Jeder Mensch muss hin und wieder mal zum Arzt, wird aufgefordert seine Daten mit der aktuellen gesundheitlichen Beschwerde anzugeben und lässt seine Krankenkassenkarte einlesen. Alles personenbezogene Daten, die in das System beim Arzt seines Vertrauens aufgenommen werden. Das kann jeder nachvollziehen, wer denkt schon lange darüber nach, man möchte ja seine Beschwerden loswerden. Wenn jedoch jedem bewusst wäre, wie Nachlässig viele Arztpraxen und Kliniken laut einer durchgeführten Studie der GDV (vgl. hier) mit dem Schutz dieser Daten umzugehen scheinen, würde jedem schnell übel werden.
Wir sprechen hier von typischen Problemen: Schlecht gewählte Passwörter; mangelhafte Verschlüsselung bei der Kommunikation sowie der Übertragung und dem Speichern von personenbezogenen Daten; dem unbewussten Öffnen einer E-Mail mit Schadsoftware. Berichte aus der Vergangenheit zeigen immer wieder, dass der Gesundheitssektor Schwierigkeiten hat dieses Gut der personenbezogenen (Gesundheits-)Daten ausreichend zu schützen.
Das Problem ist nicht immer eine Frage des Einsatzes neuer oder alter Technologien, sondern häufig der nachlässige Umgang mit den zu schützenden Informationen. Wie schnell kommt es vor, dass der USB-Stick mit den sensiblen Daten beim Gedanken an die bevorstehende Pause oder nach einem hitzigen Telefonat vergessen wird? Wie schnell kann es gleichzeitig passieren, dass ‚im Eifer des Gefechtes‘ der unbefugte Besucher übersehen wird? Natürlich müssen Daten verschlüsselt aufbewahrt werden und Zugänge zu Systemen mit verantwortungsbewussten Passwörtern versehen werden. Doch auch die Abläufe und Strukturen zwischen den Mitarbeitern und Ärzten einer Praxis oder Klinik müssen entsprechend stark mit Sicherheit bedacht angegangen werden. Eine organisatorische Sicherheit ist also ebenso wichtig, wie eine technische.
Jedem ist bewusst, dass personenbezogene Daten schützenswert sind. Trotzdem stellt sich bei der Umsetzung von technischer/organisatorischer Sicherheit immer die Frage, ob der Aufwand das Geld wert ist. Natürlich muss Geld ausgegeben werden und die technischen Möglichkeiten, um für Sicherheit zu sorgen, wachsen rasant. Doch der Mensch mit seinen personenbezogenen Daten bleibt schützenswert, während der finanzielle Schaden, der dem Imageschaden eines Arztes oder einer Klinik nach Veröffentlichung von Sicherheitslecks folgt, in der Regel deutlich größer ist, als eine Investition in organisatorische und technische Sicherheit.