Berechtigungen dürfen nicht kränkeln

Datenschutzrechtlichen Risiken im Krankenhaus begegnen

Veröffentlicht 30.10.2020 10:00

Mit der Digitalisierung, die in den Krankenhäusern Einzug gehalten hat, gehen hohe Anforderungen an den Datenschutz einher – in der aktuellen Krisensituation mehr denn je. Europaweit zeigen Fälle, dass die Aufsichtsbehörden empfindliche Strafen verhängen, wenn sensible Patientendaten nicht ausreichend geschützt werden. Krankenhäuser brauchen deswegen ein Berechtigungskonzept, das Zugriffe – auch im Notfall – klar regelt und kontrolliert. Oft ist das Berechtigungsmanagement dagegen undurchsichtig. Eine strategische Analyse kann hier schnell Transparenz bringen, den Status Quo ermitteln und darauf aufbauend Handlungsempfehlungen geben.

Die Anforderungen an die IT-Sicherheit in Krankenhäusern nimmt stark zu: Die Digitalisierung hält immer mehr Einzug und damit die Zahl der verwendeten IT-Systeme auf den Stationen und in den Abteilungen: Krankenhäuser implementieren zusammenhängende Systeme wie SAP nicht mehr nur für die Buchhaltung. Damit geht die Digitalisierung der Patientenakten einher und der Datenschutz gewinnt an Bedeutung. Denn Patienteninformationen sind personenbezogene und kritische, sensible Daten - als Gesundheitsdaten unterliegen sie besonders hohem Schutz (Art.9 Abs. 1 DSGVO). Die Einsichtnahme darf nur bei Bedarf und mit Berechtigung erfolgen. Der Art. 5 Abs. 1 lit. f der DSGVO verlangt Integrität und Vertraulichkeit auch bei der Verarbeitung der Daten.

Ein Zugriff auf Patientenakten im SAP darf also nicht für jeden möglich sein, sondern nur für autorisierte Personen. Außerdem müssen die internen Kontrollsysteme in der Lage sein, unbefugte Zugriffe aufzudecken. Stichproben oder anlassbezogene Kontrollen sind nicht mehr zeitgemäß und reichen oft nicht aus, um die Anforderungen an eine sichere Datenverarbeitung zu erfüllen – vielmehr müssen systematische und konsistente Kontrollinstrumente vorliegen, die eine dauerhafte Überwachung ermöglichen.

Harte Strafen für mangelnden Schutz von Patientendaten

Die Aufsichtsbehörden überwachen den Schutz der Patientendaten nach den Vorgaben der DSGVO und die Strafen fallen empfindlich aus: Das größte Krankenhaus in Den Haag wurde zum Beispiel mit einer Strafe in Höhe von 460.000 Euro belegt, weil die Aufsichtsbehörde zu dem Schluss kam, dass der Schutz der Authentifizierung und Zugriffskontrolle bei Patientenakten unzureichend waren. Ein portugiesisches
Krankenhaus musste 400.000 Euro zahlen – ebenfalls wegen eines unzureichenden Berechtigungskonzepts: Krankenhausmitarbeiter konnten im IT-System mit dem Profil „Techniker“ auf Patientendaten zugreifen, die eigentlich Ärzten vorbehalten sein sollten. Zudem konnten sich Nutzer als „Arzt“ registrieren, obwohl sie diese Position nicht innehatten. Manche Krankenhäuser nahmen in der Vergangenheit Bußgelder wegen Datenschutzverstößen hin und verbuchten sie unter laufenden Kosten. Doch die Verschärfung durch die DSGVO und die drakonischen Strafen sorgen nun dafür, dass sie sie nicht mehr ignorieren können.

Fallstricke im Datenschutz

Viele Krankenhäuser tun sich schwer, ein angemessenes Schutzniveau zu gewährleisten. Ein schlecht gepflegtes oder sogar fehlendes Berechtigungskonzept torpediert den Datenschutz. Fallstricke gibt es einige. Ein gängiger ist die Intransparenz bei der Benutzerverwaltung und den Accounts. Auf manchen Stationen ist es zum Beispiel nach wie vor Standard, dass alle Mitarbeiter – Pflegepersonal und Ärzte gleichermaßen – mit einem einzigen User arbeiten. Über ihn werden Medikamente bestellt oder Einsicht in Patientenakten genommen. In einem Fall stellte ein Wirtschaftsprüfer fest, dass besagter Benutzer bereits seit einem knappen Jahr tot war, aber immer noch im System verwendet wurde.

Durch die unklar geregelte Zuordnung der Accounts ist es möglich, dass Mitarbeiter auf kritische Gesundheitsdaten unbemerkt zugreifen können, auch wenn sie dazu nicht berechtigt sind. Auch die Zahl der Accounts verhindert Transparenz: Oft häufen sich die ungenutzten User und es gibt aktive Accounts von Mitarbeitern, die gar nicht mehr in den Abteilungen arbeiten.

Mitarbeiter wechseln Abteilungen und damit erhalten sie neue Berechtigungen und Rollenzuordnungen. In der Summe sammeln sie Zugriffsrechte, die ihnen aber nicht mehr entzogen werden. Die Corona-Krise führte zum Beispiel zur übereilten Registrierung von Benutzern in Krankenhaus-Systemen, etwa, wenn freiwillige Helfer angelegt wurden. Nach dem Ausscheiden müssten diese Accounts unbedingt wieder bereinigt werden, was aber häufig außer Acht gelassen wird.

Notfallberechtigungen müssen geregelt werden

Auf der anderen Seite muss auch geregelt sein, dass das Personal in einem Notfall Zugriff auf Daten hat, die ihm sonst nicht zugänglich wären: Ein Arzt aus einer anderen Abteilung muss im Krankheitsfall bei einer Vertretung oder bei einer Konsultation eines Kollegen in der Lage sein, dessen Patientenakten und Medikamentierung einzusehen ohne umständlich ein Ticket im System beantragen zu müssen, das dann erst noch bearbeitet und freigeschaltet werden muss.

Um diesen Fall abzudecken, werden oft User, die mit mehr Rechten ausgestattet sind, manuell angelegt und ihr Zugriff dokumentiert. Aus den entsprechenden Tickets lässt sich aber nur nachvollziehen, werden User verwendet hat und nicht aus welchem Grund. Oft findet hier auch keine Kontrolle statt - die Protokolle werden nicht ausgewertet.

Berechtigungskonzept regelt Freigaben

Um Datenschutz und Sicherheit zu gewährleisten, brauchen Krankenhäuser ein Berechtigungskonzept, das als organisatorischer Prozess die Freigaben regelt. Dazu gehört eine Userund Rollenbereinigung: Es müssen unter anderem die Fragen gestellt werden, welche User noch aktiv sind, oder ob überflüssige Berechtigungen entfernt werden können.“.. Auch für Notfälle sollte ein Prozess mit Ansprechpartnern definiert werden: Ein Notfalluserkonzept regelt dann die Zugriffe und reagiert auf interdisziplinäre Anfragen. Es macht transparent, wer wann warum und worauf zugegriffen hat. Auch die Art des Zugriffs – ob ein Dokument gelesen oder bearbeitet und verändert wurde – wird ersichtlich. Über die Protokolle kann nachvollzogen werden, ob die Zugriffe rechtmäßig waren.

Quick Check schafft Überblick und Transparenz

SAP dokumentiert die Aktivitäten im System mit Änderungsbelegen: Krankenhaussysteme auf Basis von SAP erlauben es deswegen, Zugriffe nachzuvollziehen – zentrale Analysen, die auf komplexen Fragestellungen beruhen, lassen sich aber nicht ohne Weiteres auswerten. Angesichts von zahlreichen Protokollen ist die schiere Menge aber für eine manuelle Analyse nicht zu bewältigen. Ein schneller Check all der vorrangig beschriebenen Herausforderungen, den wir „Quick Check“ nennen, bietet Krankenhäusern da eine schnelle Lösung, um zielgerichtet und zügig zu einer Übersicht zu erlangen. Der SAP-Quick Check ist Bestandsaufnahme für Rollen und Berechtigungen in Krankenhäusern und ermittelt den Status Quo. Auf dieser Basis werden Maßnahmen abgeleitet, um diese Ziele zu erreichen. Es werden über 100 typische Abfragen geprüft, wie zum Beispiel die Möglichkeit direkt auf Tabellen zugreifen zu können oder auch inaktive Benutzer, die seit längerem nicht mehr angemeldet waren. Die kritischsten SAP-Berechtigungen und -Benutzer werden analysiert, Profile mit zu vielen Rechten wie SAP_ALL werden aufgespürt. Gerade bei Wirtschaftsprüfungen erweisen sich solche User als hochproblematisch. Auch eine Analyse der kritischen Systemeinstellungen und Basisparameter von SAP Basis und IS-H gehört dazu. Darunter fallen zum Beispiel Vorgaben für Passwortlänge und -komplexität, Sperrmechanismen oder Sonderrechte, zum Beispiel wer Programme unter fremdem Benutzernamen ausführen darf oder in der Lage ist, Änderungsbelege zu löschen.

Der Quick Check mündet in einer Handlungsempfehlung für das bestehende Berechtigungskonzept. Dabei sind verschiedene Szenarien möglich: Hat das Berechtigungskonzept seinen Zenit noch nicht überschritten, kann es bereinigt werden, indem alte, inaktive User gelöscht oder kritische Berechtigungen entzogen werden. Ist das nicht mehr möglich, kann ein neues Konzept aufgesetzt werden, das flexibel und sicher ist. Zur Lösung gehört ebenfalls ein Notfalluserkonzept für geregelte Zugriffe im SAP in Ausnahme- und Notfallsituationen. Usern können darüber schnell und wenn gewünscht befristet erweiterte Berechtigungen zugewiesen werden. Die vordefinierte Notfalluser-Einstellung stellt dann sicher, dass schnell gehandelt werden kann. Der Emergency Manager protokolliert revisionssicher alle Vorgänge und Zugriffe im SAP. Auch bei erweiterten Zugriffen wird der Notfalluser mit Stempel und Uhrzeit dokumentiert und es ist nachvollziehbar, auf welche Daten er zugegriffen hat und warum. Durch das Regelwerk
werden Unregelmäßigkeiten oder kritische Veränderungen sofort aufgedeckt. SAP_ALL-Profile und unprotokollierte Helpdesk-Einsätze gehören damit der Vergangenheit an.

Fazit

Datenschutz in Krankenhäusern wird immer wichtiger und stellt eine organisatorische Herausforderung dar. Oft haben sich über Jahre Berechtigungen angesammelt und dem Berechtigungsmanagement fehlt die Transparenz. Mit einem Quick Check lässt sich schnell ein Überblick über den Status Quo herstellen und passende Maßnahmen definieren, um die gesetzlich vorgeschriebenen Schutzziele für sensible Patientendaten zu erreichen.



Autor: Philipp Latini, Geschäftsführer der SIVIS GmbH Karlsruhe
Quelle: Krankenhaus-IT Journal, Oktober 2020


Lesen Sie mehr zum Thema "IT-Sicherheit"

Lesen Sie hier die neuesten Beiträge