Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Was Data Loss Prevention zum Datenschutz im Gesundheitswesen beiträgt

Datenschutz und Datensicherheit im Gesundheitswesen ist ein heikles Thema. In vielen Einrichtungen, von Arztpraxen über Labore bis zu Versicherungen, laufen zumindest Teile der patientenbezogenen Prozesse – nicht zuletzt aus Gründen des Datenschutzes – noch papiergestützt. Mit dem E-Health-Gesetz, das Ende 2015 in Kraft getreten ist, soll jedoch die Einführung digitaler Informations- und Kommunikationsstruktur im Gesundheitswesen vorangetrieben werden. Elektronische Gesundheitskarte, elektronischer Arztbrief, elektronische Patientenakte, telemedizinische Anwendungen und weiteres sollen die Wirtschaftlichkeit und Qualität der Versorgung verbessern.

Allerdings ist es bisher noch keiner Branche gelungen, Datenverlust und Datendiebstahl auszuschließen. Einer Umfrage der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers zufolge vertraut denn auch fast die Hälfte der Befragten nicht darauf, dass ihre persönlichen Daten sicher sind und nicht in die falschen Hände geraten. Das Misstrauen ist nicht ganz unberechtigt; so waren im vergangenen Jahr mehrere Krankenhäuser von Cyberangriffen betroffen. Denn Patientendaten sind für Kriminelle überaus wertvoll. Zum einen werden persönliche Daten in großem Umfang erfasst, und zum anderen sind sie langlebig: An eine neue Telefon- oder Kreditkartennummer zu kommen ist kein Kunststück, aber das Geburtsdatum lässt sich nun mal nicht ändern.

Als spezielle Art der personenbezogenen Daten sind Gesundheitsdaten zwar besonders geschützt, und was dazu gehört, wird im Bundesdatenschutzgesetz und in der Europäischen Datenschutzgrundverordnung (DSGVO) definiert. Aber eine im Vergleich zu anderen Branchen relativ magere Ausstattung mit moderner IT- und Security-Technik einerseits und hochkomplexe IT-Umgebungen mit medizinischen Diagnosesystemen andererseits begünstigen Datenverlust und Datendiebstahl. Und wie bei anderen Unternehmen kommt auch im Gesundheitswesen die Bedrohung von zwei Seiten: Neben den externen Angreifern stellen auch die Mitarbeiter eine erhebliche Gefahr dar. In den allermeisten Fällen steckt hinter Datenverlusten, in die Angestellte involviert sind, nicht kriminelle Energie, sondern Fehler und Versehen. Ein Moment der Unaufmerksamkeit reicht, dass beispielsweise Patientendaten per E-Mail an Kollegen oder an Dritte verschickt werden.

Patientendaten mit DLP-Lösungen schützen

Im Gesundheitswesen sollte deshalb der Datenzugriff grundsätzlich auf die Angestellten beschränkt werden, die mit ihnen arbeiten müssen, und für die Übermittlung an Dritte sollten die Daten verschlüsselt werden. Zusätzlichen Schutz stellen Lösungen für Data Loss Prevention zur Verfügung. Sie ermöglichen die Überwachung der Datenbewegungen, die Prüfung der Dateiinhalte auf besonders zu schützende Informationen und ggfs. die Blockierung der Übermittlung. So kann beispielsweise verhindert werden, dass Daten per E-Mail verschickt oder auf tragbare Speichermedien gezogen werden. Unsere DLP-Lösung Endpoint Protector bietet folgende für den Schutz der Daten relevante Funktionen:

  • Dokumente können auf Informationen von Arzneimittelherstellern und Zulassungsbehörden für Medizinprodukte sowie auf Diagnosen nach dem Diagnose-Klassifikationssystem der Medizin ICD (International Classification of Diseases, Internationale Klassifikation der Krankheiten) in der der aktuellen Version ICD-10 und der Vorgänger-Version ICD-9 geprüft werden.
  • Die Lösung prüft alle Datentransfers auf personenbezogene Daten wie Name, Geburtsdatum, Post- und E-Mail-Adresse, Telefonnummern, Versicherungs- und Versichertennummern etc.
  • Überprüft werden der Inhalt von E-Mails sowie der Anhänge von E-Mail-Clients wie Outlook, Mozilla Thunderbird, IBM Notes, Windows Live Mail, Opera Mail und weiteren.
  • Zudem werden Transferwege wie Webbrowser, cloud-basierte Filesharing-Anwendungen, Instant Messaging, Social Media, tragbare Speichergeräte, Netzwerk-Freigaben, Copy&Paste, Drucker und Screenshots überwacht.
  • IT-Administratoren können Wörterbücher mit spezifischen Begriffen aus dem Gesundheitsbereich anlegen. Alle Dateien werden bei Transferaktivitäten auf die Schlüsselwörter geprüft.
  • Die Lösung kann im Monitoring-Modus betrieben werden, in dem alle Transfer-Aktivitäten erfasst und aufgezeichnet, aber noch keine Warnungen oder Restriktionen gesetzt werden. Durch das Monitoring wird ermittelt, welche Devices, welche Schnittstellen und Tools die Mitarbeiter überhaupt nutzen, welche Dateien wohin bewegt oder geteilt werden, welche Mitarbeiter und Gruppen aktiv sind. Anschließend lassen sich Transfers in Abhängigkeit von den Ergebnissen des Monitorings unterbinden.
  • Whitelists können auf der Grundlage von Dateien, Speicherort, Dateifreigaben, E-Mail-Adressen eingerichtet werden.

Neben einer DLP-Lösung müssen Einrichtungen im Gesundheitswesen beim Schutz der Patientendaten Daten weitere unterschiedliche Lösungen einsetzen, vom Virenschutz über Firewall und Verschlüsselung bis zu Mobile Device Management und anderen. Zusätzlich sind regelmäßig Risk Assessments und Audits erforderlich, nicht nur um Compliance nachzuweisen, sondern auch, um die Wirksamkeit der Schutzlösungen zu prüfen.

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.