Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

IT-Sicherheit und Datenschutz im Krankenhaus

Krankenhäuser und Kliniken sind umzingelt von Gesetzen, Vorgaben und Standards, die unter anderem den Umgang mit sensiblen Daten regulieren. Häufig müssen zwei oder mehr Regelungen umgesetzt werden. Durch die Nutzung technischer Maßnahmen wie DLP-Lösungen können Synergieeffekte bei der Compliance erzielt werden, die die ohnehin knappen IT-Budgets im Gesundheitssektor schonen.

Um den medizinischen Fortschritt zu gewährleisten, investieren Krankenhäuser kontinuierlich in neue, IT-gestützte Technologien. So hilfreich die Digitalisierung im Gesundheitsbereich für Qualitätszuwachs bei Diagnose- und Behandlungsmöglichkeiten ist: Sie hat eine Schattenseite, und das sind steigende Risiken für einen sicheren IT-Betrieb und für den Datenschutz. Sie sollen durch die Umsetzung gesetzlich vorgegebener Anforderungen vermieden werden.

KRITIS-Verordnung

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), verpflichtet die Betreiber sogenannter Kritischer Infrastrukturen – Anlagen und Systeme mit hohem Stellenwert für das Funktionieren des Gemeinwesens – dazu, die Absicherung ihrer IT-Systeme zu verbessern mit dem Ziel, Ausfällen vorzubeugen. Zu den KRITIS-Betreibern gehören im Gesundheitssektor Krankenhäuser ab 30.000 vollstationären Patienten im Jahr, Apotheken ab 4.650.000 abgegebenen Packungen, Labore ab 1.500.000 Aufträgen.

Seit dem Stichtag für die Umsetzung, dem 30. Juni 2019, müssen sich betroffene Organisationen im Gesundheitswesen nicht nur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben und bei Störungen Meldepflichten nachkommen. Darüber hinaus müssen sie dem BSI im Zwei-Jahres-Rhythmus die Umsetzung des „Standes der Technik“ nachweisen, beispielsweise durch Sicherheitsaudits, und vom BSI aufgedeckte Sicherheitsmängel beseitigen. Es dürfte daher sinnvoll sein, ein Informationssicherheits-Managementsystem entsprechend ISO 27001 einzuführen.

ISO 27001

In ISO 27001 sind in den sogenannten „Controls“ im Anhang A der Norm Sicherheitsanforderungen und Ziele zum Schutz von sensiblen Daten vorgegeben. Sie stehen beispielsweise im Zusammenhang mit der Verwaltung der Werte (A.8), der Informationsübertragung (A.13.2) sowie der Compliance mit gesetzlichen, vertraglichen oder selbstauferlegten Anforderungen (A.18).

DSGVO

Die DSGVO stellt Gesundheitsdaten als besondere Kategorie der personenbezogenen Daten unter sehr strengen Schutz: Sie dürfen beispielsweise nur verarbeitet werden, wenn der Betroffene „in die Verarbeitung der Daten […] ausdrücklich eingewilligt hat“, die Verarbeitung „zum Schutz lebenswichtiger Interessen der betroffenen Person“ oder „für die medizinische Diagnostik, die Versorgung oder Behandlung“ erforderlich ist. Mittels technischer und organisatorischer Maßnahmen muss sichergestellt sein, dass diese Daten nicht unkontrolliert abfließen und unbefugten Personen nicht zugänglich sind bzw. nicht offengelegt werden. Vorfälle, die die Vertraulichkeit der Daten bedrohen, sind meldepflichtig. Zu informieren sind sowohl die Datenschutzbehörde als auch die Betroffenen.

Patientenrechtegesetz

Das Patientenrechtegesetz zielt seit 2013 darauf ab, die Position von Patienten gegenüber Ärzten, Krankenhäusern und Krankenkassen u. a. durch Regelungen zur Dokumentation der Behandlung und zum Einsichtsrecht der Patienten in Krankenunterlagen zu stärken. Wann sie welcher Stelle Patientendaten in welcher Form übertragen haben, müssen die Leistungserbringer revisionssicher aufzeichnen und bei Audits nachweisen.

Was DLP im Gesundheitssektor leistet

Lösungen für Data Loss Prevention unterstützen die Umsetzung von Anforderungen auf zwei Ebenen: Die erste Ebene betrifft den Schutz von Infrastruktur und Daten. Mit Schnittstellenüberwachung, Inhaltskontrolle und USB-Verschlüsselung stellen sie ein Höchstmaß an Schutz vor nicht erwünschtem Datenabfluss sicher. Zudem trägt, wichtig im Rahmen der KRITIS-Verordnung, die Schnittstellenkontrolle dazu bei, den Eintrag von Schadcode über Speichermedien zu verhindern.

Auf der zweiten Ebene unterstützt eine DLP-Lösung Organisationen bei der fortlaufenden Verbesserung des Schutzes, bei Nachweispflichten und, im Fall eines Datenverlustes, bei der Aufklärung. Denn DLP-Lösungen protokollieren revisionssicher alle Übertragungen sowie Übertragungsversuche von Dateien auf Wechseldatenträger und mobile Geräte, in und über Online-Anwendungen und Cloud-Dienste. Zudem erstellen sie Mitschnitte von sämtlichen übertragenen Dateien.

Auswertungen der Logfiles machen Verstöße gegen Richtlinien und entsprechende Versuche sichtbar und liefern Hinweise auf Datenlecks oder potentielle Datenlecks, die beispielsweise durch verändertes Mitarbeiterverhalten oder die Verwendung neuer Tools und Anwendungen entstehen können. Auf dieser Grundlage ermöglichen sie die kontinuierliche Anpassung und Verbesserung der Richtlinien und der Schutzmaßnahmen, mit denen sich die Eintrittswahrscheinlichkeit oder die Auswirkungen von Vorfällen verringern lassen.

Im Hinblick auf die KRITIS-Verordnung setzen Kliniken mit einer DLP-Lösung TOMs dem Stand der Technik entsprechend um. Mit den Reports lassen sich für ISO 27001 Teilbereiche des für ein ISMS enorm wichtigen Ziels der Protokollierung und Erbringung von Nachweisen (A.12.4) abdecken. Für das Patientenrechtegesetz sind sie in der Lage, die Übertragung von Patientendaten nachzuweisen. Im Rahmen der DSGVO sind Kliniken durch die Aufzeichnungen hinsichtlich der Umsetzung von Schutzmaßnahmen gegenüber den Datenschutzbehörden nachweisfähig. Im Fall eines Datenverlustes können sie mit Hilfe der Logs Verursacher und Umfang des Schadens sowie Austrittspunkte ermitteln und sind in der Lage, eine forensische Untersuchung zu betreiben.

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.