Datenschutz und Informationsssicherheit im Gesundheitswesen

Bei Unternehmen der Gesundheitsversorgung haben der Datenschutz und die Informationssicherheit eine besondere Bedeutung, da die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gesundheitszustand der Patienten in einem besonders sensiblen Bereich erfolgen.

Neben den Bestimmungen zu besonderen Arten personenbezogener Daten des Bundesdatenschutzgesetzes (BDSG) gilt hier auch die Geheimhaltungspflicht, die für nicht ärztliches Personal gilt. Hier trifft der Datenschutz auf die ärztliche Schweigepflicht. Ein Verstoß gegen die Vertraulichkeit der erhobenen Informationen ist gemäß Strafgesetzbuch mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bedroht. Darüber hinaus steht Patienten ggf. ein Anspruch auf Schadensersatz zu.

Durch die zunehmende automatisierte Verarbeitung von Patientendaten in den Krankenhausinformationssystemen (KIS) und die Vernetzung dieser Systeme mit zahlreichen weiteren Systemen, z.B. Patientenaktensystemen (PAS) und Laborinformationssystemen (LIS), oder sogar mit dem Internet steigt das Risiko von Verstößen gegen die strengen rechtlichen Auflagen. Dies beginnt bei der Patientenaufnahme und setzt sich über die Anamnese, den Befund, die Behandlung und Pflege bis hin zur Entlassung und Abrechnung sowie der Archivierung der Daten fort. Für die Organisation des Gesundheitswesens hat dies zur Folge, dass alle notwendigen Maßnahmen ergriffen werden müssen, um personenbezogene Daten vor der Kenntnisnahme durch Unbefugte zu schützen.

Geheimhaltung bei der Eingabe, Verarbeitung oder Nutzung von Daten ist in allen Bereichen des Unternehmens sicherzustellen. Es ist empfehlenswert, ein Informationssicherheitsmanagementsystem (ISMS) im Sinne der ISO 27000er-Normenfamilie in das Datenschutzkonzept zu integrieren. Dies betrifft z.B. die Positionierung von Computerbildschirmen, Telefonen oder Aufnahmetresen, den Zugriffsschutz auf die Daten im KIS unter Funktionstrennungsaspekten oder auch die drahtlose Übertragung von Daten im Rahmen der mobilen Visite. Für den Bereich der KIS wurde die im Jahr 2011 erstmals erschienene „Orientierungshilfe Krankenhausinformationssysteme (OH-KIS)“ durch die Datenschutzbeauftragten des Bundes und der Länder sowie kirchliche Datenschutzbeauftragte und die dafür eingesetzte Arbeitsgruppe mit erhöhtem Praxisbezug überarbeitet und in der aktuellen Fassung im März 2014 veröffentlicht.

Roever Broenner Susat Mazars ist Ihr Partner für Datenschutz und Informationssicherheit im Gesundheitswesen. Durch die jahrzehntelange einschlägige Branchenerfahrung unserer Spezialisten im Bereich des Gesundheitswesens sowie unser umfassendes Know-how in den Bereichen Informationssicherheit und Datenschutz helfen wir Ihnen dabei Ihre Risiken zu beurteilen und wirtschaftlich zu minimieren. Wir haben daher für Unternehmen im Gesundheitswesen eine risikoorientierte Kurzanalyse der bestehenden Konzepte und Maßnahmen zum Datenschutz und der Datensicherheit entwickelt, um zu ermitteln, ob die branchenübliche Compliance und das notwendige Maß an Risikominimierung erreicht werden: den Datenschutz- und Datensicherheitscheck (DuD-Check.

Der DuD-Check stellt einen pragmatischen Ansatz zur Standortbestimmung der Sicherheit der Informationen Ihres Unternehmens mit für das Management nachvollziehbaren Bewertungskriterien dar. Er richtet sich risikoorientiert nach dem konkreten Schutzbedarf Ihres Unternehmens und ist mit einem geringen Aufwand von nur wenigen Tagen verbunden. Unsere Vorgehensweise bei einer Erstanalyse des Datenschutzes und der Datensicherheit im Unternehmen erfolgt mittels Gesprächen mit den Verantwortlichen in Ihrem Unternehmen, Inaugenscheinnahme der vorhandenen Sicherheitsvorkehrungen, Sichtung von Dokumentationen sowie Analyse von relevanten Daten und Systemeinstellungen. Zur Beurteilung der Ergebnisse greifen wir auf unser branchenspezifisches fachliches und technisches Know-how aus zahlreichen Beratungs- und Prüfungsprojekten zurück und vergleichen diese mit Best Practices (z.B. OH-KIS, ISO 27001, BSI IT-Grundschutz) und branchenspezifischen Benchmarks.

Im Rahmen des DuD-Checks werden Schwachstellen identifiziert und in transparente Risikokategorien eingeordnet. Im abschließenden Beurteilungsbericht werden alle Sachverhalte und festgestellten Mängel detailliert aufgeführt, bewertet und entsprechende Empfehlungen und Maßnahmen dokumentiert und priorisiert.

Im Nachgang zur Analyse unterstützen wir Sie gern auch bei der organisatorischen, technischen und operativen Umsetzung der Maßnahmen bis hin zur Bereitstellung eines externen Datenschutzbeauftragten (DSB) und Informationssicherheitsbeauftragten (ISB). Wir gestalten mit Ihnen Ihre Strategien, Prozesse und Systeme unter Berücksichtigung von Best Practices sowie branchenspezifische Anforderungen.

Unsere Dienstleistungen auf einen Blick ƒ

  • Kurzanalysen zum Datenschutz und zur Datensicherheit (DuD-Check) ƒ 
  • Schutzbedarfs- und Risikoanalysen ƒ 
  • Branchenspezifisches Benchmarking ƒ 
  • Entwicklung von Datenschutz- und Sicherheitsrichtlinien ƒ 
  • Entwicklung und Erstellung von Datenschutzkonzepten ƒ 
  • Aufbau von Informationssicherheitsmanagementsystemen (ISMS) ƒ 
  • Umsetzung von Maßnahmen nach OH-KIS, ISO 27000 ff. und BSI IT-Grundschutz ƒ 
  • Erstellung von IT-Notfallmanagementkonzepten ƒ 
  • Vorbereitung auf Informationssicherheitszertifizierungen ƒ 
  • Durchführung von Schulungs- und Sensibilisierungsmaßnahmen ƒ 
  • Stellung eines externen Datenschutzbeauftragten (DSB) ƒ Stellung eines externen Informationssicherheitsbeauftragten (ISB)

Share