Foto: Thomas Siepmann/Pixelio

Datenschutz im Gesundheitswesen

E-Health birgt Risiken

Spätestens als vergangenes Jahr die Datenaffäre im Hause des Ministers Daniel Bahr öffentlich wurde, kamen Zweifel am Datenschutz im Gesundheitswesen auf. Dabei unterliegt sogar ein IT-Dienstleister, der in diesem Bereich arbeitet, der Schweigepflicht. Wie können also Patienten sicher sein, dass ihre Daten sicher sind?

Die Situation ist für die gesamte Branche symptomatisch. Permanente Unterfinanzierung im IT Bereich; dazu leichtsinniger Umgang mit den Daten, den man leider in manchen Praxen, Apotheken oder Kliniken sogar als grob fahrlässig einstufen muss. Dies führt zwangsweise zu Missbrauch. Dabei unterliegen alle der gesetzlichen Schweigepflicht, und das schließt auch IT-Dienstleister ausdrücklich ein.

Sensible Datenflut

Die strukturellen Veränderungen im Gesundheitswesen führen zu einem verteilten Datensystem, in dem zwischen den Beteiligten immer größere Mengen sensibler Daten ausgetauscht werden. Mobile Datenträger kommen dabei ebenso zum Einsatz wie Laptops und Datenspeicher im Netz.

USB-Sticks mit unglaublichen Datenvolumen, superschnelle tragbare Festplatten und andere mobile Endgeräte stellen ein hohes Sicherheitsrisiko dar. Darüber hinaus wird in Arztpraxen häufig eingebrochen, und komplette Systeme werden entwendet. Ein Dieb kann dann neben der Hardware auch gleich die Daten der Systeme für seine Zwecke nutzen. Kombiniert man ein paar organisatorische Regeln mit geeigneter Sicherheitssoftware, lässt sich jedoch ein wirksamer Schutz vor Unachtsamkeit und gezieltem Datendiebstahl implementieren.

  • Organisation: Eine durchdachte Sicherheitsrichtlinie ist die Basis für ein tragfähiges Sicherheitskonzept, einhergehend mit einer ausführlichen Risikobetrachtung. Das fängt mit der Benennung und Ausbildung eines Datenschutzverantwortlichen an, wenn in einer Praxis mehr als zehn Beschäftigte arbeiten. Auf der Grundlage des IT-Grundschutzhandbuches vom BSI oder der ISO 27001 werden alle organisatorischen Regeln spezifiziert und vor allem dokumentiert.
  • Sicherheitsbewusstsein: Anwender sind das schwächste Glied in jeder Sicherheitsbetrachtung. Elementar ist deshalb ein Trainings- und Sensibilisierungsprogramm für Mitarbeiter. Dies ist besonders wichtig, wenn Unternehmen Zeitarbeiter oder Berater einsetzen, die häufig nicht die gleiche Loyalität zum Unternehmen haben wie langjährige Mitarbeiter; gerade im Klinikalltag eine sehr häufig anzutreffende Situation.
  • Technische Maßnahmen: Die Verschlüsselung der kompletten Festplatte von Laptops ist eigentlich gesetzlich vorgeschrieben, aber selten umgesetzt. Eine sichere Anmeldung vor dem Start des Betriebssystems mit Benutzerpasswort oder Smartcard ist dabei das wichtigste Auswahlkriterium, ohne das eine Verschlüsselung wirkungslos bleibt. Weiterhin wichtig ist die Kontrolle, welche Geräte zum Beispiel am USB-Port angeschlossen werden dürfen und gegebenenfalls deren Verschlüsselung. Darüber hinaus sollte definiert werden, welche Dokumente kopiert werden dürfen. Sicherheitsorientierte Unternehmen nutzen außerdem inzwischen Applikationskontrolle, um unerwünschte Software und Trojaner zu vermeiden. Dabei werden alle Applikationen vorab definiert, die ein Benutzer aufrufen darf. Eigene Programme können nicht mehr gestartet werden.

Sicherheit ist eine Momentaufnahme, und deshalb müssen alle Maßnahmen kontinuierlich auf ihre Wirksamkeit und Funktion überprüft werden. Ein stabiles Alarmierungs- und Reportingsystem ist hierfür unverzichtbar. Dabei lässt sich mit relativ wenig Aufwand ein hohes Sicherheitsniveau erreichen. Softwarelösungen für Gerätekontrolle und Verschlüsselung sind verhältnismäßig preiswert in der Anschaffung und in der Pflege. Es bleibt zu hoffen, dass die Verantwortlichen Maßnahmen ergreifen, bevor noch mehr Patientendaten im Internet auftauchen.

Mike Prieskorn, CEO der Centertools Software GmbH, www.drivelock.de

Foto: Centertools

Data Loss Prevention

Klinik nach höchster Sicherheitsstufe zertifiziert

Das Universitätsklinikum Hamburg-Eppendorf (UKE) schützt die Patientendaten mit der Sicherheitssoftware Drivelock von Centertools vor unerlaubten Zugriffen. Jetzt erhielt das UKE als erstes Krankenhaus in Deutschland das ISO-27001-Zertifikat.

Foto: HID Global

Gesundheitswesen

Modernisierung ist Pflicht

Viele Unternehmen sehen keine Notwendigkeit, ihr Zutrittskontrollsystem zu modernisieren. Auch bei Institutionen im Gesundheitswesen zeigt sich diese Tendenz. Allerdings gibt es mehrere Gründe, die für ein Upgrade von Zutrittskontrolllösungen sprechen, vor allem die Sicherheit, der Benutzerkomfort und die Flexibilität betreffend.

Foto: HID Global

Zutrittskontrolle im Gesundheitswesen

Upgrades für die Zukunft

Diese Besucherströme eines Krankenhauses stellen eine komplexe Herausforderung für die Sicherheit dar, denn bei medizinischen Einrichtungen gilt eine hohe Fürsorgepflicht gegenüber Patienten und ihren Angehörigen, dem Personal sowie den Geräten oder Anlagen.

QSC

Sicheres Cloud Computing

Cloud Computing ist im Alltag der Unternehmen angekommen. Bei der Auslagerung ausgewählter Applikationen an einen Cloud-Provider spielen dessen technische Kompetenz und die Erfüllung der datenschutzrechtlichen Anforderungen eine entscheidende Rolle.