05.04.2022

Neue IT-Sicherheitsanforderungen im Gesundheitswesen

Die Digitalisierung hat auch das Gesundheitswesen erreicht. Was sind demnach die neuen Anforderungen an die IT-Sicherheit? Jetzt lesen!

Der Einsatz von Informationssicherheitstechnologien ist auch im Gesundheitswesen nicht mehr wegzudenken. Die Digitalisierung erleichtert die Patientenversorgung und damit einhergehend die Behandlungsqualität ungemein. Die zunehmende Einbindung und Vernetzung von IT-Infrastrukturen kommt jedoch nicht ausschließlich den Patienten zugute, sie erleichtert auch Cyberkriminellen den Zugriff auf die besonders sensiblen personenbezogenen Daten. Um das Risiko vor Cyberangriffen zu reduzieren, ist die Umsetzung von technischen und organisatorischen Maßnahmen unbedingt erforderlich, welche die Informationssicherheit und damit die Verfügbarkeit, Integrität und Vertraulichkeit von Daten schützen.
Mit Einführung des sogenannten Patientendatenschutzgesetzes bestehen seit Beginn dieses Jahres neue gesetzliche Anforderungen an die Informationssicherheit in Krankenhäusern, MVZ und Arztpraxen.

Hintergrund

Der Gesetzgeber hat im Rahmen des § 75c SGB V für Krankenhäuser jeder Größe die Pflicht zur Umsetzung eines „branchenspezifischen Sicherheitsstandards“ (B3S) vorgeschrieben, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. MVZ und Arztpraxen müssen nach § 75b SGB V die Vorgaben aus der „Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit“ der Kassenärztlichen Bundesvereinigung beachten. Auch IT-Dienstleister werden mit diesen Anforderungen an die IT-Sicherheit konfrontiert, wenn sie im Rahmen ihrer Tätigkeit mit der IT-Infrastruktur der genannten Einrichtungen in Berührung kommen. Die zur Umsetzung erforderlichen Maßnahmen können nach dem Krankenhauszukunftsgesetz gefördert werden.

Die neuen gesetzlichen Anforderungen an die IT-Sicherheit sind dabei nicht gänzlich neu, vielmehr konkretisieren sie die ohnehin bestehenden Regelungen zum Schutz von personenbezogenen Daten.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

Warum bestand Handlungsbedarf?

Die Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) waren bis dato sehr allgemein und wenig passgenau in Hinblick auf die besondere Schutzwürdigkeit von Daten aus dem Gesundheitswesen. So schreibt die DSGVO zwar vor, dass der für die Datenverarbeitung Verantwortliche angemessene Schutzmaßnahmen für die Sicherheit von personenbezogenen Daten treffen muss, konkretisiert wird dies jedoch nicht. Bislang fehlte es gerade aufgrund mangelnder konkreter Vorschriften an einer IT-spezifischen Sicherheitskultur im Gesundheitswesen. Zur DSGVO treten nunmehr die Vorschriften aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz und das Sozialgesetzbuch fünftes Buch zur IT-Sicherheit in vertragsärztlichen Praxen und in Krankenhäuser hinzu.

Datenschutz und IT-Sicherheit im Verhältnis

Fraglich ist, wie diese sich einerseits ergänzenden, andererseits überlappenden Regelungen im Verhältnis zueinanderstehen. Quasi als eine Art Grundnorm schreibt die DSGVO vor, dass vom Verantwortlichen oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 5 plus 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Die datenschutzrechtlichen Bestimmungen der DSGVO gelten dabei ausschließlich für personenbezogene Daten. IT-Sicherheit geht weiter. Sie beschränkt sich nicht auf personenbezogene Daten, sondern schützt Informationen generell, sodass sich die Schutzrichtung hier nicht auf die individuell betroffenen Personen beschränkt, sondern die Organisationen, welche die Daten verarbeiten, in den Blick nimmt. Gleichwohl sind die vom Anwendungsbereich der §§ 75b, 75c SGB V erfassten Informationen in der Praxis personenbezogene Gesundheitsdaten.

Bei den Regelungen zur Informationssicherheit wird im Rahmen der dargestellten Gesetze noch einmal unterschieden zwischen IT-Sicherheit in vertragsärztlichen Praxen und Krankenhäusern. Die Anforderungen an die Praxen ergeben sich aus § 75 b SGB V in Verbindung mit der neuen IT-Sicherheitsrichtlinie, während sich die Anforderungen an Krankenhäuser schon vor Inkrafttreten des Patientendatenschutzgesetzes aus § 8a ab BSIG, § 6 BSI-Gesetz und (als Auffangtatbestand) und nach dem Inkrafttreten zusätzlich aus § 75 c SGB V ergeben. Die Unterscheidung spielt in der Praxis jedoch lediglich eine geringe Rolle, da die Verantwortlichen in allen Konstellationen technische und organisatorische Maßnahmen treffen müssen. Die § 8a BSI-Gesetz, § 6 KritisVO und § 75c SGB V führen zu einer defacto-Pflicht zur Umsetzung eines branchenspezifischen Sicherheitsstandards für die medizinische Versorgung in Krankenhäusern (B3S). Die IT-Sicherheitsrichtlinie, welche aufgrund des § 75 b SGB V erlassen wurde schreibt ebenfalls Sicherheitsstandards in Konkretisierung der DSGVO vor.

Sowohl die IT-Richtlinie als auch der B3S orientieren sich mit Ihren Vorgaben an den bekannten Sicherheitsstandards ISO 27001, ISO 27799 (Krankenhaus-spezifische Maßnahmen der Informationssicherheit) sowie DIN EN 80001-1 (Sicherheit von Medizingeräten in IT-Netzwerken). Ziel all dieser Vorgaben ist es, das Gefahrenpotential von Informationssicherheitsrisiken zu minimieren.

Umsetzung der gesetzlich vorgeschriebenen IT-Sicherheit

Für die Umsetzung der gesetzlichen Vorgaben bedarf es einer Menge an Organisation und Dokumentation. In der Praxis heißt das vor allem, dass die Umsetzung mit einem hohen Aufwand an niedergeschriebenen und daraufhin gelebten Prozessen einhergeht, um den Rechenschaftspflichten nachzukommen.
In den Geltungsbereich des B3S fallen dabei alle Informationen, die der kritischen Dienstleistung der stationären medizinischen Versorgung dienen.

Teil der IT-Sicherheitsanforderungen ist die Umsetzung eines Informationssicherheitsmanagementsystem (ISMS).
Einer der wichtigsten Punkte im Rahmen der Umsetzung eines ISMS ist dabei die Sensibilisierung und Schulung von Mitarbeitern vor allem im Hinblick auf Informationssicherheitsvorfälle. Informationssicherheitsvorfälle müssen gegebenenfalls gemeldet werden. Die Frage, ob ein Informationssicherheitsvorfall meldepflichtig ist, muss im Rahmen einer dokumentierten Risikobewertung beantwortet werden, welche bestenfalls ein benannter Informationssicherheitsbeauftragter durchführt. Für Betreiber kritischer Infrastrukturen nach dem BSI-Gesetz ist das BSI die zentrale Meldestelle. Sind personenbezogene Daten betroffen, ist der Vorfall zusätzlich als Datenschutzvorfall bei den zuständigen Aufsichtsbehörden für den Datenschutz zu melden. Zu beachten ist, dass jeder Datenschutzvorfall zwangsweise auch einen Informationssicherheitsvorfall darstellt, nicht jeder Informationssicherheitsvorfall aber einen Datenschutzvorfall.

Gerade, wenn ein meldepflichtiger Vorfall vorliegt, ist es wichtig, dass die verantwortliche Stelle ihr ISMS und ihre grundsätzlich getroffenen Maßnahmen nachweisen kann. Dementsprechend kommen zu den oben genannten Punkten die Pflicht zur Dokumentation aller Prozesse, die die Informationssicherheit sicherstellen, sowie etablierte Rechte und Rollenkonzepte hinzu.

Probleme in der Umsetzung

Zusätzlich muss auch die technische Umsetzung von Informationssicherheit gewährleistet werden. Probleme dahingehend bestehen nach einer Betreiberbefragung des BSI verbreitet immer noch in den Bereichen Verschlüsselung mobiler Speichermedien und E-Mails, (virtuelle) Netztrennung und Netzsegmentierung, Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz, Test- und Freigabeprozessen für neue Softwaresysteme sowie dem Patch- und Änderungsmanagement.

Sollten die Vorschriften nicht eingehalten werden, drohen bekannter Maßen hohe Bußgelder, welche von den Datenschutzaufsichtsbehörden verhängt werden können. Um einen reibungslosen Aufbau eines auf das Gesundheitswesen spezialisierten ISMS zu gewährleisten, empfiehlt es sich daher, die Implementierung eines solchen zu akribisch zu planen und sich gegebenenfalls externe Hilfe zu holen.

Fazit

Die Digitalisierung und alle mit ihr einhergehenden Vor- und Nachteile hat nun also auch das Gesundheitswesen erreicht. Praxis- und Krankenhausbetreiber sind hier gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die IT-Sicherheit gerecht zu werden. Dabei sollte die IT-Compliance nicht nur als pflichtgesteuerte Erfüllung gesetzlicher Pflichten angesehen werden. Es lohnt sich vielmehr, sich ernsthaft mit der Thematik der Cybersicherheit auseinanderzusetzen, um für den Ernstfall gewappnet zu sein. Kontaktieren Sie uns, falls Sie tiefergehenden Beratungsbedarf zum Thema Cyber- und IT-Sicherheit haben!

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …