SucheTrefferlisteDigitalisierung: Wie Kliniken digitale Patientendaten am besten schützen

ÄRZTESTELLEN

Digitalisierung: Wie Kliniken digitale Patientendaten am besten schützen

Dtsch Arztebl 2017; 114(17): [2]

Kropp, Henning; Günther, Uwe

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die Digitalisierung bietet viele Möglichkeiten, Prozesse effizienter zu gestalten und Kosten zu sparen. Doch damit gehen Risiken in IT-Sicherheit und Datenschutz einher. Wägen die Kliniken diese kritisch ab, können sie die neuen Chancen sicher nutzen.

Foto: Alex/stock.adobe.com
Foto: Alex/stock.adobe.com

In den Krankenhäusern sorgen die zunehmende IT-Durchdringung und die Einführung der elektronischen Patientenakte (EPA) dafür, dass die Verfügbarkeit von Patientendaten stetig wächst. Zugleich geht der Trend seit einigen Jahren in Richtung vernetzte Strukturen und mobile Endgeräte. Diese Entwicklung bringt viele neue Risiken und Anforderungen mit sich, vor allem in der IT-Sicherheit und im Datenschutz. Da insbesondere der Datenschutz einen hohen Stellenwert im Gesundheitswesen einnimmt, gilt es, die neuen technologischen Möglichkeiten zwingend datenschutzrechtlich zu bewerten und entsprechend auszugestalten. Das Augenmerk liegt dabei hauptsächlich auf den technologischen Aspekten, da für die digitale Datenverarbeitung, -nutzung und -übertragung die gleichen datenschutzrechtlichen Rahmenbedingungen gelten wie beim Einsatz von Papier.

Anzeige

Visite, interne Audits: Nutzung mobiler Endgeräte

Um die Vorteile der EPA und der Digitalisierung auszuschöpfen, setzen viele Krankenhäuser bereits verstärkt mobile Endgeräte wie PDAs (Personal Digital Assistants) und Tablets ein, zum Beispiel in der mobilen Visite, in der Patientenaufklärung, internen Audits, für die Terminkoordination oder zum einfachen und schnellen Informationsaustausch. Ein besonderes Risiko entsteht dadurch, dass Mitarbeiter diese Geräte verlieren oder die Geräte gestohlen werden können. Dann ist ein Zugriff auf darauf gespeicherte Daten, wie E-Mails, Fotos, Kontakt- oder Standortdaten nicht auszuschließen. Außerdem können Angreifer die Geräte manipulieren und unbemerkt zurückgeben, um sich so unberechtigten Zugang zu sensiblen Informationen zu verschaffen. Dabei ist das Gefährdungspotenzial unterschiedlich, je nachdem, ob Mitarbeiter mobile Endgeräte ausschließlich einrichtungsintern nutzen oder sie private Endgeräte auch in der Einrichtung nutzen.

Betriebseigene Geräte: relativ geringes Risiko

Werden betriebseigene Geräte einrichtungsintern verwendet, können die Mitarbeiter der IT diese effektiv verwalten und problemlos in das geschützte WLAN integrieren, zum Beispiel mit einer Device-Management-Software. Dann greifen alle Nutzer über ihre jeweilige Benutzerkennung auf das System zu, wobei das System am Rollenberechtigungskonzept gemäß der OH-KIS auszurichten ist. Dabei unterbleibt das Speichern sensibler Daten auf dem mobilen Endgerät. Halten die Nutzer die regulären IT-Sicherheitsmaßnahmen ein, ist das Risiko des Datenmissbrauchs relativ gering.

Verwenden Mitarbeiter ihre privaten Mobiltelefone oder Smartphones auch dienstlich (Mischnutzung), sind die Gefahren deutlich höher einzustufen, da diese meist nicht in gleichem Maße geschützt sind wie betriebseigene Geräte. Zudem trennen die Nutzer meist nicht zwischen privaten und dienstlichen Daten oder Programmen (Apps). Das ist problematisch, da viele Apps Zugriff auf personenbezogene Daten wie Kontaktlisten, E-Mail-Verkehr oder Fotos haben oder direkt auf Gerätesensoren, Kameras oder das Mikrofon zugreifen. Daher kommt es vor, dass Daten unbemerkt gespeichert und an Dritte übermittelt werden, beispielsweise Anbieter der Apps oder soziale Netzwerke. Zudem nutzen oft unbefugte Dritte, wie Familienangehörige, die privaten Geräte. Bei dieser Mischnutzung sind also neben technischen Sicherungsmaßnahmen auch organisatorische Maßnahmen angezeigt. Dazu zählt, die Mitarbeiter zu sensibilisieren und zu verpflichten, sicherheitsrelevante Verhaltensregeln strikt einzuhalten.

Intersektorale Kommunikation: sichere Wege

Die zunehmende Vernetzung aller an einer digitalisierten intersektoralen Kommunikation Beteiligten wird für die Geschäftsprozesse im Gesundheitswesen immer wichtiger. Sowohl der digitale Datenaustausch mit den Kostenträgern als auch der zwischen stationären Einrichtungen und niedergelassenen Ärzten rücken in den Fokus. Um den Datenschutz zu gewährleisten ist es notwendig, die Inhalte der Kommunikation vor Unbefugten und vor unberechtigter Nutzung zu schützen. Entscheidend ist, sichere Kommunikationswege einzusetzen, zum Beispiel mithilfe von Verschlüsselungstechnologien. Eine Variante ist, die Daten mittels VPN-Tunnel zu übertragen, wie im Fall des KV-SafeNet. Eine weitere Möglichkeit bietet künftig auch die Telematik-Infrastruktur. Dabei können Daten, wie elektronische Arztbriefe, in einem geschlossenen Netz übermittelt werden, indem die Nutzer Verschlüsselungstechnologien verwenden.

Beide Kommunikationswege hat der Gesetzgeber freigegeben, sie können somit bedenkenlos genutzt werden. Das Verwenden von E-Mails ist hingegen ohne eine zusätzliche Ende-zu-Ende-Verschlüsselung nicht geeignet, Patientendaten zu übertragen. Für telemedizinische Anwendungen, wie das Telekonsil, gibt es derzeit noch keine vom Gesetzgeber freigegebenen Kommunikationswege, sodass die Nutzer jeweils individuelle technische Lösungen finden müssen.

Internetdienste und Messenger: hohes Risiko

Inzwischen nutzen auch immer mehr Menschen geräteunabhängig diverse Internet- und Cloud-Dienste, über die sie personenbezogene Daten übermitteln und verarbeiten. Neben der unkomplizierten Handhabung, hoher Geschwindigkeit und leichter Vernetzung ermöglicht das eine nahezu unbegrenzte Verfügbarkeit von Daten. So kommt es vor, dass Laborbefunde oder Röntgenbilder mit dem Smartphone abfotografiert und mittels Messenger an einen Kollegen gesendet werden, um dessen Rat einzuholen.

Mit dem hohen Nutzungskomfort von Diensten wie Dropbox, Skype oder WhatsApp geht jedoch ein extrem hohes datenschutzrechtliches Risiko einher. Wer solche Dienste nutzt, büßt die alleinige Verfügungsgewalt über die Daten ein, da diese außerhalb der eigenen IT-Systeme gespeichert und verarbeitet werden. Vielmehr herrscht völlige Intransparenz darüber, wo und wie die Daten gespeichert werden, wer Zugriff darauf hat und ob die Daten für unrechtmäßige Zwecke missbraucht werden. Zudem bieten diese Dienste meist keine ausreichende Verschlüsselung, auch ein versehentliches Übermitteln an einen unberechtigten Empfänger aus der eigenen Kontaktliste ist nicht auszuschließen. Deshalb ist davon abzuraten, solche Internet- und Cloud-Dienste dienstlich zu nutzen.

Dr. Henning Kropp, Senior-Berater

Dr. Uwe Günther, Geschäftsführer

Sanovis GmbH

81679 München

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Zum Artikel

Fachgebiet

Fachgebiet

Anzeige

Weitere...