GSC291: Löschkonzept v2 #291
Conversation
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as off-topic.
This comment was marked as off-topic.
| auf die Föderation nicht klar benannt. Unterschiedliche Interpretationen | ||
| können zu unterschiedlichen Implementierungen und im schlimmsten Fall zu | ||
| Inkompatibilitäten führen. | ||
| - Die Anforderungen entsprechen teilweise nicht den Bedürfnissen und Erwartungen |
There was a problem hiding this comment.
Aus meinen persönlichen Gesprächen und Nutzung von Messaging Diensten, kann ich dies bestätigen z.B. benutze ich regelmäßig meine E-Mail Suche um Informationen zu finden z.B. Kontaktdaten von einer Person mit der ich vor 4 Jahren gesprochen habe.
| gruppierten User Stories und die daraus abgeleiteten Änderungsvorschläge | ||
| vorgestellt. | ||
|
|
||
| Ausgangspunkt der Vorschläge ist, dass alle aktuellen Anforderung zum Löschen |
There was a problem hiding this comment.
Dies können wir (Barmer) nur unterstützen. Organisationen im Gesundheitswesen (Krankenkassen, Krankenhäuster, Ärzte) haben lange Aufbewahrungsfristen (§ 304 SGB V Aufbewahrung von Daten bei Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungsausschüsse 10 Jahre). Dies sollte auch im TI-M wiedergespiegelt werden. Dies ist auch notwendig um rechtsverbindliche Kommunikation zu gewährleisten.
|
|
||
| **Story 1** | ||
|
|
||
| - Als Anbieter |
There was a problem hiding this comment.
Wir glauben, dass verschiedene Anbieter verschiedene Ziele verfolgen und dass die Löschung von Daten nicht so pauschalisiert werden kann.
There was a problem hiding this comment.
Gemeint ist hier eine Löschung von Inhalten, die von den Nutzern nicht mehr benötigt werden, z. B. weil kein Nutzer mehr im Raum ist. Wenn niemand mehr auf die Kommunikation zugreifen kann und sie verschlüsselt ist, gibt es für Anbieter dann eigentlich auch keinen Grund mehr sie zu speichern.
There was a problem hiding this comment.
Ich kann dies nur unterstreichen. Ab einem gewissen Zeitpunkt möchten wir als Anbieter löschen können. Dies gilt insbesondere für Dateiinhalte wie z.B. Videos, Bilder und Dokumente, da diese über die Zeit große Speichermengen erreichen können.
|
|
||
| - Als Endnutzer | ||
| - möchte ich von mir gesendete Nachrichten für alle Gesprächsteilnehmer löschen | ||
| - damit ich schwerwiegende Fehler korrigieren kann. |
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as duplicate.
This comment was marked as off-topic.
This comment was marked as off-topic.
|
|
||
| TI-M ePA Fachdienste DÜRFEN Rauminhalte und damit verbundene Medien NICHT ohne | ||
| vorige Einwilligung aller lokalen Teilnehmer des Raumes löschen. Redactions sind | ||
| von dieser Regelung ausgenommen. **\[\<=\]** |
There was a problem hiding this comment.
Das Konzept hat sich jetzt wirklich toll entwickelt! 😃
A_1 würde ich dennoch vorschlagen abzuändern. Die aktuelle Formulierung suggeriert, dass es auch einem TIM-ePA-Fachdienst erlaubt wäre, serverseitige Löschungen vorzuschlagen, wenn er sich nur das Einverständnis der Nutzer dazu abholt. Ein solcher Mechanismus wäre aber versichertenseitig nicht gewünscht (und erhöht die Komplexität für die Implementierung.
Vorschlag
TI-M ePA Fachdienste DÜRFEN Rauminhalte und damit verbundene Medien NICHT löschen, solange noch Mitglieder des eigenen Homeservers ohne /forget enthalten sind. Redactions sind von dieser Regelung ausgenommen.
There was a problem hiding this comment.
Meine Intention war hier tatsächlich, dass die Einwilligung im Regelfall durch ein vom Versicherten ausgelöstes /forget erfolgen würde. Wenn ein Hersteller einen anderen Einwilligungsprozess erdenkt, fände ich das aber eigentlich auch valide. Die Umsetzung wäre dann sicherlich aufwändiger. Im Rahmen des Marktmodells würde ich das aber als herstellereigenes Risiko ansehen.
There was a problem hiding this comment.
OK, verstehe ich. Würde es die Kommunikation rund um die Nutzung von TIM nicht verkomplizieren, wenn einzelne Anbieter - ich meine hier speziell einzelne Kassen im Kontext TIM-ePA - eine andere Vorgehensweise in der Raumnutzung und dem Löschkonzept hätten?
Bei TIM-Pro-Anbieter könnte ich es noch nachvollziehen, insbesondere, da die Nutzer hier die Wahlfreiheit am Markt haben. Ein Versicherter hingegen hat keine Wahlfreiheit: Er kann ausschließlich den TIM-Account nutzen, den seine Krankenkasse ihm anbietet. Ein "Marktmodell" für den Versicherten gibt es hier nicht...
There was a problem hiding this comment.
Für Versicherte wäre das Marktmodell gewissermaßen die Wahl der Krankenkasse. Wobei wahrscheinlich kaum jemand wegen der TI-M Experience seiner Kasse die Versicherung wechseln würde.
Ich verstehe das Argument prinzipiell. Andererseits haben wir durch das uns vorgegebene Marktmodell immer irgendwo Unterschiede. Die Grenze richtig zu ziehen fällt mir ehrlich gesagt schwer. Deswegen würde ich hier gerna noch andere Meinungen hören.
Generell tendiere ich dazu eher weniger vorzugeben um später nicht Leuten, die schlauer sind als ich, gute Lösungen zu verbieten.
There was a problem hiding this comment.
Marktmodell ist ja nicht verkehrt. Nur nehmen die Versicherten hier halt nicht teil (nur dafür einen Kassenwechsel durchzuführen ist ja keine Option).
Da wir mittlerweile eine Trennung zwischen TIM-Pro und TIM-ePA haben, könnte man hier recht leicht eine Vorgabe nur für TIM-ePA machen und bei TIM-Pro das Marktmodell "walten" lassen...
| [`/leave`] mit anschließendem [`/forget`]. Nach A_7 müssen die Räume samt der | ||
| enthaltenen Events dann lokal gelöscht werden. Die einzige Ausnahme hiervon ist | ||
| wenn sich wegen einer Vertreterregelung ein zweiter Versicherter desselben | ||
| Homeservers in den Räumen befindet. |
There was a problem hiding this comment.
Die Ausnahme ist nicht auf Vertretungssituationen beschränkt. Es reicht, dass sich ein weiterer Teilnehmer dieses Homeservers (hier also ein weiterer Versicherter dieser Krankenkasse) noch im Raum befindet (ohne /forget). Warum er sich im Raum befindet, ist dabei irrelevant.
Vorschlag: "wegen einer Vertreterregelung" ersatzlos streichen.
| Fällt die Kommunikation unter Regelungen zur medizinischen Dokumentation, so | ||
| muss der Arzt sie zunächst in sein Archivsystem übertragen. Anschließend sind | ||
| für ihn innerhalb der TI alle Verarbeitungszwecke entfallen und er muss die | ||
| personenbezogenen Daten über seinen TI-M Pro Client löschen. Redactions als |
There was a problem hiding this comment.
Es obliegt dem Arzt (bzw. dem Einrichtungsinhaber), wie die Ärzte dieser Einrichtung ihrer gesetzlichen Pflicht zur Dokumentation nachkommen. Eine Verpflichtung zur Verwendung eines Archivsystems besteht dabei ausdrücklich nicht. Es ist für die Ärzte daher rechtlich zulässig, dass sie ihrer Dokumentationspflicht unter Einsatz ihres TIM-Pro-Clients nachkommen. Auch hier würden Ärzte - vergleichbar zu Versicherten - einen Raum nur per /leave verlassen, diesen aber bis zum Ablauf der gesetzlichen Aufbewahrungspflichten nicht per /forget aus ihrem Client entfernen.
In diesem Fall besteht also im TIM-Pro-Account des Arztes der Verarbeitungszweck fort.
Ob TIM-Pro-Anbieter ihren Kunden eine solche Option anbieten oder von dem Recht auf vorzeitige Löschung gebrauch machen, liegt in der Entscheidung der Anbietet - wie es in der Entscheidung der Ärzte liegt, bei welchem Anbieter sie im Anschluss ihren Account eröffnen...
There was a problem hiding this comment.
Die Sache mit dem Archivsystem leitet sich aus der Formulierung in SGB 5 § 342 Absatz 2 Nr. 2 ab.
[...] zusätzlich spätestens ab dem 15. Juli 2025 die Versicherten den Sofortnachrichtendienst mit Leistungserbringern und mit Krankenkassen als sicheres Übermittlungsverfahren [...]
Hieraus wurde von unseren Juristen und scheinbar in der Vergangenheit auch vom BfDI abgeleitet, dass in TI-M nichts dauerhaft gespeichert werden darf.
Ich weiß ehrlich gesagt nicht ob ich dieser Argumentation 100%ig folge. Zumindest für den Versicherten hatten wir ja auch schon festgestellt, dass es ohne mögliche dauerhafte Speicherung gar nicht funktioniert. Eventuell kommt diese Einschätzung teilweise aber auch noch aus der alten KIM-Welt. Dort wird ja auch nur "übermittelt" und nichts dauerhaft gespeichert.
| Mittel zur Löschung verbieten sich auch hier denn der Arzt kann nicht wissen ob | ||
| der Versicherte auch eine Anfrage gegen den Anbieter seines eigenen Homeservers | ||
| gestellt hat. Stattdessen muss der Arzt die Räume des Versicherten per | ||
| [`/leave`] und [`/forget`] verlassen. Nach A_7 führt dies dann auch zur Löschung |
There was a problem hiding this comment.
Wie gerade beschrieben, ergibt sich die Pflicht auf /forget nur, wenn der Arzt ein anderes Archivsystem für seine TIM-Kommunikation verwendet. Eine generelle Pflicht auf /forget besteht hingegen nicht!
Also immer bedenken, dass der Arzt seinen TIM-Pro-Account auch nativ zur Archivierung seiner TIM-Kommunikation einsetzen könnte. Diese darf ihm durch die gematik-Vorgabe nicht verboten werden.
Proposal