Startseite > Medizintechnik > E-Health > Smart heißt nicht zwangsläufig sicher

Elektronische Patientenakte

Smart heißt nicht zwangsläufig sicher

6. November 2018, 15:17 Uhr | Karsten Glied

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

DSGVO in der Sozialbranche

Seit Mai 2018 gibt es nochmals strengere Regeln zum Schutz von personenbezogenen Daten. Mit der Datenschutzgrundverordnung gehen hohe Ansprüche an die Sicherheit von Informationen einher, ebenso wie umfangreiche Sanktionen bei Missachtung. Eine Besonderheit betrifft jedoch Einrichtungen mit einer kirchlichen Trägerschaft, denn Kirchen unterliegen dem Selbstverwaltungsrecht. Somit steht es ihnen bei der Umsetzung der DSGVO frei, eigene Wege zu gehen – mit eigenen Weisungen und einem Instrumentenkatalog sollen aber Beauftragte den kirchlichen Datenschutz sowohl auf katholischer Seite (KDO/KDG) als auch auf evangelischer (DSG-EKD) durchsetzen. Für kirchliche Einrichtungen der Sozial- und Gesundheitswirtschaft heißt es daher, die Weisungen aus der DSGVO in interne Abläufe zu integrieren.

Einige allgemeine Aspekte bleiben aus dem bisher gültigen Bundesdatenschutzgesetz erhalten, das betrifft beispielsweise die Verfügbarkeitskontrolle, also die Sicherung der Daten gegen Zerstörung oder Verlust. Die Beweispflicht für die Umsetzung der datenschutzrechtlichen Vorgaben hingegen liegt erstmalig bei Unternehmen und Einrichtungen. Ein spannender Knackpunkt ist auch § 32 (1) b in der DSGVO. Hier geht es darum, dass die Robustheit und Resilienz von technischen IT-Systemen als Schutzziel eingeführt wird. Belastbare IT-Systeme müssen demnach Vertraulichkeit gewährleisten können. Die DSGVO betont damit noch einmal den Zusammenhang von technischer IT-Sicherheit und Datenschutz. Somit wären auch veraltete IT-Systeme ein Verstoß gegen den Datenschutz.

FAQ: Datenschutz-Grundverordnung (DSGVO)
Die Schonfrist ist vorbei: Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung. Sie soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Nicht nur die großen Tech-Konzerne müssen sich anpassen, auch auf die Medizin kommen grundlegende Veränderungen zu. mehr

Im Visier der Hacker

Bereits seit einiger Zeit steht das Gesundheitswesen im Fadenkreuz von Cyberkriminellen. Medizinische Einrichtungen müssen überzeugende Antworten darauf finden, wie sie Krankenhaus-IT und sensible Patientendaten besser schützen können. Der erste Schritt auf Seiten der Gesundheits- und Sozialwirtschaft muss daher die Erkenntnis sein, dass die IT ein Angriffsziel und somit schutzbedürftig ist: Institutionen müssen systematisch Gegenmaßnahmen ergreifen. Millionen von Patientenakten und medizinischer Unterlagen stellen Krankenhäuser und Einrichtungen vor eine große Herausforderung. Diese Datensätze sind für Kriminelle äußert attraktiv, zumal sie beim Großteil der deutschen Krankenhäuser unverschlüsselt vorliegen.

Dabei gibt der Gesetzgeber eine klare Richtung vor: Das Bundesamt für Sicherheit in der Informationstechnik hat hierzu die »IT-Grundschutz-Kataloge« verfasst. Hinzu kommt die Einführung der DSGVO, deren Schutzmaßnahmen verpflichtend sind. Aber was kann die Lösung dieses Dilemmas sein? Die Antwort ist vor allem von der Frage nach der Relation geprägt: Wie verhält sich die Sicherheit der elektronischen Patientenakten zu der der Papierakten? Vielfach kommunizieren Ärzte heute noch per Fax. Doch seit der All-IP-Umstellung der Telekom, handelt es sich bei diesen Übertragungswegen ebenfalls um unverschlüsselte Datenleitungen – so fällt auch hier die vermeintlich sichere Übermittlung von Informationen weg. Mit digitalen Mitteln, wie etwa der elektronischen Patientenakte, profitieren Akteure neben der Sicherheit beim Datentransfer auch von der Effizienzsteigerung alltäglicher Arbeitsabläufe.

Hand in Hand

Bislang behindern vorgeschobene Datenschutzbedenken einen Ausbau der Digitalisierung im Gesundheitssektor. Denn trotz jahrelanger Diskussionen kommen die Entwicklungen der elektronischen Gesundheitskarte und die der digitalen Patientenakte aufgrund divergierender Interessen der Beteiligten nicht voran. Die sich so langsam entwickelnde Digitalisierung in der Gesundheitsbranche ist besonders fatal, denn hier liegt viel Potenzial verborgen. Privatanbieter nutzen die Lücke und strömen auf den Markt der Gesundheitsakten – viele verschiedene Systeme erschweren dann die Übertragung von Informationen. Eine Investition in mehr digitalisierte und einheitliche Prozesse lohnt sich demnach langfristig [4].

Obwohl die Digitalisierung zurzeit nur langsam vorangeht, kommt sie mit Sicherheit trotz all ihrer Cybergefahren auf die Gesundheitsbranche zu. Daher ist jetzt die geeignete Zeit dafür, ein IT-Sicherheitskonzept aufzustellen, um vorbeugende Maßnahmen zu ergreifen. Die technischen Möglichkeiten für eine effektive Sicherung der Daten sind bereits gegeben. Und auch die Manpower in Form von Fachleuten steht längst bereit. Mithilfe der dezentralen Blockchain-Technologie ließe sich die Übertragung von Informationen verschlüsseln und anonymisieren – sie liefert die Antwort auf die von vielen Seiten lange bekämpfte zentrale Speicherung von Daten. Sogenannte Smart Contracts, die auf der innovativen Technologie basieren, übermitteln Informationen, die nur für den Empfänger und den Sender decodierbar sind. Eine anbietergesteuerte Plattform oder eine menschliche Schnittstelle entfällt. Blockchain ermöglicht ein dezentrales, herstellerunabhängiges Verwalten der eigenen Daten, Monopolstellungen von Anbietern ließen sich so auflösen. Datenschutz und E-Health müssen Hand in Hand gehen, um die medizinische Versorgung langfristig und effektiv zu verbessern.

Quellen

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2017.pdf?__blob=publicationFile&v=3 (2017).

[2] »Cyber Security Intelligence Index 2016« von IBM Security: https://www.-01.ibm.com/marketing/iwm/dre/signup?source=ibm-

[3] https://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html

[4] Roland Berger Krankenhausstudie 2017; http://www.stiftung-muench.org/studie-zur-elektronischen-patientenakte-im-ausland-klare-vorgaben-des-gesetzgebers-sind-voraussetzung-fuer-erfolgreiche-implementierung/