Wir können Gesundheit

Informationssicherheit im Gesundheitswesen – Lösungen statt Probleme

1. Treffen 2020 der Initiative für Informationssicherheit im Gesundheitswesen

Institut für Sicherheit und Datenschutz im Gesundheitswesen am 09.03.20

Teilnehmer der Initiative im Austausch, Foto: DATATREE AG

Am Freitag den 28. Februar 2020 trafen sich Verantwortliche für Informationssicherheit und Datenschutz aus dem Gesundheitswesen am Dortmunder Standort der DATATREE AG. Thema der Veranstaltung: Dienstleister-Audits. Hier gilt es strenge gesetzliche wie normative Anforderungen umzusetzen. Die Durchführung der Dienstleister-Audits stellt die meisten Beteiligten allerdings vor große Herausforderungen.

Mit Dienstleister-Audits verhält es sich ähnlich wie generell mit den Themen Datenschutz und Informationssicherheit: Erst wenn Unternehmen gesetzlich dazu verpflichtet sind, beginnen sie aktiv zu werden. Häufig zu spät – denn genau das ist der falsche Ansatz. „Betrachten wir die funktionelle Besetzung des Informationssicherheitsbeauftragten (ISB)“, startet Professor Doktor Thomas Jäschke, Initiator der Veranstaltung, in seiner Keynote an diesem Tag. „Die Pflicht zur Bestellung eines ISB ist nicht konkret im Gesetz aufgeführt, sondern eher transitiv.“ Krankenhäuser, die zu den sogenannten KRITIS-Einrichtungen gehören, sind verpflichtet ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und damit auch einen Verantwortlichen für das Thema zu benennen. Diese Rolle kann nur der Informationssicherheitsbeauftragte (ISB) abbilden.

Aktiv werden immer erst Akteure, die gesetzlich in der Pflicht sind

Zunächst werden hier nur die KRITIS-Unternehmen tätig. Allerdings benötigen auch NICHT-KRITIS Einrichtungen einen Verantwortlichen sowie ein funktionierendes ISMS. Zum einen ist zu erwarten, dass demnächst die Schwellwerte für KRITIS-Einrichtungen herabgesetzt werden. Zum anderen haben auch Nicht-KRITIS-Einrichtungen ein großes Problem, wenn beispielsweise aufgrund fehlender Notfallmaßnahmen die Patientenversorgung nicht sicherstellen werden kann. Auch wenn wir in Bezug auf KRITIS häufig die reine Ausfallsicherheit von IT-Anlagen meinen, dürfen wir den sicheren Betrieb des Notstromaggregats oder einer funktionierenden Sauerstoffversorgung nicht außer Acht lassen

Dienstleister sind mit in der Verantwortung

Und so sind Dienstleister schnell mit in der Verantwortung des Geschäfts- oder Produkterfolgs, sprich in der Pflicht für den Datenschutz und die Informationssicherheit.
Gesundheitseinrichtungen müssten ansonsten jedes einzelne System, das sie betreiben durchleuchten und bis zur technischen Ebene überprüfen – praktisch nicht umsetzbar. Unternehmen müssen ihren Dienstleistern demnach vertrauen. Selbst, wenn sich Dienstleister zertifizieren lassen, ist das noch lange nicht die Garantie für einen konformen Umgang mit Daten. Auftraggeber bleiben in der Prüfpflicht – das ist ressourcenzehrend. Abhilfe schafft die gemeinsam initiierte Audit-Community.

Risikomanagement wird falsch priorisiert

Ein weiterer Punkt auf der Agenda ist das Thema Risikomanagement in Gesundheitseinrichtungen. Häufig werden in der Praxis falsche Prioritäten gesetzt. Erste Maßnahme sollte nichtsein, dass ein möglichst komplexes Tool beschafft wird. Ein komplexes Tool bringt nämlich auch eine komplexe Einführung mit sich. Besser ist hier: Eine solide Basis schaffen und die Risiken ermitteln, die den eigenen Kernprozess bedrohen. Anschließend sollten sich Fragen gestellt werden, wie: „Was benötige ich, um die Vitalfunktionen des Kernprozesses zu erhalten und durch welche Maßnahmen kann die Risiken minimieren?“ Weiter sind Gedanken zu benötigten Funktionen notwendig, die beispielsweise mein Patchmanagement unterstützen, indem sie für mich die Aufgabenverwaltung und Erinnerungen eines Aktualisierungs-Rhythmus beinhalten. Hier wurde ein Best Practice erarbeitet, die Mitgliedern der Initiative für Informationssicherheit im Gesundheitswesen zur Verfügung steht.

Das nächste Treffen der Initiative findet im Juli zum Thema Mobile Device Prüfung statt.
Weitere Themen dieses Jahr:
• Datenschutzfolgenabschätzung
• Code of Conduct Pseudonymisierung

IT im Gesundheitswesen

MedEcon Ruhr © 2020

Wir können Gesundheit
MedEcon Ruhr