Datenschutz im Krankenhaus Das Krankenhaus ist eine Daten-Goldgrube

Von Alexander Häußler*

Seit dem 01. Januar 2022 fordert das Bundesgesundheitsministerium mit dem Patientendaten-Schutz-Gesetz (PDSG) mehr Informationssicherheit in Krankenhäusern – doch was bedeutet das konkret?

Anbieter zum Thema

Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit.
Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit.
(© Gorodenkoff - stock.adobe.com)

Krankenhäuser und Kliniken verwenden zunehmend Computer-Systeme, die automatisch kommunizieren. Außerdem unterstützen Geräte, die über das Internet der Dinge (IoT) vernetzt sind, die Ärzte und das Pflegepersonal bei allen Tätigkeiten. Letzteres beginnt bei der Aufnahme von Patienten, geht über die Behandlung, bis hin zur Dokumentation und Verwaltung.

Im Zuge dessen sammeln sich in Krankenhäusern große Mengen an personenbezogenen Daten, die oftmals über verschiedene Systeme und auf unterschiedlichen Medien verteilt sind – eine Goldgrube für Cyberkriminelle. Darum geraten Gesundheitseinrichtungen häufiger in das Fadenkreuz von Hackern und Datendiebstählen. Besonders die kleinen Kliniken mit wenig Fachpersonal wähnen sich machtlos gegen diese Bedrohung. Wie schützt man aber am besten solche Mengen sensibler Informationen?

Gesetzgeber verschärft die Nachweispflicht

Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund ein höheres Maß an Informationssicherheit. Zu diesem Zweck soll die Nachweispflicht in dieser Sache künftig schärfer durch das Patientendaten-Schutz-Gesetz (PDSG) geregelt werden, insbesondere auf Basis des neu geschaffenen §75c SGB V. Die Regelung beginnt – ähnlich wie die ISO Norm 27001 für Informationssicherheitsmanagement – bereits auf der organisatorischen und Prozess-Ebene.

Der geforderte Schutz der unterschiedlichen Systeme und der damit verbundenen Informationen richtet sich dabei immer nach der jeweiligen Bewertung des Risikos. Zudem ist es seit diesem Jahr Pflicht, die jeweiligen Systeme und die damit einhergehenden Sicherheitsmaßnahmen alle zwei Jahre erneut zu prüfen und zu evaluieren, ob das geforderte Niveau an Schutz nach wie vor vorhanden ist.

Nachweis der Informationssicherheit

Neben dem im Gesetz explizit erwähnten branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus ist einer der Standards, an welchem sich Krankenhäuser und Kliniken künftig orientieren können, die altbewährte ISO 27001. Sie spiegelt die wichtigsten Punkte der Informationssicherheit wider und dient als Leitfaden, um ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) zu implementieren.

Dabei handelt es sich um ein Rahmenwerk an Regelungen, Maßnahmen und Programmen, die innerhalb eines Unternehmens umgesetzt werden sollen. Wichtig ist, dass dabei aber mehr als nur die angewandte Technologie und die digitale Infrastruktur eines Unternehmens betrachtet werden. Ein ISMS setzt, wie vom PDSG gefordert, auf der Prozess-Ebene an, um sein Ziel der Informationssicherheit zu erreichen. Dabei werden selbstverständlich auch die eingesetzten Technologien, Zugriffsrechte und Datenströme betrachtet – allerdings sind nicht alle schützenswerten Informationen eines Unternehmens bereits digital verfügbar.

Besonders in kleineren Krankenhäusern und Kliniken sind viele der Daten und Informationen noch analog gespeichert – und müssen dennoch gleichwertig geschützt werden. Der Schlüssel zu umfassender Informationssicherheit ist daher nicht nur das ISMS, sondern eine ganzheitliche Betrachtung der Organisation und der Informations-Ablage, sei es nun digital oder analog. Hinzu kommt eine entsprechende Bewertung des jeweiligen Risikos. Ist dieses bestimmt, kann auf Basis dessen die erforderliche Schutzmaßnahme bestimmt und in das ISMS integriert werden.

Umsichtiger Fortschritt wegen regelmäßiger Kontrollen

Sowohl die Köpfe hinter dem PDSG als auch die hinter der ISO 27001 wissen: Umfassender Schutz für Informationen und Systeme kann nur dann gegeben sein, wenn die einhergehenden Bewertungen und Anforderungen regelmäßig auf ihre Aktualität hin geprüft werden. Das gilt freilich besonders im Zusammenhang mit der Digitalisierung. Die Verlagerung analoger Patientendaten in ein neues, digitales Umfeld erfordert selbstverständlich eine Adaptierung der Regeln des ISMS für den Umgang mit den entsprechenden Informationen. Daher sind regelmäßige Prüfungen oder sogar Zertifizierungen der gesamten Informationssicherheit unumgänglich.

Zusammenfassend lässt sich sagen: Die Digitalisierung bietet Krankenhäusern und Kliniken gute Möglichkeiten, um mit neuen Technologien und Infrastrukturen die Abläufe zu automatisieren sowie die Behandlung und Überwachung von Patienten zu vereinfachen – und zu verbessern. Das PDSG hat dabei das Ziel, Einrichtungen voll von diesen Vorteilen profitieren zu lassen, ohne neue Einfallstore für Kriminelle zu öffnen, die es auf personenbezogene Daten abgesehen haben.

Der beste Weg, um eine Symbiose aus Sicherheit und Vorteilen zu erzielen, ist letzten Endes die Einführung eines ISMS, welches an den Anforderungen der ISO-Reihe 27000 ausgerichtet ist und das im Alltag der Krankenhausorganisation auch tatsächlich gelebt wird. Dadurch bleiben die Informationen in den Händen derer, denen die Patienten in Krankenhäusern und Kliniken anvertraut sind: in denen des Fachpersonals.

*Über den Autor: Alexander Häußler ist Product Compliance Manager ISO/IEC 27001 beim TÜV SÜD Management Service.

Dieser Artikel erschien ursprünglich bei unserem Schwesterportal Security-Insider.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48043843)