Dimension Data > Healthcare > EU-DS-GVO: Mehr Sicherheit für sensible Daten

EU-DS-GVO: Mehr Sicherheit für sensible Daten

TwitterFacebookGoogle+LinkedInEmail

DS-GVO Gesundheit

Unter allen sensiblen Daten sind sie wohl die sensibelsten: Gesundheitsdaten. Im Zweifelsfall gehen sie nur den Patienten und das behandelnde medizinische Personal etwas an und alle anderen Parteien, die – ihrer Meinung nach vielleicht sogar ein berechtigtes – Interesse daran haben, eben nicht. So kommt es, dass etwa in Krankenhäusern und Arztpraxen täglich ein besonders wertvolles und schützenwertes Gut zirkuliert und dass daher alle am Datenfluss Beteiligten über den richtigen Umgang informiert und aufgeklärt sein müssen. Nicht zu vergessen: Vorhandene IT-Systeme und Speicherkapazitäten müssen sicher und vor Angriffen geschützt sein. Schließlich hat auch in der Medizin die zu verarbeitende Datenmenge in den letzten Jahren rasant zugenommen, vor allem seit die Krankenkassen die elektronische Datenverarbeitung massiv vorangetrieben haben.

Bislang regelt die EU-Datenschutzrichtlinie von 1995 und hierzulande zusätzlich das Bundesdatenschutzgesetz (BDSG) den Schutz personenbezogener Daten. Seither hat sich auf dem Gebiet der digitalen Datenverarbeitung jedoch eine Menge getan. So wurde im Frühsommer 2016 ein neues Gesetz auf europäischer Ebene verabschiedet, das der digitalen Revolution Rechnung trägt: Nach zweijähriger Übergangsphase tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 in Kraft. Es sorgt für eine Harmonisierung der Rechte und Pflichten von Unternehmen in Bezug auf Datenschutz über alle EU-Mitgliedsstaaten hinweg – Zuwiderhandlungen werden mit teilweise drastischen Strafen bedacht.

Wen betrifft die neue Richtlinie?

Prinzipiell gilt: Sofern Unternehmen in irgendeiner Form personenbezogene Daten von EU-Bürgern verarbeiten, bleiben sie von der Gesetzesänderung nicht verschont. Dies bedeutet gleichzeitig, dass selbst Unternehmen ohne Sitz oder Niederlassung innerhalb der EU künftig dem europäischen Datenschutzrecht unterliegen, sollten diese Daten von EU-Bürgern verarbeiten – selbst bei unentgeltlichen Dienstleistungen. Das gilt natürlich auch für den Gesundheitssektor und bedeutet: Egal, wo ein EU-Bürger zum Arzt geht oder gar ins Krankenhaus muss, seine Daten müssen nach der neuen Datenschutz-Grundverordnung geschützt werden. Und umgekehrt, für diejenigen, die die Daten verarbeiten, heißt es: Informieren, Awareness schaffen, Mitarbeiter schulen, ein Security-Konzept erstellen, Verantwortliche benennen und nicht zuletzt: In IT Security investieren.

Neue Pflichten für Unternehmen

Einen zusätzlichen Aufwand bedeuten etwa die Dokumentations- und Auskunftspflichten für Unternehmen, die nochmals verschärft wurden. So muss beispielsweise ein Verzeichnis aller Datenverarbeitungstätigkeiten von personenbezogenen Informationen erstellt werden. Dieses Verzeichnis dient vor allem gegenüber Aufsichtsbehörden als Nachweis und gewährleistet eine bessere Nachvollziehbarkeit aller Aktivitäten. Entsprechend empfiehlt sich für Unternehmen der Aufbau eines Datenschutzmanagementsystems, um den Überblick über sämtliche getroffene Maßnahmen nicht zu verlieren. Doch auch für Anfragen von Kunden – oder eben Patienten – ist ein solches Verzeichnis künftig unabdingbar. So können individuelle Daten nicht nur angefragt, sondern deren Nutzung bei Bedarf widersprochen werden. Auch einem Antrag auf Löschung persönlicher Informationen müssen Unternehmen auf Wunsch nachkommen. Auf Anfragen dieser Art müssen Unternehmen spätestens nach einem Monat antworten. Der Schutz des individuellen Persönlichkeitsrechts wird hierdurch spürbar gestärkt – Unternehmen müssen sich allerdings zuerst selbst in die Lage bringen, dies leisten zu können.

Vertrauen nicht verspielen!

Hinzu kommen weitere Aufgaben: In zahlreichen Unternehmen müssen jetzt Datenschutzerklärungen und Verträge an die neue Verordnung angepasst werden. Außerdem muss die IT-Sicherheit geprüft und im Zweifelsfall von Grund auf umgestellt werden. Niemand möchte, dass seine Gesundheitsdaten gehackt werden. Und sollte doch eine Datenpanne auftreten, sind Unternehmen nun verpflichtet, diese binnen 72 Stunden sowohl an die zuständige Aufsichtsbehörde als auch an die Betroffenen selbst zu melden. Besonders für Einrichtungen des Gesundheitswesens ginge damit wohl zunächst ein immenser Vertrauensverlust einher – selbst wenn die durch die Verordnung verbesserte Transparenz im Grunde lobenswert ist.

Es gibt aber auch keinen Weg daran vorbei: Zuwiderhandlung und Nichteinhaltung werden drakonisch bestraft. Mit der EU-DSGVO können Bußgelder künftig bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Umsatzes einer Unternehmensgruppe betragen.

Insofern sollten Unternehmen die kommenden Neuerungen durchaus ernst nehmen und mit der Umsetzung der Verordnungsinhalte schnellstmöglich beginnen, sollte dies nicht schon geschehen sein. Dimension Data steht gemeinsam mit Ihrer Schwester NTT Security dabei als kompetenter Partner zur Seite.

 


Zusammen beschäftigen Dimension Data und NTT Security in Deutschland über 210 Security Experten, die seit über 20 Jahren Unternehmen in allen Belangen der Informationssicherheit beraten. Im Bereich Governance, Risk und Compliance beraten die Experten in den Bereichen: Datenschutz, ISMS/ISO27000, Risiko Management und Business Continuity Management.

Sie wollen wissen, ob Ihr Unternehmen für die neuen Anforderungen gerüstet ist? Dann machen Sie jetzt unseren kostenlosen Schnelltest unter: http://www.schnelltest-security-dsgvo.de/

Bei Fragen dazu und zu weiteren Security Themen stehen Ihnen unsere Experten für das Gesundheitswesen zur Verfügung:

Amr Seckinger, Amr.Seckinger@dimensiondata.com ,Twitter: @SeckingerAmr

Matthias Körbitzer, Matthias.Koerbitzer@dimensiondata.com, Twitter @MKoerbitzer.

Dem Team Forschung, Lehre und Gesundheitswesen können Sie zudem auf Twitter unter @R_EDU_HC_DiData folgen.

    Matthias Körbitzer ist Leiter Sales Research, Education, Healthcare Salesteam bei Dimension Data Deutschland