Mangelnder Schutz personenbezogener Daten wird 2018 bestraft

Krankenhäuser sind zunehmend Zielscheibe von Cyberattacken. Wenn sie nicht das Vertrauen ihrer Patienten verlieren wollen, müssen sie mehr in Datensicherheit investieren. Sollte dies nicht genug Anreiz sein, sollte die EU-Datenschutzverordnung dazu anspornen.

By
Cornelia
Wels-Maug

Mit der Digitalisierung von Patientendaten ist auch der Wert am Schwarzmarkt für diese Art von Informationen gestiegen. Es sind längst nicht mehr nur Krankenhäuser in den USA, die wegen Hackerangriffen Schlagzeilen machen. Auch Krankenhäuser in Deutschland werden zunehmend Opfer solcher Angriffe, dies wurde nur allzu deutlich als im Februar 2016 das Lukaskrankenhaus in Neuss sowie das Klinikum Arnsberg von einer Ransomware Angriff betroffen wurden.

Die EU-Datenschutzgrundverordnung forciert mehr Sicherheitsvorkehrungen

Der Schutz vor Cyberangriffen wird daher für Krankenhäuser und andere medizinische Einrichtungen immer dringlicher. Ansonsten laufen sie Gefahr, nicht nur ihren guten Ruf aufs Spiel zu setzten, sondern auch, gegen geltendes Recht zu verstoßen und das kann sie teuer zu stehen kommen. Unter der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (EU-DSGVO) zum Schutz personenbezogener Daten kann das Zuwiderhandeln mit bis zu 4 Prozent des Jahresumsatzes einer Institution geahndet werden.

Allerdings sollte dieses Gesetz die Krankenhäuser nicht ganz unvorbereitet treffen, da sie ja bereits durch den Gesetzgeber per IT-Sicherheitsgesetz (IT­SiG) verpflichtet sind, bis Mitte 2019 ihre IT-Sicherheit nach dem aktuellen Stand der Technik zu gewährleisten, um so das Ausfallrisiko einer kritischen Infrastruktur zu verringern. Um dieser Verpflichtung nachzukommen, können Klinikbetreiber ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 implementieren.

Bürger sehen Gefahr der Cyberkriminalität in Krankenhäusern

Die Sicherheit ihrer medizinischen Informationen beschäftigt auch die potentiellen Patienten. Eine Anfang Dezember 2017 veröffentlichte Studie der Strategieberatung PwC untersuchte unter anderem, wie die Bundesbürger die Sicherheit ihrer medizinischen Daten in der Obhut von Krankenhäusern einschätzen. Die Untersuchung fußt auf einer bevölkerungsrepräsentativen Umfrage, die im Mai 2017 unter 1.000 Deutschen ab 16 Jahren mithilfe eines Onlinepanels durchgeführt wurde.

Die Untersuchung zeigt klar, dass den Bürgern die Sicherheit ihrer eigenen Daten am Herzen liegt: 70 Prozent der Befragten möchten im Behandlungsfall von Krankenhausseite informiert werden, wie ihre persönlichen Daten geschützt werden. Zweiundsechzig Prozent der Studienteilnehmer geben an, sicher zu sein, dass ihre Patientendaten in einem Krankenhaus, in dem sie behandelt würden, "in guten Händen" seien. Gleichzeitig äußern 61 Prozent Bedenken, dass durch Cyberangriffe auch persönliche Daten gestohlen werden könnten und 40 Prozent haben „das Gefühl, dass die meisten Krankenhäuser genug tun, um sich gegen Cyberkriminalität zu schützen“, aber die restlichen 60 Prozent stimmen dem nicht zu.

Obwohl auch Arztpraxen potenzielles Ziel Cyberkrimineller sind, sehen die Befragten dort ihre Daten besser aufgehoben als in einem Krankenhaus. So stimmen 63 Prozent der Befragten der Aussage zu, dass sie ihrem Hausarzt beim Umgang mit ihren persönlichen Patientendaten mehr vertrauten als Krankenhausärzten.

PwC sieht ein ISMS als wichtigstes Instrument, um Daten vor Manipulationen oder nicht autorisierten Zugriffen zu schützen. Es sei in der Lage, „die Vertraulichkeit, Verfügbarkeit und Integrität nicht nur geschäftskritischer, sondern auch personenbezogener Informationen zu sichern“.

Cornelia Wels-Maug

erforscht seit 21 Jahren den Einsatz von IT in diversen Industriesektoren und hat sich vor fast zehn Jahren auf den Gesundheitsmarkt spezialisiert. Sie verfasst Artikel, Fallstudien und Weißbücher über den weltweiten Markt für IT im Gesundheitswesen undhält Vorträge und Webinare. Gleichzeitig ist sie auch als Analystin für den internationalen Gesundheitsmarkt bei einer englischen Firma tätig.

Daten schützen

Interview mit Johannes Caspar, Landesdatenschutzbeauftragter Hamburg

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler

In IT-Sicherheit investieren

IT-Sicherheitsgesetz greift seit Juni im Gesundheitswesen