26. Juli 2021 von Dr. Philipp Latini
Über Nutzerkonten und brachliegende Zugriffsberechtigungen
IT-Sicherheit beginnt mit dem Log-in
Nicht zuletzt die Corona-Pandemie hat gezeigt, dass die Digitalisierung und ein haus- und netzwerkübergreifendes Arbeiten von äußerst wichtiger Bedeutung in der Krankenhauswelt sind. Da es sich bei Patientendaten um die sensibelsten personenbezogenen Daten handelt, gewinnt die Umsetzung und Einhaltung des Datenschutzes nach der Datenschutzgrundverordnung (DSGVO) an immer höherer Bedeutung.
Die DSGVO schreibt in Artikel 9 Absatz I dabei genau vor, dass vor allem sensible Gesundheitsdaten einem hohen Maß an Schutz unterliegen müssen. Eine Berechtigung für den Zugriff, der generell nur bei Bedarf erfolgen soll, darf nicht jede oder jeder haben. Des Weiteren reguliert Artikel 5, dass während der Verarbeitung dieser sensiblen Daten Integrität und Vertraulichkeit gewahrt werden sollen.
Hohe Strafen bei Verstößen
Verstöße gegen die DSGVO sind nicht mehr wie einfache Bußgelder zu verbuchen. Die Aufsichtsbehörden verhängen hohe Strafen bei Datenschutzverstößen mit personenbezogenen Gesundheitsdaten, wie diese Beispiele belegen: Nach einer Patientenverwechslung bei der Aufnahme im Jahr 2019, wurden in einem Krankenhaus in Rheinland-Pfalz erhebliche Mängel beim Datenschutz festgestellt. Das Land bestrafte das Krankenhaus daraufhin mit einer Geldbuße in Höhe von 105.000 Euro. Der bisherige Höchstbetrag wurde 2019 gegen ein Krankenhaus in Holland verhängt: aufgrund unzureichender technischer und organisatorischer Maßnahmen musste das Krankenhaus sagenhafte 460.000 Euro Strafe zahlen. Häufig noch schwerwiegender: der Verlust von Renommee.
Mit Berechtigungskonzepten können Sicherheitslücken einfach geschlossen werden
An den Beispielen wird deutlich: Interne Kontrollsysteme müssen unerlaubte Zugriffsberechtigungen, Datenschutzmängel und fehlerhaft erteilte Berechtigungen mittels modernster Technologien sofort aufdecken.
Im Krankenhausalltag mangelt es an logischen Berechtigungskonzepten. So wird in den Abteilungen vermehrt ausschließlich mit lediglich einem Nutzerkonto gearbeitet, sodass auch unbefugte Mitarbeitende auf Personen-, Patienten- oder Gesundheitsdaten unbemerkt zugreifen können. So stellt die Benutzerverwaltung im Allgemeinen Kliniken vor weitere Herausforderungen. Zum einen gibt es ungenutzte Konten und zum anderen weiterhin aktive User, die allerdings nicht mehr in den Abteilungen tätig sind, für die sie berechtigt sind. Auf diese Weise werden Zugriffsberechtigungen angehäuft, ohne jemals wieder entzogen zu werden. Vor allem durch die Corona-Krise neuerfasste Nothelfende, denen ad hoc Berechtigungen erteilt werden mussten, verdeutlichten die fehlende Bereinigung der Daten. Ein weiterer wichtiger Aspekt ist die Notfallberechtigung, sodass beispielsweise ein Vertretungsarzt ohne langwierigen Prozess auf Patientendaten anderer Stationen bei Bedarf zugreifen kann. Mehr Transparenz soll durch ein Protokollkonzept erreicht werden, indem ersichtlich wird, welche Dokumente wann, wie und von wem geöffnet und/oder bearbeitet wurden.
Die Digitalisierung und der Datenschutz stellen wenige Branchen vor so große Herausforderungen wie das Gesundheitswesen. Risiken müssen frühzeitig erkannt und behoben werden – der Schutz von Patienten steht an oberster Stelle.
Das Krankenhauszukunftsgesetz erlaubt mehr
Der ohnehin bereits hohe Innovations- und Digitalisierungsdruck wird nun durch das Krankenhauszukunftsgesetz (KHZG) auch gesetzlich vorgeschrieben und eine Bezuschussung der Digitalisierung im Klinikumfeld ermöglicht. Mit unserem KHZG-Readiness-Check PLUS* erhalten Krankenhäuser einen Überblick über den Ist-Zustand ihrer IT-Landschaft sowie über die Optimierungs- und Digitalisierungspotenziale entlang des KHZG.
Jetzt Service Sheet kostenlosen herunterladen
adesso ist mit mehr als 20 Jahren Erfahrung als IT-Dienstleister langjähriger Partner großer Krankenkassen, Kliniken, medizintechnischer Unternehmen und weiterer Leistungserbringer im ersten und zweiten Gesundheitsmarkt in Deutschland. Gemeinsam mit unserem Partner für Sicherheitsfragen speziell für SAP-Systeme, der SIVIS GmbH Karlsruhe, begleiten wir Kliniken und Leistungserbringer bei ihren Herausforderungen. Mit dem adesso/SIVIS Information-Security-Quick-Check erhalten Kliniken einen Überblick über den Ist-Zustand ihrer Informationssicherheit. Unser Security Assessment betrachtet dabei Systeme, Cloud-Szenarien, bereits existierende Managementsysteme, Netzwerk- und Portallösungen. So erstellen wir einen spezifischen Maßnahmenplan zur Erreichung der gesetzlich vorgeschriebenen Schutzziele für sensible Patientendaten.
Ihr möchtet mehr darüber erfahren, wie wir Krankenhäuser bei allen Herausforderungen rund um die patientenorientierte Digitalisierung und Umsetzung der KHZG-Vorgaben unterstützen? Dann werft einfach einen Blick auf unsere Website.
Weitere spannende Beiträge aus der adesso-Welt findet ihr in unseren bisher erschienen Blog-Beiträgen.