05. April 2022

Neue IT-Sicherheitsanforderungen im Gesundheitswesen

Der Einsatz von Informationssicherheitstechnologien ist auch im Gesundheitswesen nicht mehr wegzudenken. Die Digitalisierung erleichtert die Patientenversorgung und damit einhergehend die Behandlungsqualität ungemein. Die zunehmende Einbindung und Vernetzung von IT-Infrastrukturen kommt jedoch nicht ausschließlich den Patienten zugute, sie erleichtert auch Cyberkriminellen den Zugriff auf die besonders sensiblen personenbezogenen Daten. Um das Risiko vor Cyberangriffen zu reduzieren, ist die Umsetzung von technischen und organisatorischen Maßnahmen unbedingt erforderlich, welche die Informationssicherheit und damit die Verfügbarkeit, Integrität und Vertraulichkeit von Daten schützen.
Mit Einführung des sogenannten Patientendatenschutzgesetzes bestehen seit Beginn dieses Jahres neue gesetzliche Anforderungen an die Informationssicherheit in Krankenhäusern, MVZ und Arztpraxen.

Hintergrund

Der Gesetzgeber hat im Rahmen des § 75c SGB V für Krankenhäuser jeder Größe die Pflicht zur Umsetzung eines „branchenspezifischen Sicherheitsstandards“ (B3S) vorgeschrieben, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. MVZ und Arztpraxen müssen nach § 75b SGB V die Vorgaben aus der „Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit“ der Kassenärztlichen Bundesvereinigung beachten. Auch IT-Dienstleister werden mit diesen Anforderungen an die IT-Sicherheit konfrontiert, wenn sie im Rahmen ihrer Tätigkeit mit der IT-Infrastruktur der genannten Einrichtungen in Berührung kommen. Die zur Umsetzung erforderlichen Maßnahmen können nach dem Krankenhauszukunftsgesetz gefördert werden.

Die neuen gesetzlichen Anforderungen an die IT-Sicherheit sind dabei nicht gänzlich neu, vielmehr konkretisieren sie die ohnehin bestehenden Regelungen zum Schutz von personenbezogenen Daten.

Warum bestand Handlungsbedarf?

Die Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) waren bis dato sehr allgemein und wenig passgenau in Hinblick auf die besondere Schutzwürdigkeit von Daten aus dem Gesundheitswesen. So schreibt die DSGVO zwar vor, dass der für die Datenverarbeitung Verantwortliche angemessene Schutzmaßnahmen für die Sicherheit von personenbezogenen Daten treffen muss, konkretisiert wird dies jedoch nicht. Bislang fehlte es gerade aufgrund mangelnder konkreter Vorschriften an einer IT-spezifischen Sicherheitskultur im Gesundheitswesen. Zur DSGVO treten nunmehr die Vorschriften aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz und das Sozialgesetzbuch fünftes Buch zur IT-Sicherheit in vertragsärztlichen Praxen und in Krankenhäuser hinzu.


Newsletter: Bleiben Sie immer auf dem Laufenden

Verpassen Sie keine Updates rund um Datenschutz, Informationssicherheit und Compliance. Melden Sie sich noch heute bei unserem Newsletter an!

Newsletter-Anmeldung

Datenschutz und IT-Sicherheit im Verhältnis

Fraglich ist, wie diese sich einerseits ergänzenden, andererseits überlappenden Regelungen im Verhältnis zueinanderstehen. Quasi als eine Art Grundnorm schreibt die DSGVO vor, dass vom Verantwortlichen oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die datenschutzrechtlichen Bestimmungen der DSGVO gelten dabei ausschließlich für personenbezogene Daten. IT-Sicherheit geht weiter. Sie beschränkt sich nicht auf personenbezogene Daten, sondern schützt Informationen generell, sodass sich die Schutzrichtung hier nicht auf die individuell betroffenen Personen beschränkt, sondern die Organisationen, welche die Daten verarbeiten, in den Blick nimmt. Gleichwohl sind die vom Anwendungsbereich der §§ 75b, 75c SGB V erfassten Informationen in der Praxis personenbezogene Gesundheitsdaten.

Bei den Regelungen zur Informationssicherheit wird im Rahmen der dargestellten Gesetze noch einmal unterschieden zwischen IT-Sicherheit in vertragsärztlichen Praxen und Krankenhäusern. Die Anforderungen an die Praxen ergeben sich aus § 75 b SGB V in Verbindung mit der neuen IT-Sicherheitsrichtlinie, während sich die Anforderungen an Krankenhäuser schon vor Inkrafttreten des Patientendatenschutzgesetzes aus § 8a ab BSIG, § 6 BSI-Gesetz und (als Auffangtatbestand) und nach dem Inkrafttreten zusätzlich aus § 75 c SGB V ergeben. Die Unterscheidung spielt in der Praxis jedoch lediglich eine geringe Rolle, da die Verantwortlichen in allen Konstellationen technische und organisatorische Maßnahmen treffen müssen. Die § 8a BSI-Gesetz, § 6 KritisVO und § 75c SGB V führen zu einer defacto-Pflicht zur Umsetzung eines branchenspezifischen Sicherheitsstandards für die medizinische Versorgung in Krankenhäusern (B3S). Die IT-Sicherheitsrichtlinie, welche aufgrund des § 75 b SGB V erlassen wurde schreibt ebenfalls Sicherheitsstandards in Konkretisierung der DSGVO vor.


Das könnte Sie auch interessieren:

Ransomware-Prävention – Wie Unternehmen Ransomware-Attacken vorbeugen können
Elektronische Patientenakte & Datenschutz: Was Anwendende jetzt beachten sollten
Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit


Sowohl die IT-Richtlinie als auch der B3S orientieren sich mit Ihren Vorgaben an den bekannten Sicherheitsstandards ISO 27001, ISO 27799 (Krankenhaus-spezifische Maßnahmen der Informationssicherheit) sowie DIN EN 80001-1 (Sicherheit von Medizingeräten in IT-Netzwerken). Ziel all dieser Vorgaben ist es, das Gefahrenpotential von Informationssicherheitsrisiken zu minimieren.

Umsetzung der gesetzlich vorgeschriebenen IT-Sicherheit

Für die Umsetzung der gesetzlichen Vorgaben bedarf es einer Menge an Organisation und Dokumentation. In der Praxis heißt das vor allem, dass die Umsetzung mit einem hohen Aufwand an niedergeschriebenen und daraufhin gelebten Prozessen einhergeht, um den Rechenschaftspflichten nachzukommen.
In den Geltungsbereich des B3S fallen dabei alle Informationen, die der kritischen Dienstleistung der stationären medizinischen Versorgung dienen.

Teil der IT-Sicherheitsanforderungen ist die Umsetzung eines Informationssicherheitsmanagementsystem (ISMS).
Einer der wichtigsten Punkte im Rahmen der Umsetzung eines ISMS ist dabei die Sensibilisierung und Schulung von Mitarbeitern vor allem im Hinblick auf Informationssicherheitsvorfälle. Informationssicherheitsvorfälle müssen gegebenenfalls gemeldet werden. Die Frage, ob ein Informationssicherheitsvorfall meldepflichtig ist, muss im Rahmen einer dokumentierten Risikobewertung beantwortet werden, welche bestenfalls ein benannter Informationssicherheitsbeauftragter durchführt. Für Betreiber kritischer Infrastrukturen nach dem BSI-Gesetz ist das BSI die zentrale Meldestelle. Sind personenbezogene Daten betroffen, ist der Vorfall zusätzlich als Datenschutzvorfall bei den zuständigen Aufsichtsbehörden für den Datenschutz zu melden. Zu beachten ist, dass jeder Datenschutzvorfall zwangsweise auch einen Informationssicherheitsvorfall darstellt, nicht jeder Informationssicherheitsvorfall aber einen Datenschutzvorfall.

Gerade, wenn ein meldepflichtiger Vorfall vorliegt, ist es wichtig, dass die verantwortliche Stelle ihr ISMS und ihre grundsätzlich getroffenen Maßnahmen nachweisen kann. Dementsprechend kommen zu den oben genannten Punkten die Pflicht zur Dokumentation aller Prozesse, die die Informationssicherheit sicherstellen, sowie etablierte Rechte und Rollenkonzepte hinzu.

Probleme in der Umsetzung

Zusätzlich muss auch die technische Umsetzung von Informationssicherheit gewährleistet werden. Probleme dahingehend bestehen nach einer Betreiberbefragung des BSI verbreitet immer noch in den Bereichen Verschlüsselung mobiler Speichermedien und E-Mails, (virtuelle) Netztrennung und Netzsegmentierung, Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz, Test- und Freigabeprozessen für neue Softwaresysteme sowie dem Patch- und Änderungsmanagement.

Sollten die Vorschriften nicht eingehalten werden, drohen bekannter Maßen hohe Bußgelder, welche von den Datenschutzaufsichtsbehörden verhängt werden können. Um einen reibungslosen Aufbau eines auf das Gesundheitswesen spezialisierten ISMS zu gewährleisten, empfiehlt es sich daher, die Implementierung eines solchen zu akribisch zu planen und sich gegebenenfalls externe Hilfe zu holen.

Fazit

Die Digitalisierung und alle mit ihr einhergehenden Vor- und Nachteile hat nun also auch das Gesundheitswesen erreicht. Praxis- und Krankenhausbetreiber sind hier gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die IT-Sicherheit gerecht zu werden. Dabei sollte die IT-Compliance nicht nur als pflichtgesteuerte Erfüllung gesetzlicher Pflichten angesehen werden. Es lohnt sich vielmehr, sich ernsthaft mit der Thematik der Cybersicherheit auseinanderzusetzen, um für den Ernstfall gewappnet zu sein.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!