GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
Begriff | Begriffserklärung |
---|---|
Audit | Systematischer, unabhängiger, dokumentierter Prozess zur Erlangung von Aufzeichnungen, Darlegungen von Fakten oder anderen relevanten Informationen und deren objektiver Begutachtung, um zu ermitteln, inwieweit festgelegte Anforderungen erfüllt sind (Quelle: DIN CEN ISO/TS 14441) |
Audit-Trail | Chronologische Aufzeichnung der Aktivitäten von Nutzern eines Informationssystems, die die getreue Wiederherstellung früherer Zustände der betreffenden Informationen ermöglicht. (Quelle: DIN CEN ISO/TS 14265) |
Auftragsverarbeiter | Art. 4 Ziff. 8 DS-GVO "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet |
Aufzeichnung | Dokument, das erreichte Ergebnisse angibt oder einen Nachweis ausgeführter Tätigkeiten bereitstellt (Quelle: DIN ISO IEC 27000) |
Ausdrückliche Zustimmung | Genehmigung, die aus freien Stücken und unmittelbar gegeben und entweder mündlich oder schriftlich zum Ausdruck gebracht wird (Quelle: DIN CEN ISO/TS 14265) |
Authentisierung | Beibringung eines Belegs für die von einer Entität behauptete Identität durch die sichere Verbindung eines Identifikators und seines Authentifikators (Quelle: DIN EN ISO 22600-1) |
Authentizität | Eigenschaft einer Einheit, das zu sein, was sie zu sein vorgibt (Quelle: DIN ISO IEC 27000) |
Automatische Verarbeitung | Verarbeitung unter Nutzung von EDV; also z.B. Word- oder Excel-Datei, aber auch KIS, RIS, PACS, unabhängig ob Client-Server-Lösung oder Stand-alone PC, Tablet oder anderweitige Hardware genutzt wird |
Autorisierung | Erteilung von Privilegien, einschließlich des Privilegs für den Zugriff auf Daten und Funktionen (Quelle: DIN EN ISO 22600-1) |
Bedrohung | Möglicher Anlass für ein unerwünschtes Ereignis, das zu einem Schaden des Systems oder der Institution führen kann (Quelle: DIN ISO IEC 27000) |
Bereitsteller | Natürliche oder juristische Person, die Daten eines Betroffenen Empfängern zur Verfügung stellt (Betroffener oder Verantwortlicher bzw. Auftragsverarbeiters auf Weisung eines Verantwortlichen) |
bereitstellen | die Verschaffung des Zugangs zu oder die Zurverfügungstellung von personenbezogenen Daten |
Betroffener | Genau genommen „betroffene Person“, in der Literatur aber häufig kurz als "Betroffener" aufgeführt; Art. 4 Ziff. 1 DS-GVO "Personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann |
Datei | Im informationstechnischem Sinn: Gruppe von gespeicherten oder als eine Einheit bearbeiteten Aufzeichnungen (Quelle: ISO/IEC 2382:2015) |
Daten/Datum | Im Informationstechnischem Sinn: Die re-interpretierbare Darstellung von Information in einer formalisierten für Kommunikation, Interpretation, oder Bearbeitung geeigneten Weise (Quelle: ISO/IEC 2382:2015) |
Datenbearbeiter | jegliche Personen (andere als die Mitarbeiter des Datenbeauftragten), die die Daten im Auftrag des Datenbeauftragten bearbeiten (Quelle: DIN EN 15713) |
Datenintegrität | Eigenschaft, dass Daten nicht auf unautorisierte Art geändert oder zerstört worden sind. (Quelle: DIN EN ISO 27799) |
Datenlöschung | Arbeitsgang, der zur dauerhaften, unwiderruflichen Entfernung der Informationen über die betreffende Person oder den Gegenstand aus dem betreffenden Speicher oder Speichermedium führt. (Quelle: DIN CEN ISO/TS 14265) |
Datennutzung | Handhabung von oder Umgang mit Informationen für einen spezifischen Zweck (Quelle: DIN CEN ISO/TS 14265) |
Datenschutzverletzung | Situation, in der Daten einer Person auf illegale Weise oder unter Verletzung einer oder mehrerer relevanter Datenschutzbestimmungen verarbeitet wurde (Quelle: DIN CEN ISO/TS 14265) |
Datenverwendung | Handhabung von oder Umgang mit Informationen für einen spezifischen Zweck (Quelle: DIN CEN ISO/TS 14265) |
Delegierung | Übertragung eines Privilegs von einer Entität, die dieses Privileg besitzt, auf eine andere Entität (Quelle: DIN EN ISO 22600-1) |
Dokument |
|
Dritter | Art. 4 Ziff. 10 DS-GVO "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten |
Drittland | Land, welches nicht an die gesetzlichen Anforderungen der EU-Datenschutz-Direktive gebunden ist (Land außerhalb des EWR) (Quelle: DIN EN 14484) |
Einwilligung | Handlung, etwas zu genehmigen, das einen betrifft; im Sinne des Datenschutzrechts eine auf freier Entscheidung beruhende Genehmigung des Betroffenen zur Verarbeitung der der betroffenen Person zuordenbaren Daten |
Empfänger | Art. 4 Ziff. 9 DS-GVO ">Empfänger"> eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung |
Entität | natürliche oder juristische Person, öffentliche Behörde oder Einrichtung oder eine andere Stelle (Quelle: DIN CEN ISO/TS 14441) |
Format | Im Informationstechnischem Sinn im Bereich der textuellen Verarbeitung spezifizierte Festsetzung oder Lay-out von Text in gedruckter oder angezeigter Form oder auf einem Datenträger gespeichert (Quelle: ISO/IEC 2382:2015) |
Genetische Daten | Art. 4 Ziff. 13 DS-GVO "Genetische Daten" personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden |
Gesundheitsdaten | Art. 4 Ziff. 15 DS-GVO "Gesundheitsdaten" personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen |
Identifikation | Erkennung einer Person in einem bestimmten Bereich mithilfe einer Reihe ihrer Attribute (Quelle: DIN CEN ISO/TS 14441) |
Identifizierbare Person | Person, die direkt oder indirekt identifiziert werden kann, insbesondere über die Referenz zu einer Identifikationsnummer oder zu einem oder mehreren Kennzeichen, die bezüglich seiner körperlichen, physiologischen, geistigen, ökonomischen, kulturellen oder sozialen Identität spezifisch sind (Quelle: DIN EN 14484) |
Identifizierung | Durchführung von Tests mit dem Ziel, das betreffende Datenverarbeitungssystem in die Lage zu versetzen, bestimmte Entitäten zu erkennen (Quelle: DIN EN ISO 22600-1) |
Integrität | Eigenschaft, die bedingt, dass die Information in keiner Weise, weder absichtlich noch unabsichtlich, geändert wird (Quelle: DIN EN ISO 22600-2) |
Konformitätsbewertung | Darlegung, dass festgelegte Anforderungen bezogen auf ein Produkt, einen Prozess, ein System, eine Person oder eine Stelle erfüllt sind (Quelle: DIN CEN ISO/TS 14441) |
Korrekturmaßnahme | Maßnahme zur Beseitigung der Ursache eines erkannten Fehlers oder einer anderen erkannten unerwünschten Situation (Quelle: DIN ISO IEC 27000) |
Nicht-Abstreitbarkeit | Fähigkeit, das Auftreten eines behaupteten Ereignisses oder einer Handlung und die verursachenden Einheiten nachzuweisen, um Streitigkeiten über das Auftreten oder Nichtauftreten des Ereignisses oder der Handlung und die Beteiligung von Einheiten an dem Ereignis zu entscheiden. (Quelle: DIN ISO IEC 27000) |
Normadressat | Rechtssubjekt (z.B. natürliche Person, juristische Person, Personenvereinigung), an die sich die Regelung eines Gesetzes (= einer Norm) richtet |
Offenlegung | Preisgabe von Daten an Personen, die nicht routinemäßig über die entsprechende Berechtigung verfügen (Quelle: DIN CEN ISO/TS 14265) |
Persönliche Gesundheitsinformationen (personal health information, PHI) | Informationen über eine identifizierbare Person, die sich auf den körperlichen oder geistigen Gesundheitszustand der betreffenden Person oder auf die Erbringung von Gesundheitsdienstleistungen für die betreffende Person beziehen (Quelle: DIN CEN ISO/TS 14441) |
Restrisiko | nach der Risikobehandlung verbleibende Risiko (Quelle: DIN ISO IEC 27001) |
Revisionssicherheit | Der Begriff „Revisionssicherheit“ bezieht sich die Anforderungen
Die revisionssichere Archivierung ist nur ein Bestandteil der rechtsicheren Archivierung. So beinhaltet eine revisionssichere Archivierung beispielsweise keine datenschutzrechtlichen Vorgaben, z. B. bzgl. des Zugriffs auf die archivierten Daten. Hingegen beinhaltet eine revisions- und rechtssichere Archivierung auch alle rechtlichen Anforderungen. |
Risiko | Kombination aus der Wahrscheinlichkeit eines Ereignisses und dessen Auswirkungen (Quelle: DIN ISO IEC 27000) |
Rolle | Menge von mit einer Aufgabe verbundenen Kompetenzen und/oder Leistungen (Quelle: DIN EN ISO 22600-1) |
Schwachstelle | Schwäche eines Werts oder einer Maßnahme, die von einer Bedrohung ausgenutzt werden kann (Quelle: DIN ISO IEC 27000) |
Sensibilität | Eigenschaft einer Ressource, die deren Wert oder Wichtigkeit impliziert (Quelle: DIN EN ISO 22600-2) |
Sicherheit | Kombination von Verfügbarkeit, Vertraulichkeit, Integrität und Zurechenbarkeit (Quelle: DIN EN ISO 22600-1) |
Stillschweigende Zustimmung | freiwilliges Einverständnis mit dem, was getan oder vorgeschlagen wird, das sich in vernünftigem Rahmen aus den Handlungen oder Unterlassungen der betreffenden Person ableiten lässt (Quelle: DIN CEN ISO/TS 14265) |
Systemintegrität | Eigenschaft, dass ein System seine vorgesehene Funktion in einer unbeeinträchtigten Art und Weise, frei von vorsätzlicher oder zufälliger unberechtigter Veränderung des Systems ausführt (Quelle: DIN EN ISO 27799) |
Unleugbarkeit | Dienstleistung, die einen Nachweis für die Integrität und die Herkunft der Daten (beides auf fälschungssichere Art und Weise) erbringt, der von einer beliebigen anderen Partei verifiziert werden kann (Quelle: DIN EN ISO 22600-2) |
Unterlagen | Urkunden, Amtsbücher, Akten, Schriftstücke, amtliche Publikationen, Karteien, Karten, Risse, Pläne, Plakate, Siegel, Bild-, Film- und Tondokumente und alle anderen, auch elektronischen Aufzeichnungen, unabhängig von ihrer Speicherungsform, sowie alle Hilfsmittel und ergänzenden Daten, die für die Erhaltung, das Verständnis dieser Informationen und deren Nutzung notwendig sind (Quelle: §2 Abs. 1 ArchivG NRW) |
Verantwortlicher | Art. 4 Ziff. 7 DS-GVO "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden |
Verarbeitung | Art. 4 Ziff. 2 DS-GVO "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung |
Verfahren | festgelegte Art und Weise, eine Tätigkeit oder einen Prozess auszuführen (Quelle: DIN ISO IEC 27000) |
Verfälschung | unzulässige Änderung des Inhaltes eines Dokumentes nach dessen Freigabe (Quelle: DIN 06789) |
Verfügbarkeit | Eigenschaft, auf Anforderung einer autorisierten Entität zugänglich und nutzbar zu sein (Quelle: DIN EN ISO 22600-1) |
Verlässlichkeit | Eigenschaft der Übereinstimmung zwischen beabsichtigtem Verhalten und den Ergebnissen (Quelle: DIN ISO IEC 27000) |
Vernichtung | Reduzierung der Größe, wodurch die Unterlagen so weit wie möglich unlesbar, unleserlich und nicht rekonstruierbar gemacht werden (Quelle: DIN EN 15713 ) |
Vertrauen | im Allgemeinen kann davon ausgegangen werden, dass eine Entität einer anderen Entität „vertraut“, wenn sie annehmen kann, dass sich die zweite Entität genauso, wie von der ersten Entität erwartet, verhalten wird (Quelle: DIN EN ISO 22600-2) |
Vertraulichkeit | Eigenschaft, die dazu führt, dass die betreffende(n) Information(en) keinen Personen, Entitäten oder Prozessen, die nicht über die entsprechende Autorisation verfügen, verfügbar gemacht oder diesen gegenüber offengelegt wird (Quelle: DIN EN ISO 22600-1) |
Zertifizierung | Bestätigung durch eine dritte Stelle bezogen auf Produkte, Prozesse, Systeme oder Personen (Quelle: DIN CEN ISO/TS 14441) |
Zugriffskontrolle | Verhinderung der unbefugten Nutzung einer Ressource einschließlich Verhinderung der Nutzung einer Ressource auf nicht autorisierte Art und Weise (Quelle: DIN CEN ISO/TS 14265) |
Zugriffssteuerung | Mittel zur Sicherstellung, dass nur autorisierte Entitäten in entsprechend autorisierter Weise Zugriff auf die Ressourcen eines Datenverarbeitungssystems nehmen können (Quelle: DIN EN ISO 22600-1) |
Zurechenbarkeit | Eigenschaft, durch die sichergestellt wird, dass die Aktionen einer Entität eindeutig auf diese zurückgeführt werden können (Quelle: DIN EN ISO 22600-1) |
Zustimmung | Von einer Person aus freien Stücken erteilte spezifische und informierte Genehmigung zur Verarbeitung von diese Person betreffenden persönlichen Daten (Quelle: DIN CEN ISO/TS 14265) |