IT & Kommunikation

Ein Jahr danach – Was die DSGVO für Gesundheitseinrichtungen bedeutet

03.06.2019 -

Zum ersten Jubiläum der Datenschutzgrundverordnung am 25. Mai 2019 lohnt es sich, auf die wichtigsten Neuerungen zurückzublicken.

Dabei stehen vor allem die Fragen nach den bedeutendsten Neuerungen und wie diese in Krankenhäusern und medizinischen Einrichtungen implementiert werden können, im Vordergrund.

Auch wenn sich ein Jahr nach Einführung der Datenschutzgrundverordnung (DSGVO) die Befürchtungen, es könnte zu einer Abmahnwelle kommen, nur bedingt bewahrheitet haben, so gibt es dennoch Beispiele für die Folgen, die eine Zuwiderhandlung haben kann. Im medizinischen Bereich geriet beispielsweise ein portugiesisches Krankenhaus im Oktober 2018 in die internationalen Schlagzeilen, da aufgrund von verschiedenen Verstößen gegen die neuen Richtlinien 400.000 Euro Strafe anfielen. Die Begründung für die hohe Strafe war unter anderem, dass im Krankenhaus-Informationssystem 985 Benutzer mit dem Profil Arzt angelegt waren, obwohl zum fraglichen Zeitpunkt lediglich 226 Ärzte angestellt waren. Zudem hatten Techniker Zugriff auf personenbezogene Patientendaten, auf die eigentlich nur Ärzte Zugriff haben sollten.

Ein abschreckendes Beispiel, das zeigt, dass die DSGVO nicht auf die leichte Schulter genommen werden sollte, obwohl die Geldstrafe in diesem Fall noch weit unter den möglichen Beträgen lag. Für viele Verantwortliche ist das Thema Datenschutz jedoch nach wie vor ein Mysterium. Es lohnt sich daher, die wichtigsten Neuerungen und Pflichten von Krankenhäusern noch einmal darzulegen sowie Beispiele für eine gesunde Cyberhygiene im Umfeld von medizinischen Einrichtungen aufzuzeigen.

Welchen Sinn die DSGVO hat

Natürlich ist es nicht der eigentliche Aufgabenbereich von Pflegepersonal und Ärzten, sich mit dezidierten Normen zur Cybersecurity oder einer Application Layer Firewall zu beschäftigen. Für Mediziner muss die medizinische Versorgung und Heilung von Patienten im Vordergrund stehen.

Diese Arbeit wurde durch die Digitalisierung in Krankenhäusern maßgeblich unterstützt und vereinfacht. Auf diese Weise entstanden neue Möglichkeiten für eine sinnvolle Zusammenarbeit und Kollaboration zwischen Abteilungen und Stationen. Auch die Arbeitsabläufe könnten durch die modernen Technologien besser und genauer reguliert werden. Genau wie in anderen Industriezweigen, die von der Digitalisierung betroffen waren und sind, geht die effizientere Gestaltung von Arbeitsabläufen auch im medizinischen Bereich mit zusätzlichen Anforderungen an Pflegepersonal und Ärzte auf dem Gebiet der IT und Cyberhygiene einher.

Speziell auf die medizinische Arbeit zugeschnittene Programme wie beispielsweise die elektronische Patientenakte, die mobile Datenerfassung oder die digitale Pflegedokumentation machen den Alltag von medizinischem Fachpersonal leichter, erfordern aber zugleich auch ein modernes Verständnis von Datenverarbeitung und IT. Wie bei Neuerungen üblich, standen viele Mitarbeiter den Rechten und Pflichten, die mit der neuen Infrastruktur einhergingen, eher ablehnend gegenüber. Notwendige Sicherheitsvorkehrungen wurden allenfalls zur Kenntnis genommen, da sie nicht zum eigentlichen Aufgabenbereich der Angestellten gehörten. Die Vorteile von neuen Technologien nutzte man allerdings sehr gerne.

Hochbrisante Informationen entstehen allerdings nicht nur im persönlichen Gespräch und unter ärztlicher Schweigepflicht. Auch bei elektronischen Daten, die digital gespeichert werden, handelt es sich um Informationen, die aufgrund ihres Inhalts und der besonderen Art ihres Bezugs zum Patienten eine herausragende Stellung im Datenschutzrecht einnehmen – nicht erst seit Einführung der DSGVO. Bereits vor der Einführung der DSGVO waren Patientendaten schon durch das Bundesdatenschutzgesetz besonders geschützt und hatten eine herausragende Stellung im Umgang mit Informationstechnologien. Die DSGVO war dann eine logische Erweiterung dieses Gesetzes und auch der Tatsache geschuldet, dass ein erheblich umsichtigerer Umgang mit Daten durch die zunehmende Digitalisierung geboten war und äußerst empfindliche Daten, wie dies bei Informationen zur Gesundheit der Fall ist, von vornherein besonders schützenwert sind.

Hohe Strafen, falls neue Regelungen nicht eingehalten werden

Vor diesem Hintergrund betrachtet sind die Neuerungen, die die Einführung der DSGVO mit sich gebracht hat, vor allem in zwei große Bereiche einzuteilen, die Krankenhäuser seit dem 25. Mai 2018 zu beachten haben. Bereits das Bundesdatenschutzgesetz deckte nämlich die meisten Rechte und Pflichten der Mediziner im Umgang mit persönlichen Daten vor Einführung der DSGVO ab.

Die erste wesentliche Neuerung stellt die Datenschutz-Folgeabschätzung dar. Diese zwingt die Verantwortlichen bereits vor der Verarbeitung von personenbezogenen Daten dazu, Analysen durchzuführen, welche möglichen Folgen durch die Maßnahmen auftreten können. Dies ist vor allem bei Prozessen erforderlich, die mit einem hohen Risiko für die Rechte und Freiheiten von Personen verbunden sind. Hiervon sind vor allem medizinische Daten betroffen. Auch eine Beschreibung der Vorgänge und eine Aufstellung von Abhilfemaßnahmen gegen die zu erwartenden Risiken muss durchgeführt werden. Ebenso ist eine Bewertung der möglichen Risiken hier unerlässlich.

Der zweite große Bereich, der seit letztem Jahr wichtig ist, ist die Rechenschaftspflicht bzw. Accounability. Dabei müssen Unternehmen, und natürlich auch Krankenhäuser und medizinische Einrichtungen, dezidiert nachweisen können, welche Anstrengungen und Maßnahmen ergriffen wurden, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Hier reicht es nicht aus, wenn wie bislang eine eingeschweißte Doppelseite mit einem Verfahrensverzeichnis zur aktuellen IT-Sicherheit ausliegt. Ein umfangreiches Dokument mit den Prozessen und Maßnahmen, die zur Cybersecurity unternommen wurden, muss stets auf dem aktuellen Stand sein. Die Inhalte umfassen dabei beispielsweise die verwendeten Sicherheitsprogramme, die grundlegenden Standards zur Cyberhygiene, die implementiert wurden, und detaillierte Prozessbeschreibungen.

Um zu verhindern, dass die DSGVO missachtet wird und um zusätzlich möglichst vor einer Zuwiderhandlung abzuschrecken, sind die möglichen Strafen auf ein empfindliches Maß erhöht worden. Der Bußgeldkatalog sieht hier zwei mögliche Kategorien der Strafen vor. Die erste Kategorie behandelt weniger gewichtige Verstöße gegen die DSGVO, bei denen bis zu 10 Millionen Euro Strafe oder 2 Prozent des weltweiten jährlichen Jahresumsatzes anfallen können. In der zweiten Kategorie werden schwerwiegende Verstöße geregelt, die nach der neuen Verordnung mit bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet werden.

Was muss für eine gesunde Cyberhygiene beachtet werden?

Damit solche Strafzahlungen nicht aufkommen, müssen Mediziner und Krankenhäuser auf sinnvolle Systeme für die IT-Sicherheit setzen und eine vernünftige Infrastruktur aufbauen. Ein mögliches System, das sich bereits in der Vergangenheit oft bewährt hat, ist die Single Sign-On-Technologie von Imprivata, die durch einfache Anwendungen Fehler von Mitarbeitern effektiv ausschließen kann.

Die größten Gefahren von Medizinern und Pflegern im Umgang mit patientenbezogenen Daten liegen dabei in der gängigen Praxis, auf Gruppen- und Sammel-Logins zu setzen und Arbeitsstationen nicht zu sperren, sobald sie verlassen werden. Zudem hat auch ein unkontrollierter und nachlässiger Umgang mit der Systemverwaltung in der Vergangenheit zu Problemen wie im eingangs erwähnten Beispiel aus Portugal geführt. Hierbei kann eine einfache Frage helfen, die sich jeder Verantwortliche stellen sollte, um eine sichere Lösung zu finden: Wer darf was, wieso und wie lange?

So sollte im medizinischen Umfeld, um Zugang zur elektronischen Patientenakte zu erhalten, immer eine eindeutige Authentifizierung durchgeführt werden müssen. Ein automatischer Logout nach einem vordefinierten Zeitraum verbessert die Sicherheit zusätzlich und schützt die Daten vor der Bearbeitung und dem Zugriff von Unbefugten. Außerdem muss durch die Systemeinstellungen gewährleistet bleiben, dass nur Personen Zugriff auf Daten erhalten und diese bearbeiten dürfen, die diese Rechte auch wirklich benötigen. Entlassene und nicht mehr für einen bestimmten Bereich tätige Personen müssen aus dem System gelöscht werden. Zudem muss jederzeit nachverfolgbar sein, wer wann Zugriff auf welche Daten hatte.

Um diese Sicherheitsmerkmale einfach im System zu implementieren, eignet sich eine einfache Lösung, die Imprivata auf diesem Feld anbietet. Mithilfe der Single Sign-On-Technologie, die es Mitarbeitern mittels einer Proximity-Card oder ihres Fingerabdrucks ermöglicht, unkomplizierten Zugriff auf Anwendungen zu erhalten, lassen sich so alle genannten Sicherheitseinstellungen einrichten. So kann beispielsweise eingestellt werden, dass eine Arbeitsstation, die für 30 Sekunden ungenutzt bleibt, automatisch gesperrt wird. Die im System hinterlegten Mitarbeiterrollen schließen effektiv aus, dass ein Mitarbeiter der Verwaltung Zugriff auf Röntgenbilder eines Patienten erhält. Durch die eindeutige Authentifizierung von Mitarbeitern ist es den Verantwortlichen zudem möglich, genau nachzuvollziehen, wer wann auf welche Daten zugegriffen hat. Auch Mitarbeiter können von Single Sign-On profitieren. Für diese bedeutet die Technologie eine immense Erleichterung des Workflows und ungestörte Arbeitsabläufe, da das intelligente System es ihnen ermöglicht, die Applikation, innerhalb derer sie gerade arbeiten, innerhalb des Netzwerkes von einem Arbeitsplatz zum nächsten mitzunehmen.

Die Einhaltung der DSGVO ist also alles andere als ein undurchsichtiges Hexenwerk. Auch wenn die Regeln im Vergleich zum Bundesdatenschutzgesetz strenger wurden, haben die Neuerungen nicht zwingend zu einem komplizierteren Klinikalltag geführt. So haben auch viele Krankenhäuser und medizinische Einrichtungen die DSGVO als Chance verstanden, die Krankenhäuser dazu zwingt, ihre Infrastruktur zu erneuern. Im Zuge dieser Modernisierung wird die Arbeit von Medizinern und medizinischem Fachpersonal durch die Digitalisierung zudem weiter erleichtert und überflüssige Anmeldevorgänge werden minimiert. Dadurch, dass ein einziges Kartenauflegen alle Vorschriften einhält, bleibt für die Angestellten mehr Zeit für die Behandlung und Versorgung der Patienten. Denn am Schluss ist es ja genau das, was die Medizin ausmacht: Zeit für Patienten und möglichst wenig Sorge um die technologischen Vorgänge im Hintergrund. Dies klappt mit dem richtigen System.

 

Kontakt

Imprivata

Zeltnerstr. 1-3
90443 Nürnberg

+49 911 8819 7330

Folgen Sie der
Management & Krankenhaus

 

 

MICROSITE Gesundheits-technologie

Lesen Sie hier

MICROSITE Digitale Identität

Lesen Sie hier

Folgen Sie der
Management & Krankenhaus

 

 

MICROSITE Gesundheits-technologie

Lesen Sie hier

MICROSITE Digitale Identität

Lesen Sie hier