E-Health – welche Anforderungen Datenschutz und IT-Sicherheit an Organisationen stellen

DSGVO

Veröffentlicht 23.07.2021 07:40, Dagmar Finlayson

DSGVO-Compliance im Gesundheitswesen

E-Health – welche Anforderungen Datenschutz und IT-Sicherheit an Organisationen stellen

Die Digitalisierung des Gesundheitswesens schreitet mit großen Schritten voran - ist sie doch eine wesentliche Voraussetzung, um die flächendeckende Gesundheitsversorgung zu verbessern und weiterzuentwickeln. Der Gesetzgeber hat bereits in den vergangenen Jahren mit einer Vielzahl an gesetzlichen Vorgaben wichtige Weichen für den Digitalisierungsprozess gestellt und den Rahmen vorgegeben, um die aktuellen Herausforderungen unseres Gesundheitssystems zu lösen und Digitalisierungspozesse bei Leistungserbringern und -empfängern gleichermaßen voranzutreiben. Immer mehr Krankenhäuser, medizinische Versorgungszentren und niedergelassene Arztpraxen sind jedoch mit den wachsenden Compliance-Anforderungen überfordert und bedienen sich externer Dienstleister, um rechtliche Vorgaben, Datenschutz und IT-Sicherheit in Einklang zu bringen. Sven-Ove Wähling, Geschäftsführer des Braunschweiger IT-Systemhauses Netzlink Informationstechnik GmbH erläutert, wie das Zusammenspiel gelingt – und wo Stolpersteine lauern.

E-Health – hinter diesem viel zitierten Stichwort verbirgt sich ein Sammelbegriff für den Einsatz digitaler Technologien im Gesundheitswesen. Ob Gesundheitsportale, Videosprechstunden / Telemedizin, digitale Arztbriefe, elektronische Medikationspläne und Notfalldaten, Rezept per App, elektronische Patientenakten oder Vitaldatenüberwachung mit Wearables - die modernen Gesundheitskonzepte versprechen u. a. einfachere Diagnosen, eine verbesserte Vorbeugung, Behandlungen, Überwachung und eine effizientere Verwaltung. Dass sowohl Leistungsempfänger als auch Leistungsnehmer von diesen Weiterentwicklungen eines vernetzten Gesundheitssystems profitieren können, steht außer Frage. „Dass dies mitunter jedoch mit erheblichen Anstrengungen für die beteiligten Organisationen verbunden ist, um die hohen Datenschutzanforderungen auch unter IT-Sicherheitsgesichtspunkten zu erfüllen, kommt im öffentlichen Diskurs zum Thema „E-Health“ häufig zu kurz“, weiß Sven-Ove Wähling. „Denn medizinische Gesundheitseinrichtungen bewegen sich in diesem Transformationsprozess in einem ständigen Spannungsfeld zwischen gesetzlichen Vorgaben auf der einen und der Einhaltung von Datenschutz und IT-Sicherheit auf der anderen Seite. Hinzu kommt, dass längst noch nicht alle Bereiche der Einrichtungen das hohe Datenschutzniveau der DSGVO einhalten können und bestehende Medienbrüche eine sichere elektronische Verarbeitung medizinischer Daten erschweren.“ 

DSGVO-Compliance im Gesundheitswesen

Die 2016 eingeführte und ab 2018 verpflichtend geltende Datenschutzgrundverordnung (DSGVO) stellt die Verarbeitung von genetischen, biometrischen oder sonstigen Gesundheitsdaten im Artikel 9 unter besonderen Schutz. Eine besondere Relevanz hat aktuell zudem das Infektionsschutzgesetz (IfSG) und das daraus erwachsende Meldewesen zum Schutz der Bevölkerung bei einer epidemischen Lage, aus der weitere Anforderungen für medizinische Einrichtungen hervorgehen. Bestimmte Klinikbetriebe und Multiversorgungszentren unterliegen darüber hinaus der „KRITIS“-Verordnung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zum Schutz kritischer Infrastrukturen erlassen wurde. „Der Gesetzgeber hat damit die Hürden für den Datenschutz im Gesundheitswesen bewusst sehr hoch angesetzt. Dass der Datenschutz zudem Ländersache ist und Organisationen neben bundeseinheitlichen Regelungen ebenfalls die Anforderungen lokaler Gesundheitsämter und der Aufsichtsbehörden des Landesdatenschutzbeauftragten zu erfüllen hat, schafft eine überaus komplexe Gemengelage – insbesondere für medizinische Versorgungseinrichtungen und Klinikverbände, die überregional bzw. über Landesgrenzen hinaus tätig sind“, so Netzlink Geschäftsführer Sven-Ove Wähling weiter, der sich mit seinem Team im Auftrag des Bundesministeriums für Gesundheit (BMG) u. a. für die Themen Datenschutz und IT-Sicherheit des unter Federführung des Helmholtz-Zentrums für Infektionsforschung (HZI) geleiteten Bundesprojektes „SORMAS“ zur Eindämmung der SARS-COV-2 Pandemie verantwortlich zeichnet.

Datenschutz nicht ohne IT-Sicherheit und umgekehrt

Wie kann eine Organisation im Gesundheitswesen also sicherstellen, zum einen die strengen Vorgaben beim Schutz medizinischer Daten zu erfüllen, aber gleichzeitig die elektronische Kommunikation der Systeme nach außen hin zu öffnen und dabei ein einheitliches Sicherheitsniveau zu gewährleisten? „Um diesen Spagat zu bewältigen und ein ganzheitliches Datenschutz-Konzept in Gesundheitseinrichtungen umzusetzen, müssen die Disziplinen „Datenschutz“ und „IT-Sicherheit“ ineinandergreifen: Beispielsweise kann ein Datenschutzbeauftragter einer großen Anwaltskanzlei zwar bestehende Mängel aufzeigen oder auch benötigte Datenschutzdokumente für die Dokumentationspflichten gegenüber Aufsichtsbehörden erstellen, doch bleiben technologische Gesichtspunkte und damit ein wichtiger  Bestandteil der unternehmerischen Zielstellung dabei weitgehend unberührt. Es erfordert hier zwingend einen interdisziplinären Ansatz, der etwa auch granulare Berechtigungs- und Löschkonzepte, Absicherung von Netzwerken mit Datenspeichern, Verschlüsselung der Übertragung medizinischer Daten oder die Vermeidung von Schadcodes bei der Anbindung von Gesundheits-Apps sicherstellt. Dem Damoklesschwert der Datenschutz-Verletzungen kann man nur zuverlässig begegnen, wenn man beide Welten beherrscht und in seinem Lösungsansatz vereint. In vielen medizinischen Einrichtungen existieren zwar beide Kompetenzbereiche, doch interagieren diese aufgrund unterschiedlicher Blickwinkel und Verantwortlichkeiten nicht immer im Sinne des gewünschten Ergebnisses“, führt Sven-Ove Wähling aus. 

Ausgestaltung und Weiterentwicklung der DSGVO

Die Datenschutzgrundverordnung ist kein starres Regelwerk. Sie „lebt“ und wird aktiv weiter ausgestaltet, um den Gegebenheiten des dynamischen Marktes besser Rechnung tragen zu können. Das Standard Datenschutzmodell (SDM), das von den Datenschutzaufsichtsbehörden entwickelt und aufgesetzt wurde, sieht die regelmäßige Erweiterung um neue Bausteine vor, die von den Gesundheitsämtern, Schnittstellenbetreibern und medizinischen Einrichtungen umzusetzen sind. Diese Methode dient schließlich dazu, eine einheitliche Datenschutzberatungs- und Prüfpraxis insbesondere mit Bezug auf die technisch-organisatorischen Maßnahmen (TOM) der DSGVO sicherzustellen. So regelt beispielsweise der im Herbst 2020 veröffentlichte Baustein „Löschen und Vernichten“ die Anforderungen an das Löschkonzept: Wann werden Daten gelöscht, wie hat die Löschung zu erfolgen, welche Daten werden gelöscht und wie wird dies dokumentiert? Und wie gehe ich mit den Log-Einträgen um, damit eine größtmögliche Mandantentrennung (z. B. zwischen den einzelnen Gesundheitsämtern) gewährleistet bleibt? Für viele medizinische Einrichtungen bedeutet es bereits eine große Herausforderung, die bestehenden Vorgaben der DSGVO in allen betroffenen Bereichen anzuwenden. Um aber auch neue Entwicklungen und Vorgaben einzuarbeiten, bedarf es gut geschulter Spezialisten, die die Anforderungen der jeweiligen Aufsichtsbehörden und praxisbewährte Lösungsansätze genauestens kennen.

Integriertes Leistungspaket für Beratung und Umsetzung

Die Datenschutz-Anforderungen in Krankenhäusern, medizinischen Versorgungszentren, Pflegeheimen oder niedergelassenen Arztpraxen unterscheiden sich abseits der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen im Grundsatz nicht sehr voneinander, da der effektive Schutz von Gesundheitsdaten nicht von der Größe der Versorgungseinrichtung abhängt. Da in allen diesen Bereichen sensible Gesundheitsdaten verarbeitet werden, legt Netzlink für seine Kunden aus dem Gesundheitswesen einheitliche Qualitätsstandards an den Datenschutz und die IT-Sicherheit zugrunde. Dazu hat das Braunschweiger IT-Systemhaus ein strukturiertes, mit den Aufsichtsbehörden auf Landes- und Bundesebene abgestimmtes Vorgehen entwickelt. Darin werden die Compliance-Anforderungen auf der einen und die individuellen Organisationsvorgaben auf der anderen Seite berücksichtigt und der Organisation als Komplettpaket für die Realisierung eines bestimmten Datenschutz- und Sicherheitsniveaus angeboten. Auch im Gesundheitswesen tätigen Cloud-Betreibern und Managed-Service-Anbietern kommen die integrierten Dienstleistungen vermehrt zugute. Diese umfassen nicht nur die Expertise aus Datenschutz und IT-Sicherheit als eine Einheit, sondern beinhalten auch direkt die erforderliche Übersetzung in die Logik der Softwareentwicklung via „CI/CD Pipeline“ und „DevOps“ zur reibungslosen Zusammenarbeit zwischen Softwareentwicklung und IT-Betrieb.

 

Quelle:Netzlink Informationstechnik GmbH
Foto: Adobe Stock / NicoElNino


Lesen Sie mehr zum Thema "Special KRITIS"

Krankenhäuser reagieren auf Bedrohung durch Attentate
Special KRITIS
Kritische Infrastruktur
Marktübersicht Sicherheits-Software
Special KRITIS
Special KRITIS

Lesen Sie hier die neuesten Beiträge

Wearables – eine komplexe Technologie
IT-Management
Wearables