Kontakt

Informationssicherheit im Gesundheitswesen – Lösungen statt Probleme

Nina Kill M. Sc.

Veröffentlicht am 06.03.2020 von Nina Kill M. Sc.

1. Treffen 2020 der Initiative für Informationssicherheit im Gesundheitswesen

Dortmund, 06. März 2020: Am Freitag den 28. Februar 2020 trafen sich Verantwortliche für Informationssicherheit und Datenschutz aus dem Gesundheitswesen am Dortmunder Standort der DATATREE AG. Thema der Veranstaltung: Dienstleister-Audits. Hier gilt es strenge gesetzliche wie normative Anforderungen umzusetzen. Die Durchführung der Dienstleister-Audits stellt die meisten Beteiligten allerdings vor große Herausforderungen.

Mit Dienstleister-Audits verhält es sich ähnlich wie generell mit den Themen Datenschutz und Informationssicherheit: Erst wenn Unternehmen gesetzlich dazu verpflichtet sind, beginnen sie aktiv zu werden. Häufig zu spät – denn genau das ist der falsche Ansatz. „Betrachten wir die funktionelle Besetzung des Informationssicherheitsbeauftragten (ISB)“, startet Professor Doktor Thomas Jäschke, Initiator der Veranstaltung, in seiner Keynote an diesem Tag. „Die Pflicht zur Bestellung eines ISB ist nicht konkret im Gesetz aufgeführt, sondern eher transitiv.“ Krankenhäuser, die zu den sogenannten KRITIS-Einrichtungen gehören, sind verpflichtet ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und damit auch einen Verantwortlichen für das Thema zu benennen. Diese Rolle kann nur der Informationssicherheitsbeauftragte (ISB) abbilden.

Aktiv werden immer erst Akteure, die gesetzlich in der Pflicht sind

Zunächst werden hier nur die KRITIS-Unternehmen tätig. Allerdings benötigen auch NICHT-KRITIS Einrichtungen einen Verantwortlichen sowie ein funktionierendes ISMS. Zum einen ist zu erwarten, dass demnächst die Schwellwerte für KRITIS-Einrichtungen herabgesetzt werden. Zum anderen haben auch Nicht-KRITIS-Einrichtungen ein großes Problem, wenn beispielsweise aufgrund fehlender Notfallmaßnahmen die Patientenversorgung nicht sicherstellen werden kann. Auch wenn wir in Bezug auf KRITIS häufig die reine Ausfallsicherheit von IT-Anlagen meinen, dürfen wir den sicheren Betrieb des Notstromaggregats oder einer funktionierenden Sauerstoffversorgung nicht außer Acht lassen

Dienstleister sind mit in der Verantwortung

Und so sind Dienstleister schnell mit in der Verantwortung des Geschäfts- oder Produkterfolgs, sprich in der Pflicht für den Datenschutz und die Informationssicherheit.

Gesundheitseinrichtungen müssten ansonsten jedes einzelne System, das sie betreiben durchleuchten und bis zur technischen Ebene überprüfen – praktisch nicht umsetzbar. Unternehmen müssen ihren Dienstleistern demnach vertrauen. Selbst, wenn sich Dienstleister zertifizieren lassen, ist das noch lange nicht die Garantie für einen konformen Umgang mit Daten. Auftraggeber bleiben in der Prüfpflicht – das ist ressourcenzehrend. Abhilfe schafft die gemeinsam initiierte Audit-Community.

Risikomanagement wird falsch priorisiert

Ein weiterer Punkt auf der Agenda ist das Thema Risikomanagement in Gesundheitseinrichtungen. Häufig werden in der Praxis falsche Prioritäten gesetzt. Erste Maßnahme sollte nicht 

sein, dass ein möglichst komplexes Tool beschafft wird. Ein komplexes Tool bringt nämlich auch eine komplexe Einführung mit sich. Besser ist hier: Eine solide Basis schaffen und die Risiken ermitteln, die den eigenen Kernprozess bedrohen. Anschließend sollten sich Fragen gestellt werden, wie: „Was benötige ich, um die Vitalfunktionen des Kernprozesses zu erhalten und durch welche Maßnahmen kann die Risiken minimieren?“ Weiter sind Gedanken zu benötigten Funktionen notwendig, die beispielsweise mein Patchmanagement unterstützen, indem sie für mich die Aufgabenverwaltung und Erinnerungen eines Aktualisierungs-Rhythmus beinhalten. Hier wurde ein Best Practice erarbeitet, die Mitgliedern der Initiative für Informationssicherheit im Gesundheitswesen zur Verfügung steht.

Das nächste Treffen der Initiative findet im Juli zum Thema Mobile Device Prüfung statt. 

Weitere Themen dieses Jahr:

  • Datenschutzfolgenabschätzung
  • Code of Conduct
  • Pseudonymisierung
Teilnehmer der Initiative für Informationssicherheit im Gesundheitswesen im direkten Austausch.
Copyright: DATATREE AG

Pressekontakt:

Nina Richard, Leiterin Marketing und Kommunikation
Heubesstraße 10, 40597 Düsseldorf I T +49 211 93190-733
nina.richard@datatree.ag I F +49 211 93190-799 I www.datatree.ag

Über die Initiative für Informationssicherheit im Gesundheitswesen:

Immer wieder zeigen Informationssicherheits-Vorfälle, dass niemand von sicher vor Hackerangriffen oder Datenpannen ist.

Die Auslegung innerhalb der Medien ist dabei nicht immer ganz korrekt. Dies führt zu Zweifeln an Deutschlands Krankenhäusern und der Sicherheit von hochsensiblen Gesundheitsdaten. Diesem Bild soll mit der Initiative für Informationssicherheit im Gesundheitswesen öffentlichkeitswirksam entgegengewirkt werden. Das ISDSG – Institut für Sicherheit und Datenschutz im Gesundheitswesen möchte deshalb einen Zusammenschluss von IT-Verantwortlichen, Geschäftsführern und Datenschutzbeauftragten herbeiführen, um Transparenz und Aufklärungsarbeit im Bereich der IT-Sicherheit zu schaffen. Praxisnahe Handlungsempfehlungen für die Krankenhauslandschaft stehen dabei im Fokus. 

Mitglieder der Initiative sind unter anderem:

•    Asklepios Kliniken GmbH & Co. KGaA

•    Diakonisches Werk Bethanien e.V.

•    Institut für Sicherheit und Datenschutz im Gesundheitswesen

•    KIT Services GmbH – Knappschaft Bahn See

•    Klinikum Chemnitz gGmbH

•    Kliniken Essen – Mitte – Ev. Huyssens-Stiftung/ Knappschaft GmbH

•    Krankenhaus-Kommunikations-Centrum

•    radprax Gesellschaft für Medizinische Versorgungszentren mbH

•    Serapion

•    St. Marien-Krankenhaus Siegen gem. GmbH

Die DATATREE AG bietet seit 2011 umfassende Beratungsdienstleistungen in den Bereichen Compliance, Datenschutz und Informationssicherheit. Das Unternehmen berät und unterstützt öffentliche sowie nicht-öffentliche Stellen bei der Einführung von Datenschutzmanagementsystemen sowie Managementsystemen für Informationssicherheit nach bewährten Standards sowie bei der Umsetzung konkreter Maßnahmen und Kontrollmechanismen. Die DATATREE AG unterstützt klein- / mittelständische Unternehmen und Großkonzerne unter anderem aus dem Gesundheitswesen, IT, Handel, Logistik aber nicht zuletzt auch Behörden und Kommunen.