Digitalisierung
Aktuelle Beiträge
Datenschutz und IT-Sicherheit ohne Magenschmerzen
Die Digitalisierung im Gesundheitswesen schreitet mit Riesenschritten voran. Gleichzeitig gibt es immer mehr gesetzliche Regeln und Vorgaben. Krankenhäuser, medizinische Versorgungszentren und niedergelassene Arztpraxen sind mit diesen wachsenden Compliance-Anforderungen häufig überfordert. Externe Dienstleister können dabei helfen, rechtliche Bestimmungen, Datenschutz und IT-Sicherheit in Einklang zu bringen.
Die 2016 eingeführte und ab 2018 verpflichtend geltende EU-Datenschutzgrundverordnung (EU-DSGVO) stellt die Verarbeitung von genetischen, biometrischen oder sonstigen Gesundheitsdaten im Artikel 9 unter besonderen Schutz. Aktuell noch sehr wichtig sind auch das Infektionsschutzgesetz (IfSG) und das daraus erwachsende Meldewesen zum Schutz der Bevölkerung bei einer epidemischen Lage, aus der weitere Anforderungen für medizinische Einrichtungen hervorgehen. Bestimmte Klinikbetriebe und Multiversorgungszentren zählen darüber hinaus zur kritischen Infrastruktur und fallen deshalb unter die KRITIS-Verordnung. Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zum Schutz kritischer Infrastrukturen erlassen.
Sven-Ove Wähling
„Um ein ganzheitliches Datenschutz-Konzept in Gesundheitseinrichtungen umzusetzen, müssen die Disziplinen Datenschutz und IT-Sicherheit ineinandergreifen.“
Interdisziplinärer Ansatz erforderlich
Wie kann eine Organisation im Gesundheitswesen es also schaffen, zum einen die strengen Vorgaben beim Schutz medizinischer Daten zu erfüllen, aber gleichzeitig die elektronische Kommunikation der Systeme nach außen hin zu öffnen und dabei ein einheitliches Sicherheitsniveau zu gewährleisten? „Um diesen Spagat zu bewältigen und ein ganzheitliches Datenschutz-Konzept in Gesundheitseinrichtungen umzusetzen, müssen die Disziplinen Datenschutz und IT-Sicherheit ineinandergreifen. Es erfordert hier zwingend einen interdisziplinären Ansatz, der Berechtigungs- und Löschkonzepte, Absicherung von Netzwerken mit Datenspeichern, Verschlüsselung der Übertragung medizinischer Daten oder die Vermeidung von Schadcodes bei der Anbindung von Gesundheits-Apps sicherstellt“, sagt Sven-Ove Wähling. Er ist Geschäftsführer des Braunschweiger IT-Systemhauses Netzlink Informationstechnik GmbH, das sich auf dieses Themenfeld spezialisiert hat.
Wähling ist davon überzeugt: „Dem Damoklesschwert der Datenschutz-Verletzungen kann man nur zuverlässig begegnen, wenn man beide Welten beherrscht und in seinem Lösungsansatz vereint.“
Wähling ist davon überzeugt: „Dem Damoklesschwert der Datenschutz-Verletzungen kann man nur zuverlässig begegnen, wenn man beide Welten beherrscht und in seinem Lösungsansatz vereint.“
Datenschutzmodell DSGVO
Die DSGVO ist kein starres Regelwerk, sie wird stets weiterentwickelt. Das Standard-Datenschutzmodell, das von den Datenschutzaufsichtsbehörden entwickelt und aufgesetzt wurde, sieht die regelmäßige Erweiterung um neue Bausteine vor. Diese müssen dann von den Gesundheitsämtern, Schnittstellenbetreibern und medizinischen Einrichtungen umgesetzt werden. Die Methode dient schließlich dazu, eine einheitliche Datenschutzberatungs- und Prüfpraxis insbesondere mit Bezug auf die technisch-organisatorischen Maßnahmen der DSGVO sicherzustellen.
Anforderungen steigen
So regelt beispielsweise der im Herbst 2020 veröffentlichte Baustein Löschen und Vernichten die Anforderungen an das Löschkonzept. Er regelt, wann Daten gelöscht werden, wie diese Löschung zu erfolgen hat, welche Daten gelöscht werden und wie dieser Vorgang dokumentiert werden muss. Auch die Frage, wie man mit den Log-Einträgen umgehen muss, damit eine größtmögliche Mandantentrennung (z. B. zwischen den einzelnen Gesundheitsämtern) gewährleistet bleibt, wird hier geregelt.
„Für viele medizinische Einrichtungen bedeutet es bereits eine große Herausforderung, die bestehenden Vorgaben der DSGVO in allen betroffenen Bereichen anzuwenden“, weiß Wähling. Um aber auch neue Entwicklungen und Vorgaben einzuarbeiten, seien gut geschulte Spezialisten erforderlich, die die Anforderungen der jeweiligen Aufsichtsbehörden und praxisbewährte Lösungsansätze genauestens kennen.
„Für viele medizinische Einrichtungen bedeutet es bereits eine große Herausforderung, die bestehenden Vorgaben der DSGVO in allen betroffenen Bereichen anzuwenden“, weiß Wähling. Um aber auch neue Entwicklungen und Vorgaben einzuarbeiten, seien gut geschulte Spezialisten erforderlich, die die Anforderungen der jeweiligen Aufsichtsbehörden und praxisbewährte Lösungsansätze genauestens kennen.
Die DSGVO stellt unter anderem auch Gesundheitsdaten unter besonderen Schutz.
Die Digitalisierung im Gesundheitswesen führt zu immer mehr Gesetzen und Regeln, die es zu berücksichtigen gilt.
Keine Frage der Größe
„Medizinische Gesundheitseinrichtungen bewegen sich in einem ständigen Spannungsfeld zwischen gesetzlichen Vorgaben auf der einen und der Einhaltung von Datenschutz und IT-Sicherheit auf der anderen Seite. Hinzu kommt, dass längst noch nicht alle Bereiche der Einrichtungen das hohe Datenschutzniveau der DSGVO einhalten können und bestehende Medienbrüche eine sichere elektronische Verarbeitung medizinischer Daten erschweren“, sagt Wähling.
Die Datenschutz-Anforderungen in Krankenhäusern, medizinischen Versorgungszentren, Pflegeheimen oder niedergelassenen Arztpraxen unterscheiden sich abseits der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen im Grundsatz nicht sehr voneinander. Denn der effektive Schutz von Gesundheitsdaten hängt nicht von der Größe der Versorgungseinrichtung ab. Da in allen diesen Bereichen sensible Gesundheitsdaten verarbeitet werden, sind einheitliche Qualitätsstandards an den Datenschutz und die IT-Sicherheit erforderlich. Um alle Regeln im Blick zu behalten, ist ein strukturiertes Vorgehen zwingend erforderlich, das am besten mit den Aufsichtsbehörden auf Landes- und Bundesebene abgestimmt ist. Darin sollten die Compliance-Anforderungen auf der einen und die individuellen Organisationsvorgaben auf der anderen Seite berücksichtigt sein. Denn nur so kann der Spagat zwischen Datenschutz und IT-Sicherheit auf allen Ebenen gelingen.
(elk)
Die Datenschutz-Anforderungen in Krankenhäusern, medizinischen Versorgungszentren, Pflegeheimen oder niedergelassenen Arztpraxen unterscheiden sich abseits der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen im Grundsatz nicht sehr voneinander. Denn der effektive Schutz von Gesundheitsdaten hängt nicht von der Größe der Versorgungseinrichtung ab. Da in allen diesen Bereichen sensible Gesundheitsdaten verarbeitet werden, sind einheitliche Qualitätsstandards an den Datenschutz und die IT-Sicherheit erforderlich. Um alle Regeln im Blick zu behalten, ist ein strukturiertes Vorgehen zwingend erforderlich, das am besten mit den Aufsichtsbehörden auf Landes- und Bundesebene abgestimmt ist. Darin sollten die Compliance-Anforderungen auf der einen und die individuellen Organisationsvorgaben auf der anderen Seite berücksichtigt sein. Denn nur so kann der Spagat zwischen Datenschutz und IT-Sicherheit auf allen Ebenen gelingen.
(elk)
