löschen. Wenn der Nutzer einen Beurteiler einlädt, dann entstehen damit auch bestimmte CRUD-Rechte für den Beurteiler.

Jede Rolle in der Plattform hat eigene individuelle Rechte. Ein beurteilender Facharzt hat zum Beispiel weniger Rechte als der endverantwortliche Oberarzt.

Um einen Account zu erstellen, meldet man sich direkt bei Vrest an. Zurzeit geschieht dies per E-Mail. Zukünftig wird die Anmeldung jedoch über den digitalen Vrest-Marktplatz erfolgen. Nach einer positiven Validitätskontrolle wird dann der Account erstellt.

In näherer Zukunft steht dem Benutzer auch eine Zwei-Stufen-Authentifikation zur Verfügung.

Der Datenverkehr zwischen den Benutzern und der Vrest-Cloud-Plattform verläuft über eine gesicherte SSL-Verbindung. Dadurch sind die Daten während des Transports verschlüsselt.

Die Vrest-Mitarbeiter, die für Support-Arbeiten autorisiert sind, haben außerdem eine strikte Geheimhaltungserklärung unterschrieben. Ihr Zugang zur Vrest-Cloud-Plattform ist nur über SSH-Verbindungen von autorisierte Stellen möglich.

Die Zertifizierung 

Der Verarbeiter (Vrest), der Subverarbeiter (Root) und unsere Datenzentren sind konform nach ISO27001:2013 und NEN7510:2011 zertifiziert.

Die internationale Norm ISO27001 (Information Technology – Security Techniques – Information Security Management Systems – Requirements) spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation.

In den Niederlanden wird speziell von Unternehmen im Gesundheitswesen der Datenschutz gemäß ISO27001 und durch die Norm NEN7510 erweitert. NEN7510 regelt die Verarbeitung von Gesundheitsdaten. Obwohl diese Daten keinen direkten Zweck im Sinne des Entwicklungsportfolios haben, zeigt unsere Erfahrung, dass viele Nutzer einen Teil dieser Daten einfach als Texte in ihrem Portfolio speichern, damit Erfahrungseinträge und Beurteilungen auf bestimmte klinische Fälle zurückzuführen sind. Unsere NEN7510 Zertifizierung ermöglicht dies.