5. Abschnitt

Datensicherheitsmaßnahmen

§ 9

(1) Alle am Berichtswesen über den ambulanten Bereich beteiligten Institutionen haben auf Basis eines IT-Sicherheitskonzeptes alle gemäß § 14 DSG 2000 und den Bestimmungen dieses Bundesgesetzes getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Aus dieser Dokumentation muss hervorgehen, dass sowohl der Zugriff als auch die Weitergabe der Daten ordnungsgemäß erfolgt und die Daten Unbefugten nicht zugänglich sind.

(2) Die Vertraulichkeit bei der elektronischen Weitergabe von Gesundheitsdaten ist dadurch sicherzustellen, dass die elektronische Weitergabe von Gesundheitsdaten über Netzwerke durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest

1. 1. die Absicherung des Datenverkehrs durch kryptographische oder bauliche Maßnahmen,
2. 2. den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer-/Benutzerinnen-Gruppe sowie
3. 3. die Authentifizierung der Benutzer/Benutzerinnen

   vorsehen.

(3) Der Zugriff auf die im Data Warehouse DIAG (§ 4 Abs. 3 des Bundesgesetzes über die Dokumentation im Gesundheitswesen) enthaltenen Rohdaten, einschließlich der gespeicherten Pseudonyme gemäß § 5a Abs. 1 Z 1 und § 6c Abs. 1 Z 2 des Bundesgesetzes über die Dokumentation im Gesundheitswesen, ist ausschließlich für die im Bundesministerium für Gesundheit unmittelbar mit der Erstellung und Wartung des DIAG beschäftigten Personen zulässig. Die zur Nutzung des DIAG für Analysezwecke autorisierten Personen haben keinen Zugang zu den enthaltenen Rohdaten und zu den gespeicherten Pseudonymen gemäß § 5a Abs. 1 Z 1 und § 6c Abs. 1 Z 2 des Bundesgesetzes über die Dokumentation im Gesundheitswesen.

(4) Jede am Berichtswesen über den ambulanten Bereich beteiligte Institution hat nachweislich sicherzustellen, dass jede/jeder zugriffsberechtigte Mitarbeiterin/Mitarbeiter vor dem Zugriff auf die Daten bzw. vor der Nutzung des DIAG eine Verschwiegenheitserklärung abgegeben hat.