Bei persönlichen Daten, die im Gesundheitssektor erhoben werden, handelt es sich ausnahmslos um hoch sensible, persönliche Informationen, auf die die Anwendung des Art. 9 Abs. 1 DSGVO zutreffen. Ihr Schutz und ein maximal verantwortungsvoller Umgang ist Aufgabe aller Beteiligten, sollte man meinen. Meldungen der jüngsten Zeit (freiverfügbare Daten auf PACS Servern, gravierende Sicherheitsprobleme bzgl. der Telematikinfrastruktur in Arztpraxen) lassen jedoch den Eindruck entstehen, dass hierzu der unbedingte Wille und die gebotene Ernsthaftigkeit nicht vorhanden ist. Die Unterzeichnung der Einwilligung zur Nutzung, Verarbeitung und Sicherung der Gesundheitsdaten durch den Patienten gerät zur Farce, wenn einfachste und offensichtlichste Maßnahmen zum Schutz seiner Daten sträflich unterlassen werden.

IT-Sicherheits- und Datenschutzkonzepte haben sich bewährt

Patientendaten sind unter anderem nach dem Stand der Technik durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen. Vor dem Hintergrund, dass man in den oben genannten Fällen nicht von bösen, hinterhältigen „Hacker“-Angriffen spricht, sondern von offenen Türen, durch die man einfach eintreten konnte und Zugriff auf sensibelste Daten hatte, ist dringend ein anderes Bewusstsein angemahnt. Um den freien Zugang zu den gefundenen Systemen zu erschweren bzw. zu unterbinden, ist die Entwicklung eines IT-Sicherheits- und Datenschutzkonzepts mit kritischer Würdigung der Datenverarbeitungsvorgänge der erste Schritt:

  • Halten Sie ihre IT-Systeme aktuell, auf „dem Stand der Technik“
  • Nutzen Sie Technik, die IT-Sicherheit und Datenschutz entspricht bzw. bei der diese schon integriert wurde und die notwendigen Konfigurationen und Voreinstellungen zulässt
  • Sensibilisieren Sie Ihre MitarbeiterInnen und bieten Sie IT- Sicherheitstraining für alle an
  • Erstellen Sie eine Notfallcheckliste
  • Richten Sie Meldeketten bei Datenschutzpannen ein
  • Kooperieren Sie mit zuverlässigen und erreichbaren Dienstleistungs- und Notfall-Partnern

In diesem Zusammenhang sei noch darauf hingewiesen, dass Datenpannen umgehend gemeldet und die Betroffenen darüber informiert werden müssen. Der Gesetzgeber ahndet Verstöße mit empfindlichen Geldbußen von bis zu 20 Millionen Euro oder maximal vier Prozent des Vorjahresumsatzes.

Sicherheit bei netzwerkfähigen Medizinprodukten und -geräten

Flankierend zu den beispielhaft oben angegebenen regulatorischen Vorgaben, gibt es Empfehlungen, die sich in anderen Bereichen der IT bereits bewährt haben. Sie erhalten durch die sicherheitskritischen Patientendaten an dieser Stelle natürlich eine besondere Bedeutung. Es werden cyber-sicherheitsspezifische Produkteigenschaften festgelegt, welche die o.a. identifizierten Gefahren nach dem Stand der Technik reduzieren sollen. Beispielhaft seien hier einige genannt:

  • Sensible Geräte und Systeme, wie zum Beispiel medizintechnische Geräte, müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen wird mehr Sicherheit geschaffen.
  • VPN-Zugang nur für Berechtigte
  • Abschalten verfügbaren Diensten (z. B. HTTP(S) und Technologien (z. B. WLAN, Bluetooth), wenn diese vom Anwender für seinen Anwendungsfall nicht benötigt werden
  • Feingranulare Zugriffskontrolle (Login/Authentisierung), die sensible Daten vor unberechtigtem Zugriff schützt und entsprechende Benutzerverwaltung
  • Nutzung von „sicheren“ Zugangsdaten oder Passwörtern
  • Einrichtung eines Schutzes gegen Schadprogramme

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein Dokument zu „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ publiziert, das einen guten und umfangreichen Überblick zum Thema IT-Sicherheit im Gesundheitswesen bietet.

 

| | | , ,