Innerhalb der letzten beiden Monate des Jahres 2021 stieg die Anzahl der verübten Cyberattacken im Gesundheitswesen alleine in Deutschland um astronomische 220% an – ein Trend, der weltweit auszumachen ist und in Kanada mit einem 250%igen Anstieg seinen Höchstwert findet. Dabei scheint die Cyberkriminalität eng mit der Coronapandemie verknüpft: Nie zuvor stiegen branchenübergreifend die Angriffszahlen weltweit so rapide an, wie derzeit. Ob die Offenlegung der Log4j-Sicherheitslücke in der Java-Bibliothek oder gezielte Angriffe auf Kliniken und andere Institutionen – ein Ende der bedrohlichen Lage scheint vorerst nicht in Sicht.
Das Patientendaten-Schutz-Gesetz wird verpflichtend
Passend zu dieser denkwürdigen Entwicklung verlangt der Gesetzgeber vom Gesundheitswesen im Rahmen des „Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ ab dem 01.01.2022 die nachhaltige Gewährleistung eines „angemessenen“ Schutzniveaus hinsichtlich der IT-Sicherheit. Für Betreiber von Krankenhäusern, Praxen und Laboren bedeutet dies, dass bestehende Systeme aktualisiert, gegebenenfalls aufgerüstet und vor allem fortlaufend hinsichtlich ihrer Sicherheitsaspekte überprüft und angepasst werden müssen.
§ 75c SGB V und die Schutzziele des PDSG
Mit dem neu ins Gesetz aufgenommenen Paragraphen sollen entsprechend organisatorische und technische Vorkehrungen gewährleistet werden, um personenbezogene Daten besser zu schützen und betriebliche IT-Störungen zu vermeiden. Die drei benannten Schutzziele des Patientendaten-Schutz-Gesetz lauten demnach „Verfügbarkeit“, „Integrität“ und „Vertraulichkeit“: Daten und Dienste müssen jederzeit nutzbar sein, wobei eine vollständige Datenkonsistenz gegeben sein muss. Unbefugte dürfen diese Daten nicht editieren oder verfälschen können. Weiterhin muss der generelle Zugriff durch Berechtigungskonzepte auf einen bestimmten Nutzerkreis eingegrenzt werden.
Zu guter Letzt setzt das BSIG des Bundesamtes für Sicherheit in der Informationstechnik voraus, dass alle Daten nachweislich aus einer vertrauenswürdigen Quelle stammen und inhaltlich korrekt gehalten werden.
Kliniken und Krankenhäuser müssen jetzt handeln
Es ist nun Eile geboten: Die zum Jahreswechsel verstreichende Frist stellt bereits die zweite und somit finale Frist zur Einhaltung des PDSG sowie der Durchführung der dafür notwendigen technisch-organisatorischen Voraussetzungen dar. Schon im Eigeninteresse sollte ein möglichst hohes Datenschutz- sowie Informationssicherheitsniveau angestrebt werden, um Patientendaten besser schützen und einen dauerhaft reibungslosen Klinikbetrieb garantieren zu können.
Entscheidend ist hierfür zunächst die umfassende Eruierung aller genutzten IT-Anwendungen, bevor eine anschließende Dokumentationsstrategie erarbeitet und umgesetzt werden kann. Unser IT-Dokumentationsprozess ist holistisch ausgerichtet und geht weit über das gewohnte VVT-Level hinaus. Zusätzlich erstellen wir alle notwendigen Berechtigungs- und Löschkonzepte und heben das Niveau Ihrer Informationsablage auf den Stand eines vollwertigen Dokumentenmanagementsystems.
Kontaktieren Sie uns und stellen Sie für Ihre IT die Weichen in Richtung Zukunft!
Quellen: