eHealth & Pateintensicherheit

eHealth? Nicht auf Kosten der Patientensicherheit!

Bei eHealth geht es nicht mehr nur um die elektronische Patientenakte: digitale Gesundheitsangebote treiben den Markt voran und Fitness-Tracker und Smartwatches prägen den Alltag vieler Deutscher. Die zugehörigen Gesundheits-Apps sammeln und nutzen sensible – oft personenbezogene – Daten. Einige Anbieter haben jedoch Probleme mit der Umsetzung der gesetzlich vorgeschriebenen Datenschutzrichtlinien.

Datenschutz und Schweigepflicht

Für Server-Betreiber, App-Anbieter und Dienstleister gelten andere Regeln als für Ärzte, die der Verschwiegenheitspflicht nach §203 StGB unterliegen. Zwar gibt es strenge Anforderungen für den Umgang mit personenbezogenen Daten, die in der DSGVO und im Bundesdatenschutzgesetz geregelt sind. In der Praxis zeigt sich allerdings, dass sich organisatorische Schutzmaßnahmen, wie sie die DSGVO in Artikel 32 fordert, verhältnismäßig leicht umgehen lassen. Dazu gehören beispielsweise Rechts- und Rollenkonzepte. Cyberkriminelle könnten existierende privilegierte Zugänge ausnutzen, um sich Zugang zu den Servern zu verschaffen und vertrauliche Daten einzusehen, zu manipulieren oder zu entwenden. Da jedoch schon eine mögliche Kenntnisnahme vertraulicher Informationen einen Verstoß gegen die Verschwiegenheitspflicht darstellt, muss diese ausgeschlossen sein.

IT-Sicherheit schafft Patientensicherheit

Um sensible Patientendaten vor Kenntnisnahme, Manipulation oder Verlust zu schützen, braucht es eine manipulationssichere und präventive rein technische Lösung, die jeglichen Zugriff – auch privilegierten – zuverlässig unterbindet. Doch viele Public-Cloud-Angebote und sogar einige Business Clouds tun sich damit schwer. Denn die meisten Rechenzentren sehen privilegierte Admin-Zugänge zu Monitoring- oder Wartungszwecken vor.

Einen gänzlich anderen Ansatz verfolgen sogenannte versiegelte Infrastrukturen: Hier wurden die oben genannten organisatorischen Schutzmaßnahmen vollständig durch rein technische Maßnahmen ersetzt. Diese lassen sich auch mit hohem Aufwand nicht umgehen. Die Server sind hermetisch abgeriegelt, ein privilegierter Zugriff durch Admins oder Mitarbeiter ist nicht vorgesehen. Damit ist eine mögliche Kenntnisnahme vertraulicher Daten ebenso ausgeschlossen wie Diebstahl oder Manipulation.

„Gesundheitsminister Spahn fordert mehr Patientensicherheit. Langfristig werden wir diese nur durch bessere IT-Sicherheit realisieren können. Doch dazu muss sich IT-Sicherheit wie auch vom Gesetzgeber gefordert am Stand der Technik orientieren“, sagt uniscon-CTO Dr. Hubert Jäger.

Haben wir Ihre Neugier geweckt? Bereits jetzt setzen Praxen und Kliniken zur Übertragung sensibler Dokumente auf den hochsicheren Cloud-Dienst idgard®. Melden Sie sich jetzt zum kostenlosen Test an!