Datenschutz Informationssicherheit

Diese Anforderungen müssen Krankenhäuser erfüllen, um die gesetzlichen Pflichten der IT-Sicherheit zu erfüllen!

Diese Anforderungen müssen Krankenhäuser erfüllen, um die gesetzlichen Pflichten der IT-Sicherheit zu erfüllen!

 

Krankenhäuser müssen effiziente Sicherheitsvorkehrungen in der IT erarbeiten. Denn dadurch schützen sie sich selbst vor Betriebsausfällen und dem Missbrauch der gespeicherten Daten. IT-Sicherheit in Krankenhäusern ist somit keine Kür mehr, sondern eine Pflicht.

Die Datenschutzgrundverordnung (DSGVO) hat Ämter, Schulen, Vereine und viele weitere Institutionen verpflichtet, ihre Daten konform zu den Datenschutzbestimmungen zu speichern und zu verwalten. Krankenhäuser sind weiteren Verordnungen unterworfen. Ziel ist, die medizinische Versorgung und Gesundheit der Patient:innen sicherzustellen. Institutionen im Sektor Gesundheit und Pflege sind mit dem Patientendaten-Schutz-Gesetz (PDSG) und dem Sicherheitsgesetz 2.0 zweifach betroffen.

Durch das PDSG werden die Institutionen zur Umsetzung umfassender Sicherheitsmaßnahmen verpflichtet. Das IT-SiG 2.0 schafft gleichsam strengere Auflagen für KRITIS-Institutionen.

Hintergrund dieser Maßnahme ist, dass Krankenhäuser zur kritischen Infrastruktur (KRITIS). Diese Einrichtungen gelten als besonders schützenswert – überwiegend vor Angriffen von Hackern und dem Datenverlust durch Systemausfälle.

Einrichtungen, die den geforderten Maßnahmen nicht nachkommen, drohen empfindliche Strafen. Daher ist in den meisten Krankenhäusern und Pflegeeinrichtungen akuter Handlungsbedarf angesagt. Denn immer wieder werden Daten von Patient:innen gestohlen, um die Datensätze gewinnbringend zu verkaufen. Im schlimmsten Fall können Szenarien wie Erpressung entstehen. Davor sollten Sie sowohl die Patient:innen als auch Ihre Institution bewahren.

Die Anforderungen im Gesetz

Bevor wir genauer auf die einzelnen sicherheitsrelevanten Aspekte eingehen, lohnt sich ein Blick in die entsprechenden Gesetze. Das Sozialgesetzbuch (SGB) regelt im fünften Buch (V) die entsprechenden Änderungen, genauer gesagt anzuwendenden Maßnahmen.

  • 75c IT-Sicherheit in Krankenhäusern
  1. Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
  2. Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
  3. Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

 

Digitalisierung bringt Reformzwänge mit sich

Der Informationsfluss im Gesundheitswesen muss modernisiert werden. In der Vergangenheit sind dazu bereits einige Schritte in Angriff genommen worden. Das PDSG regelt die Einführung einer elektronischen Patientenakte (ePA) und anderer digitaler Dienste. Ziel ist langfristig, dass Dokumente wie Impf-, Mutterpass oder das Zahnbonusheft digital abgebildet werden können. So sinnvoll dieser Ansatz auch erscheint und den Weg in das papierlose Gesundheitssystem ebnet, ist er doch Anlass zahlreicher Kritiker. Langfristig scheint kein Weg an den digitalen Akten vorbeizugehen, doch es sind Ausbesserungen notwendig.

Hilfreich sind die Starthilfen sowie das Infomaterial, welches von der Deutschen Krankenhausgesellschaft (DKG) zur Verfügung gestellt wird.

 

Was bedeuten diese Änderungen für Krankenhäuser?

Die Änderungen betreffen sowohl kleine (weniger als 30.000 vollstationäre Fälle) und große Krankenhäuser. In erster Linie sollen die Verantwortlichen gezwungen werden, die Technik auf den neuesten Stand zu bringen. Dadurch sollen die Daten der Patient:innen nicht nur zuverlässiger gesichert, sondern auch vor Angriffen von Außen geschützt werden.

Zentral ist bei diesem Ansinnen, dass Störungen bei der Verfügbarkeit den notwendigen Systemen auf ein Minimum reduziert werden. Zudem soll auch die Integrität der Daten geschützt und die Vertraulichkeit der Informationssysteme sichergestellt werden.

Optimierte Prozesse und IT-Systeme sollen die Mitarbeiter:innen vor Ort unterstützen, gleichzeitig aber hohen Sicherheitsstandards gerecht werden.

 

Was wir Krankenhäusern nun raten

  • 75c bringt eine umfassende Umstellung für deutsche Pflegeinstitutionen mit sich. Der Stichtag für die Umsetzungen liegt mit dem 01. Januar schon eine Weile zurück. Dennoch kämpfen viele Krankenhäuser noch mit der Umsetzung der neuen Standards.

Nötig ist eine tiergehende Auseinandersetzung mit der Frage, wie Prozesse zur Informationssicherheit in die bestehenden Strukturen eingebunden werden können.

Um die Anforderungen an die IT-Sicherheit zu erfüllen, verweist Absatz 2 des bereits zuvor angeführten Gesetzes auf den branchenspezifischen Sicherheitsstandard (B3S). Bei diesen Standards handelt es sich um eigene Regelwerke, die auf Richtlinien wie dem IT-Grundschutz oder ISO 27001 aufbauen, jedoch auf die Bedürfnisse sowie Herausforderungen der einzelnen Branchen zugeschnitten sind.

Ein beim Bundesamt für Sicherheit und Informationstechnik (BSI) eingereichtes und für gut befundenes Regelwerk hat eine Gültigkeit von zwei Jahren.

 

Schutz der Patient:innen durch ein Zugangsmanagement

Die Gesundheitsdaten Ihrer Patient:innen gehören zu den sensibelsten Daten überhaupt. Daher hat dieser Aspekt innerhalb des Gesetzes auch einen erhöhten Stellenwert erhalten.

In diesem Zug sollten Krankenhäuser sicherstellen, dass nur Befugte Zugriff auf die Daten der Patient:innen erhalten. Um das umzusetzen, bietet sich ein Zugangsmanagement mit einer umfassenden Rechteverwaltung an.

 

Abschließende Gedanken

Wie Sie sehen, kann die Umstellung auf die neuen Maßnahmen für Kliniken hohe Hürden darstellen. Unter Umständen geht mit der Umsetzung vor Ort auch eine hohe Arbeitsbelastung einher.

Bei vielen Einrichtungen muss noch das Bewusstsein dafür geschärft werden, dass Datensätze von Patient:innen nichts in einer herkömmlichen Cloud verloren haben. Denn diese sind immer wieder Ziele von Hackern, die auf die Daten der Patient:innen aus sind.

Aber keine Sorge, Sie sind nicht allein. Firmen, wie dedata, haben sich auf den Bereich des Datenschutzes spezialisiert und stehen Ihnen mit Rat und Tat zur Seite.

Nehmen Sie gerne Kontakt mit uns auf und lassen Sie sich in einem kostenlosen Erstgespräch aufzeigen, wie wir Sie bei der Umsetzung der Maßnahmen unterstützen können. Schonen Sie Ihr Budget durch unnötige Mehrkosten und legen Sie die Aufgabe in die Hände eines professionellen Unternehmens.

[wd_hustle id=”1″ type=”slidein”][/wd_hustle]

Autor

Ron Wieland