DSGVO: Auch Gesundheitseinrichtungen müssen nachrüsten Transparenz über Patientendaten

7. Dezember 2017

Aktuelle und neue Gesetze, wie das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz, das zum 1. Januar 2016 in Kraft getretene E-Health-Gesetz und aktuell die EU-Datenschutzgrundverordnung (EU-DSGVO), fordern ein Umdenken. Veraltete Strukturen und schlecht geschützter Datenverkehr müssen ab sofort der Vergangenheit angehören. Um die Schwachstellen aufzudecken, muss die aktuelle IT-Umgebung des Krankenhaus-Informations-Systems (KIS) überprüft werden. Denn die Anforderungen der DSGVO schreiben hohe datenschutzrechtliche Anforderungen vor, die erfüllt werden müssen. Bei Nichterfüllung drohen hier hohe Strafen.

Schwachstellen finden

Quelle: Imprivata

Veraltete Strukturen und schlecht geschützter Datenverkehr müssen bei der IT-Umgebung von Krankenhäusern ab sofort der Vergangenheit angehören. Um die Schwachstellen aufzudecken, muss die aktuelle IT-Umgebung des Krankenhaus-Informations-Systems (KIS) überprüft werden. Denn die Anforderungen der DSGVO schreiben hohe datenschutzrechtliche Anforderungen vor, die erfüllt werden müssen. Bei Nichterfüllung drohen hier hohe Strafen. Doch auch bereits im IT-Sicherheitsgesetz wurde der „Stand der Technik“ vorgeschrieben, was ein möglichst aktuelles System voraussetzt. Doch was bedeutet das konkret? Braucht das Krankenhaus nun neue Hardware oder Software, um den Anforderungen der DSGVO zu entsprechen? Benötigen die Mitarbeiter eine Schulung, um alle Vorschriften einzuhalten?

Ein wichtiger Fokus liegt für Krankenhäuser auf dem Schutz der Patientendaten. Aus der DSGVO lassen sich einige allgemeine Vorgaben formulieren, die übergreifend für alle Gesundheitseinrichtungen gelten. Hier gilt beispielsweise der Grundsatz, dass das Erheben, Verarbeiten oder Nutzen personenbezogener Daten nur zulässig ist, wenn dafür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen vorliegt (§ 4 Abs. 1 BDSG). Alle Patientendaten bzw. Gesundheitsdaten unterliegen besonders hohen Schutzanforderungen. Um diesen zu entsprechen, müssen Vorgaben zu technischen und organisatorischen Schutzvorkehrungen erfüllt sein.

Wer diesen Vorgaben nicht gerecht wird, wird wohl eine der empfindlichsten Änderungen zu spüren bekommen: die Bußgelder. Diese werden mit der DSGVO signifikant erhöht. Aus diesem Grund sollte jede Gesundheitseinrichtung ihre Systeme und ihre Zugriffsverwaltung schnellstmöglich prüfen. Verstöße gegen die Vorgaben der DSGVO können von den Datenschutzbehörden mit Bußgeldern von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.

Sicherer Datenaustausch

Doch nicht nur das Speichern von Gesundheitsdaten, auch der Austausch mit anderen Ärzten spielt eine signifikante Rolle. Immer häufiger kommt es zu Hackerangriffen auf Gesundheitseinrichtungen, die die Häuser mit gestohlenen Daten erpressen. Um die Gefahr solcher Angriffe zu minimieren und den Schutz der Patientendaten zu gewährleisten, werden hier künftig höhere Systemanforderungen einzuhalten sein. Doch wie wird der sicherere Umgang mit sensiblen Daten im Klinikalltag umgesetzt?

Abschaffung von Gruppen-Accounts: Um das meist zeitraubende An- und Abmelden an medizinischen Terminals zu umgehen, kommt es häufig vor, dass Mitarbeiter einen gemeinsamen Account nutzen. So müssen sich die Mitarbeiter auch nur eines der komplexen Passwörter merken, anstatt viele unterschiedliche. Dabei geht allerdings die Transparenz, welcher Mitarbeiter Daten in einer Patientenakte geändert hat, verloren. Künftig verbietet die DSGVO die Verwendung von Gruppen-Accounts. Denn es muss zu jeder Zeit nachvollzogen werden können, wer zu welchem Zeitpunkt im KIS Patientendaten eingegeben, verändert oder entfernt hat. Die IT-Abteilungen müssen hier entsprechende Authentifizierungsverfahren initialisieren. Einzelne Personen dürfen nur auf die Daten zugreifen können, die für sie erforderlich sind.

Schnelles Authentifizierungs-Management: Ein einfaches und schnelles Authentifizierungs-System bringt neben den Anforderungen der DSGVO auch weitere Vorteile. Denn im Notfall spielt der schnelle Zugriff auf Patientendaten eine entscheidende Rolle. Ärzten und dem Pflegepersonal wird durch ein unkompliziertes System ein reibungsloser Arbeitsablauf ermöglicht, denn so können auch bei der Arbeit an medizinischen Geräten im Patientenzimmer und an den Terminals alle notwendigen Informationen sicher und schnell in der Krankenakte abgefragt oder eingetragen werden.

Mit modernen Single Sign-On und Access-Management-Plattformen werden Klinikmitarbeiter bereits heute entlastet, denn diese müssen sich keine komplexen Passwörter merken oder die Zugangsdaten auf kleinen Bildschirmen mit viel Mühe mehrfach am Tag eingeben. Allein mit dem Auflegen einer Karte oder anderen unkomplizierten Autorisierungsverfahren sparen Mitarbeiter bis zu 45 Minuten pro Arbeitsschicht. Spezialisierte Unternehmen adressieren mit neuen Technologien nicht nur die Sicherheitsanforderungen, sondern steigern auch die Produktivität der Mitarbeiter und verbessern die Patientenversorgung.

Änderungen

Mit dem Inkrafttreten der DSGVO ergeben sich auch für Patienten Neuerungen im Umgang mit medizinischen Daten. Generell bleibt der Grundsatz erhalten, dass persönliche Daten sicher und vertrauensvoll behandelt werden müssen. Innerhalb der Klinik gibt es jedoch Änderungen, wie beispielsweise die Rolle des Datenschutzbeauftragten. Dieser ist künftig für die Einhaltung der Vorgaben verantwortlich und muss diese kontrollieren und dokumentieren.

Einwilligung zur Datennutzung: Dass der Patient mit der Datennutzung einverstanden ist, muss künftig beweispflichtig dokumentiert werden. Dazu ist eine „Unterschrift in einem technischen System“ notwendig.

Transparenz über Patientendaten: Neben der Einwilligung zur Datennutzung wird es dem Patienten künftig auch erleichtert, Einsicht in die von ihm gesammelten Daten zu erhalten. Wie die Daten im System verarbeitet werden und wie lange diese überhaupt für die Einsicht gespeichert werden, muss intern geregelt sein. Diese Regeln müssen Gesundheitseinrichtungen festlegen und unter Aufsicht des Datenschutzbeauftragten eingehalten werden.

Das Umfeld von Gesundheitsorganisationen ist komplex und durch schnelle, eingespielte Abläufe geprägt. Aus diesem Grund benötigen Ärzte und das Pflegepersonal Lösungen, die einfach zu bedienen sind und einen wirklichen Mehrwert im Krankenhausalltag bieten. Mit der Vereinheitlichung von Standards und einer Anpassung der Arbeitsabläufe kann der sichere Austausch lebenswichtiger Informationen künftig in kürzester Zeit erfolgen. Und mit den richtigen Lösungen im Einsatz werden nicht nur Ärzte und Pflegepersonal, sondern auch der Patient von den Neuerungen durch die DSGVO profitieren. (rhh)

Hier geht es zu Imprivata

Lesen Sie auch