Krankenhaus Patientendaten erfolgreich schützen

Die Datenschutzgrundverordnung hat dieses Jahr bereits ihren dritten Geburtstag gefeiert. Neben der DSGVO gewinnt das Thema Informationssicherheit auch durch den IT-Grundschutz und die KRITIS-Verordnung weiter an Bedeutung. Dennoch kommt es im Gesundheitsbereich immer wieder zu Verstößen und kostspieligen Strafen. Helmut Semmelmayer, Senior Manager Channel Sales bei tenfold, verrät, wie Krankenhäuser den Zugang zu Patientendaten absichern können.

Es ist das jüngste Beispiel einer langen Reihe an Vorfällen: Am 1. Oktober verhängt die norwegische Datenschutzbehörde ein Bußgeld von 75.000 Euro gegen ein Krankenhaus in Trondheim. Hintergrund der Strafe waren gleich mehrere Datenpannen, durch die es dem gesamten Personal der Klinik über einen längeren Zeitraum möglich war, sensible Gesundheitsdaten wie Messwerte, Behandlungsberichte und verschriebene Medikamente einzusehen.

Ein Fall wie dieser könnte sich auch leicht in Deutschland ereignen. Nicht nur, da die Vorgaben der DSGVO europaweit gelten, sondern auch, da in vielen deutschen Kliniken nach wie vor Unsicherheit besteht, welche Ansprüche geltende Datenschutzgesetze im Detail beinhalten und wie diese Anforderungen auf technischer Ebene umzusetzen sind.

Welche Verordnungen gelten?

KRITIS, ItSig 2.0 und BSI-IT: Die Zahl an Abkürzungen und neuen Compliance-Richtlinien im IT-Bereich wächst stetig. In Sachen Datenschutz ist die DSGVO allerdings auch drei Jahre nach ihrem Erscheinen noch immer das zentrale Regelwerk. Das liegt vor allem daran, dass sich die Gesetzgebung der vergangenen Jahre, wie etwa das IT-Sicherheitsgesetz 2.0, primär mit dem Thema Informationssicherheit beschäftigt, welches etwas weiter gefasst ist als der Datenschutz an sich.

Die Vertraulichkeit von Daten spielt zwar auch in der Informationssicherheit eine wesentliche Rolle, allerdings wird sie dort um die weiteren Schutzziele Integrität und Verfügbarkeit ergänzt – also den Schutz vor Manipulation und Systemausfällen. Um sich diesen Bereichen ausführlich widmen zu können, verweisen neuere Standards in puncto Datenschutz auf die DSGVO, welche ihrem Namen entsprechend grundlegende Vorgaben festlegt.

Die wesentlichen Kriterien für den Umgang mit personenbezogenen Daten sind dabei in Artikel 5 der Verordnung zusammengefasst: Die Verarbeitung muss zweckgebunden erfolgen, auf das Minimum notwendiger Daten beschränkt werden, Daten müssen korrekt sein und dürfen nur für einen begrenzten Zeitraum gespeichert werden. Gesundheitsdaten zählen darüber hinaus gemäß Artikel 9 zu einer besonders schützenswerten Kategorie, die ausschließlich von Fachpersonal verarbeitet werden darf, welches der Geheimhaltungspflicht unterliegt.

Das Beispiel des norwegischen Krankenhauses ist also doppelt problematisch: Zum einen hatte fachfremdes Personal Zugriff auf Gesundheitsdaten, die eigentlich Ärzte und Ärztinnen sowie Pfleger und Pflegerinnen vorbehalten sind. Zum anderen dürfen aber auch medizinische Kräfte nur auf Daten zugreifen, die sie tatsächlich für Diagnose und Behandlung benötigen. In diesem Zusammenhang sorgte etwa eine Klinik in Holland für Schlagzeilen, da mehrere Personen aus Neugier die elektronische Akte eines prominenten Patienten eingesehen hatten.

Geeignete technische und organisatorische Maßnahmen

Um die Sicherheit verarbeiteter Daten zu gewährleisten, schreibt die DSGVO des Weiteren „geeignete technische und organisatorische Maßnahmen“ vor, um vor unbefugten Zugriffen sowie Verlust und Schädigung der Daten zu schützen. Zu diesen Pflichten zählt etwa die Abwehr von Cyberattacken: Geraten sensible Informationen infolge eines Hackerangriffs an die Öffentlichkeit, muss sich die betroffene Klinik unter Umständen für Fahrlässigkeit verantworten, wenn keine ausreichenden Sicherheitsmaßnahmen getroffen wurden (aktuelle Antivirus-Software, Netzwerk-Firewall, Absicherung externer Geräte etc.).

Wie unsere Beispiele zeigen, muss der Zugriff auf Patientendaten neben externen Bedrohungen auch gegen interne Bedrohungen abgesichert werden. Hier kommt es meist aufgrund begrenzter IT-Ressourcen zu Problemen. Aus Zeitmangel entwickeln sich statt standardisierter Prozesse chaotische, organisch gewachsene Strukturen, die zu überflüssigen Berechtigungen führen. Aus DSGVO-Sicht ist das besonders kritisch: Mangelnde Zugriffsteuerung wird allgemein als Verstoß gegen das „angemessene Schutzniveau“ gemäß Artikel 32 betrachtet.

Die einfachste Lösung, um für Ordnung zu sorgen und Datenschutzvorschriften zu erfüllen? Automatisieren Sie die Berechtigungsvergabe! Das reduziert den Verwaltungsaufwand und eliminiert das Fehlerpotenzial durch händische Anpassungen. Eine automatisierte Software für Berechtigungsmanagement stellt sicher, dass nur jene Personen auf Daten zugreifen können, die sie tatsächlich brauchen. Sämtliche notwendigen Anpassungen laufen dabei im Hintergrund ab, inklusive der vollständigen Dokumentation aller Freigaben und Änderungen. Das erleichtert auch den späteren Nachweis im Rahmen von Datenschutz-Audits.

*Helmut Semmelmayer ist Senior Manager Channel Sales bei tenfold

(ID:47904090)