Informationssicherheit und Datenschutz im Gesundheitswesen – nur für „Kritische Infrastrukturen“?

Die Umsetzungsverordnung sieht vor, dass bis zum 30. Juni 2019 auch der „2. Korb“ der Kritischen Infrastrukturen, nämlich das Gesundheitswesen nebst den Finanz- und Versicherungsunternehmen als auch dem Transport- und Verkehrswesen, die Anforderungen der Kritisverordnung umgesetzt haben müssen.

Doch was ist mit denjenigen Leistungserbringern, die die Bemessungsschwellen und damit den Geltungsbereich der IT Sicherheitsverordnung nicht erreichen? Dies schafft beispielsweise ein Krankenhaus bei weniger als 30.000 vollstationären Fällen pro Jahr.

Der Ausfall der IT in solchen vermeintlich nicht kritisch-versorgungsrelevanten Häusern würde keinen Schaden anrichten? Wohl kaum. Vielleicht wären die Folgen aus Sicht des Gesetzgebers kaum versorgungsrelevant, dennoch wäre der Schaden, Ärger, Verlust der Reputation gegenüber Patienten und Zuweisern für das Haus und jeden einzelnen seiner Patienten und Mitarbeiter eher nicht zu beziffern. Wieviel beträgt der Schaden bei Verlust von nur einer medizinischen Patientenakte – für das Haus oder den Patienten -, wieviel bei einem gänzlichen Systemstillstand der IT?  Und welcher nicht monetäre Schaden kann durch das Abgreifen von nur einzelnen Detailinformationen wie beispielsweise die Eingriffsart, Klinikaufenthalt oder Diagnose für einen Einzelnen entstehen?

Kein anderes Fach „operiert“ mit solch sensiblen Daten wie die Leistungserbringer und Kostenträger unseres Gesundheitssystems. Doch warum gibt es dann noch immer das Faxgerät, das Befunde empfängt, am Tresen vieler Anmeldungen? Warum liegen noch immer ausgedruckte OP-Pläne auf den Stationen? Oder warum sind dann Whiteboards, die die Bettenbelegung der Station zeigen (am besten noch mit Hinweisen wie „C2H5OH oder DNR“)*, nicht längst verbannt? Es geht also nicht mehr um „bloße“ IT- Sicherheit – so komplex deren Umsetzung insbesondere im Krankenhaus- und Leistungserbringerumfeld auch ist – sondern um Informationssicherheit.

Hier liegt der Unterschied:

Informationssicherheit umfasst nicht nur die Bedrohungen durch Angriffe auf die IT und die hier gespeicherten Daten oder hinterlegten Prozesse sondern erklärt jede, digitale und nicht-digitale, ob persönliche oder personenbezogene Information für schützenswert und verfolgt durch den Schutz der Integrität (Unveränderbarkeit), Verfügbarkeit und Vertraulichkeit der Daten auch den Schutz der Privatsphäre des Einzelnen.

Es ist also dringlich eine Begriffstrennung erforderlich. Es sollte differenziert betrachtet werden, ob ich ausschließlich meine IT vor Schäden, Angriffen und weiteren Bedrohungen (wie Stromausfällen, Brände, Umwelteinflüsse o.ä.) schütze, um einen nahezu reibungslosen Klinikbetrieb zu gewährleisten ODER, besser, ob ich grundsätzlich die Daten und Informationen meiner Abläufe, Patienten und Mitarbeiter gegen jegliche Gefahrenarten des Verlustes, der Manipulation oder ungewollten Offenlegung in strukturierter Form absichere.

Ein dokumentierter Nachweis und die Umsetzung des Stands der Technik der Informationssicherheit kann beispielsweise in Form einer ISO27001 (Informationssicherheit) bzw. der IEC80001 (Risikomanagement) Zertifizierung erfolgen. Wenn Sie jetzt an die Kosten für solche Aktivitäten denken, dann betrachten Sie doch zuerst den möglichen Nutzen:

Sie erkennen Bedrohungen und Sicherheitslücken. Denn nichts ist schlimmer als der Datenverlust, den Sie nicht einmal mitbekommen.

Sie optimieren Abläufe, Prozesse und Kosten.

Durch die nicht zu unterschätzende Außenwirkung erzeugen Sie Vertrauen bei Zuweisern und Patienten.

Sprechen Sie mit Ihren Versicherern, inwieweit Prämien gesenkt werden, da Sie Haftungs- und Geschäftsrisiken reduziert oder gar minimiert haben.

Sie wollen einen orientierenden Einstieg in die Themen Datenschutz und IT- und Informationssicherheit finden? Treten Sie gerne mit uns in Kontakt unter Tel. +49(0)211 205 444 – 99, unter kontakt@mabs40.com oder besuchen Sie uns im Internet unter Mabs40.de.com.

*C2H5OH ist die Formel für Alkohol und wird gerne verwendet, um Patienten als hierfür gefährdet zu kennzeichnen. DNR steht für “do not resuscitate” also “nicht reanimieren”

Leave a Reply

avatar
800
  Abonnieren  
Benachrichtige mich bei