News zum „Patientendaten-Schutz-Gesetz“

Anforderungen an die IT-Sicherheit in Krankenhäusern nach dem Patientendaten-Schutz-Gesetz

Beim „Patientendaten-Schutz-Gesetz“ handelt es sich um ein Artikelgesetz, das gleichzeitig mehrere Gesetze ändert. Im Wesentlichen wurden im PDSG bestimmte Passagen des Fünften Buches des Sozialgesetzbuches (SGB V) zur gesetzlichen Krankenversicherung geändert (vgl. Art. 1 PDSG) und u. a. ein eigenes Kapitel für die Telematikinfrastruktur (TI) eingeführt (Elftes Kapitel, §§ 306 ff. SGB V). Kleinere Änderungen wurden zudem im Apothekengesetz, im Krankenhausentgeltgesetz, im Elften Buch des Sozialgesetzbuches (SGB XI), im Transplantationsgesetz, der Bundespflegesatzverordnung und der Strafprozessordnung vorgenommen.

Das PDSG fasst insbesondere die Regelungen im SGB V zur TI und den Anwendungen der TI neu. Eine große Rolle spielt hierbei auch die Einführung des neuen § 75c SGB V. Bisher mussten nur Krankenhäuser, welche in die Klasse der „Kritischen Infrastruktur“ – gemäß den Schwellenwerten der Bundesverordnung zur Bestimmung Kritischer Infrastrukturen (KritisV) – fielen, Informationssicherheit nach einem bestimmten Standard betreiben. Nach der neu eingeführten Regelung des § 75c SGB V werden ab dem 1. Januar 2022 auch Krankenhäuser, die nicht zur „Kritischen Infrastruktur“ gehören, verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Gemäß der neuen Regelung sind die organisatorischen und technischen Vorkehrungen dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht (§ 75c Abs. 1 Satz 2 SGB V). Der Gesetzgeber weist gleichzeitig darauf hin, wie die Lösung von eventuellen Komplikationen im Zusammenhang mit der Umsetzung der angepassten Anforderungen an die Informationssicherheit und den gesetzlichen Datenschutz umgesetzt werden kann: Die Krankenhäuser können sich an den sog. Branchenspezifischen Sicherheitsstandard (B3S) für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung halten. Dazu wird insbesondere auch die Herleitung des Nachweises zur Compliance leicht gemacht, da hier gleich auf die Feststellung der Eignung dieses Standards durch das Bundesamt für Sicherheit (BSI) in der Informationstechnik nach § 8a Abs. 2 des BSI-Gesetzes verwiesen wird. Der letzte Absatz (3) des neuen § 75c SGB V weist klarstellend darauf hin, dass die neue Verpflichtung für alle Krankenhäuser gilt, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes entsprechende Sicherheitsvorkehrungen zu treffen haben.

Branchenspezifischer Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus

Der B3S ist ein recht umfangreiches Dokument mit Anforderungen an die IT, insbesondere an die IT-Sicherheit, welcher sich an der in der Praxis etablierten Norm DIN EN ISO/IEC 27001, dem „Stand der Technik“ sowie den darüber hinausgehenden branchenspezifischen Anforderungen der Norm DIN EN ISO/IEC 27799 und den für den Geltungsbereich relevanten wesentlichen Risiken orientiert. Dabei wird eine offizielle Zertifizierung des Informationssicherheitsmanagementsystems (ISMS) nach diesen Normen als Nachweis der notwendigen Maßnahmen explizit nicht gefordert. Allein aber die Umsetzung der Anforderungen des B3S macht den Aufbau eines ISMS nach ISO 27001 erforderlich.

Neben den grundlegenden Anforderungen des B3S an den Betrieb von „Kritischen Infrastrukturen“ (3.2.1 – Maßnahmen zur Aufrechterhaltung des Versorgungsniveaus, 3.2.2 – Einrichten einer Kontaktstelle für das BSI und 3.2.3 – Aufbau von Meldeprozessen für Störungen oder Ausfälle an das BSI) empfiehlt der Standard auch eine bestimmte Vorgehensweise zur dessen Umsetzung (3.3). Es definiert die Schutzziele (3.5 – Vertraulichkeit, Integrität und Verfügbarkeit) und definiert im Abschnitt 4 eine auf ISO 27005 basierende Methodologie zum Risikomanagement. Die branchenspezifischen Ziele und Anforderungen an die Informationssicherheit werden im Abschnitt 5.3 festgelegt, welche in einem verbindlichen Dokument, der Leitlinie zur Informationssicherheit des Unternehmens (5.4), ausdefiniert werden müssen. Die Abschnitte 6 und 7 beschreiben daraufhin die branchenspezifische Gefährdungslage und die Anforderungen und Maßnahmenempfehlungen zur Umsetzung im Detail. Die aus der Europäischen Datenschutz-Grundverordnung (EU DS GVO) stammenden Themen des gesetzlichen Datenschutzes – Schutz der Persönlichkeitsrechte der Betroffenen bei der Verarbeitung ihrer personenbezogenen Daten – kommen hier ebenfalls nicht zu kurz. Die Rahmenbedingungen und Quellen, auf deren Grundlage der B3S für die Gesundheitsversorgung im Krankenhaus basiert, sind überblicksweise in der Abbildung dargestellt.

Hier finden Sie Details zur Quelle.

Zwischenfazit

Zusammenfassend lässt sich festhalten, dass alle Krankenhäuser ab dem 1. Januar 2022 den B3S für die Gesundheitsversorgung im Krankenhaus umsetzen müssen. Schaut man in diesen Standard hinein, wird man unschwer erkennen, dass man dessen Umsetzung nicht einfach neben dem Tagesgeschäft laufen lassen kann. Die damit zusammenhängenden Aufwände können je nach aktuellem Stand der Technik im Unternehmen recht immens werden. Daher empfehlen wir, die Umsetzung so bald wie möglich anzugehen.

Das Informationssicherheitsmanagementsystem nach ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) nach DIN EN ISO/IEC 27001 ist auf dem Prinzip der Troika aus Governance + Risk Management + Compliance (GRC) aufgebaut. Es definiert aber auch über die Anforderungen an eine verlässliche Governance, an eine Methodologie für das Risikomanagement (ISO 27005) und an die Compliance hinausgehende Anforderungen an die mindestens erforderliche Aufbau- sowie eine effektive Ablauf-Organisation. Dabei liefern die Folgestandards ISO 27002 und ISO 27003 konkrete Umsetzungsvorschläge und Vorgehensweisen, wie ein ISMS beschaffen sein soll. Grundsätzlich ist ein ISMS dazu bestimmt, besonders schützenswerte Anlagen eines Unternehmens bzw. solche, die einem Unternehmen durch dessen Kunden anvertraut wurden, mit angemessenen Mitteln und Maßnahmen gegen das Nichterreichen von Sicherheitszielen, in der Regel Vertraulichkeit, Integrität und Verfügbarkeit, zu schützen. Diese Anlagen können neben den Daten/Informationen auch IT-Systeme oder deren Bestandteile (z. B. betriebliche oder technische Infrastruktur, Hardware oder Software) sein; insbesondere aber auch das Personal samt dessen Zugriffsberechtigungen auf die Daten. Zu den klassischen Themen der IT-Sicherheit, wie IT-Betrieb, Netzwerkorganisation, Berechtigungsverwaltung und die Handhabung von Vorfällen, kommen auch Aspekte der physikalischen Sicherheit der Standorte, Gebäude und Räumlichkeiten, der Lieferantenbeziehungen, des Business Continuity Managements und der Compliance hinzu. Die Bestandteile eines ISMS nach ISO 27001 sind in der Abbildung dargestellt.

Hier finden Sie Details zur Quelle.

Förderfähigkeit der Vorhaben zur Stärkung der Informations- und IT-Sicherheit durch das Krankenhauszukunftsgesetz (KHZG)

Das relativ neue Krankenhauszukunftsgesetz (KHZG) definiert mehrere Fördertatbestände für Vorhaben, welche durch das Bundesministerium für Gesundheit und die Bundesländer gefördert werden können. Der Fördertatbestand 10 zielt dabei genau auf solche Projekte ab und stellt die finanzielle Unterstützung für die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren. Es können organisatorische und technische Vorkehrungen getroffen werden, um Störungen zu vermeiden und die Funktionsfähigkeit der IT-Systeme zu sichern. Dabei ist insbesondere zu beachten, dass bei jedem förderfähigen Projekt (auch zu anderen Fördertatbeständen) mindestens 15 % der Kosten für die Verbesserung der IT- und Informationssicherheit aufgewendet werden müssen.

Unterstützung durch Mazars

Mazars verfügt über ausreichende Ressourcen mit entsprechenden organisatorischen, fachlichen und technischen Qualifikationen, um Sie bei der Planung, der Definition, der Umsetzung und der Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach Vorgaben und Anforderungen der entsprechenden Internationalen Norm DIN EN ISO/IEC 27001 zu unterstützen. Unsere auf diesem Fachgebiet einschlägig erfahrenen Berater und Prüfer setzen gern gemeinsam mit Ihrem zuständigen Personal entsprechende Projekte auf und begleiten sie bis zum vollständigen Erlangen des Nachweises der Compliance mit dem B3S, damit Ihre Einrichtung den angepassten Anforderungen des § 75c des Fünften Sozialgesetzbuches entspricht. Unsere auf dem Gebiet des Medizinrechts erfahrenen Juristen arbeiten bereits heute bei mehreren Mandanten daran, die Vorhaben so zu konzipieren, dass die Förderfähigkeit der Projekte nach dem KHZG gewährleistet werden kann.

Eine Umsetzung des nicht zu unterschätzenden Vorhabens in Ihrer Einrichtung kann bespielhaft, entsprechend den detaillierten Anforderungen des B3S für die Gesundheitsversorgung im Krankenhaus, wie folgt aussehen:

Hier finden Sie Details zur Quelle.

Haben Sie Fragen oder weiteren Informationsbedarf?