IT-Sicherheit
Das Arbeitsumfeld muss sich anpassen
Mit jeder digitalen Komponente erhöht sich auch das Sicherheitsrisiko im Krankenhaus. Doch wenn Personal und Technik keine Einheit bilden, nützen auch Vorschriften und Leitfäden wenig. Nur wenn die IT-Sicherheit zum Rückgrat der digitalen Transformation wird, sind Daten und Patienten auch sicher.
Lange Zeit war es ruhig um die Datenschutz-Grundverordnung (DSGVO). Doch seit Herbst letzten Jahres kommt wieder Wind in die Debatte um die Verordnung. Laut eines Berichts von Heise hat die örtliche Datenschutzbehörde CNPD die erste europaweit substanzielle Geldstrafe wegen eines Verstoßes gegen die DSGVO verhängt. Der Onlinedienst selbst beruft sich in seinem Artikel auf die portugiesische Zeitung Público. Demnach soll das Krankenhaus Barreiro Montijo in Barreiro bei Lissabon insgesamt 400.000 Euro Strafe zahlen, unter anderem, weil zu viele Personen Zugriff auf Patientendaten gehabt hätten. Wie eine portugiesische Tageszeitung erläutert, habe der Krankenhausbetreiber bewusst dafür gesorgt, dass Nutzer mit dem Profil »Techniker« in den IT-Systemen auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein dürfen. Das sei bei einem Test ermittelt worden, in dessen Rahmen solch ein Profil mit unbegrenztem Zugang erstellt werden konnte. Darüber hinaus seien in dem System insgesamt 985 aktive Benutzer mit einem Profil »Arzt« registriert, obwohl 2018 lediglich 296 Ärzte eingeteilt worden seien. Das Krankenhaus habe die Diskrepanz mit temporären Profilen im Rahmen eines Dienstleistungsvertrags zu erklären versucht. Das Krankenhaus weise die Vorwürfe zurück und wolle gerichtlich gegen das Bußgeld vorgehen.
Dabei ist es eigentlich keine Überraschung, dass es ausgerechnet ein Krankenhaus trifft. Zwar war das Vorgehen der Einrichtung durchaus fahrlässig, allerdings darf man die Summe der Herausforderungen nicht außen vorlassen. »Mit steigendem Vernetzungs- und Verbreitungsgrad von smarten Medizinprodukten ist davon auszugehen, dass sich nicht nur das Produkt- und Anwendungsportfolio erhöht, sondern auch das Risiko eines Cyber-Angriffs größer wird, verbunden mit einer möglichen Gefährdung der Patientensicherheit«, schreibt etwa das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebricht zur IT-Sicherheit in Deutschland. Die wachsende Anzahl an Endpunkten, die besonders strengen Vorgaben im Healthcare-Sektor und vielfältige Anforderungen für das Patientenwohl und an das Fachpersonal sind wichtige Punkte, die Organisationen im Gesundheitswesen unter einen Hut bringen müssen. Die Erwartungen sind durch die digitale Integration deutlich gestiegen. Organisationen im Healthcare-Sektor müssen ihre IT-Infrastruktur entsprechend anpassen.
Neben der veränderten Bedrohungslage gelten für viele Einrichtungen zudem strenge Vorgaben, was die Melde- und Informationspflichten angeht. Die meisten Organisationen fallen laut des IT-Sicherheitsgesetzes unter den Begriff »Kritische Infrastruktur« (KRITIS). Außerdem gilt die Datenschutz-Grundverordnung (DSGVO) und gibt eine umfangreiche Definition zur Nutzung von persönlichen Daten vor. In der Verordnung heißt es wörtlich: »Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die sich auf den Gesundheitszustand einer betroffenen Person beziehen, außerdem Informationen über die Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die betreffende Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer einer Gesundheitsleistung für die betroffene Person sowie Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.«
Mehr als nur smartes Equipment
Um die Vorteile neuer Innovation sinnvoll und ohne Risiko nutzen zu können, muss das Arbeitsumfeld an das Personal und die Anforderungen in Gesundheitseinrichtungen angepasst sein. In den meisten Einrichtungen wird bereits auf Cloud-Technologie zurückgegriffen: Workstations, Clients und medizinische Geräte arbeiten im Idealfall als vernetztes Ökosystem – allerdings muss dies erst durch die IT-Abteilungen aufgebaut werden. Für die wird es immer schwieriger, ohne einheitliche Management-Plattform alle Geräte richtig zu verwalten. Zudem müssen sie gewährleisten, dass die medizinischen Geräte immer verfügbar sind und Informationen mit den Workstations ausgetauscht werden können. Aus Sicherheits- und Compliance-Gründen können daher nur vergebene Standards und Schnittstellen der Hersteller verwendet werden, um mit den Eingabegeräten wie Thin Clients zu kommunizieren.
- Das Arbeitsumfeld muss sich anpassen
- »Digitalisierung nicht auf Kosten der Sicherheit«
Lesen Sie mehr zum Thema
