Für medizinische Einrichtungen gelten besonders strenge Vorgaben zur IT-Sicherheit und zum technischen Datenschutz. Je mehr Patientendaten verarbeitet werden, umso höher sind diese Anforderungen. Abgesehen von dieser allgemeingültigen Regel, ergibt sich dies für Krankenhäuser sogar direkt aus dem Gesetz. Der Aufbau eines Managementsystems für die Informationssicherheit ist mit Einführung des Patientendaten-Schutz-Gesetzes zwingend. Unsere Experten helfen Ihnen, ein entsprechendes Informationssicherheits-Managementsystem (ISMS) zu errichten, Vorgaben zu erfüllen und kommende Prüfungen erfolgreich zu bestehen.

Die wichtigsten Fragen zur Informationssicherheit in Krankenhäusern

Anforderungen an die Informationssicherheit in Krankenhäusern

Die Anforderungen an die IT- bzw. Informationssicherheit und an den (technischen) Datenschutz in Krankenhäusern ergeben sich aus diversen Gesetzen. Auf europäischer Ebene ist dies zunächst die Datenschutz-Grundverordnung (DSGVO). In Deutschland kommen zentral die durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) angestoßenen Änderungen des BSI-Gesetzes, die BSI-Kritisverordnung und das Patientendaten-Schutz-Gesetz (PDSG) hinzu. Für Krankenhäuser in konfessioneller Trägerschaft gelten zudem das Gesetz über den Kirchlichen Datenschutz (KDG) bzw. das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz). Auch in anderen Gesetzen verstecken sich Vorschriften, die erheblichen Einfluss auf die eingesetzten Lösungen haben können, insbesondere wenn diese über Dienstleister bezogen werden.

Die wichtigste Anforderung an die Informationssicherheit von Krankenhäusern ist die Gewährleistung von

Verfügbarkeit

Integrität

Authentizität

und Vertraulichkeit

Dafür müssen technische und organisatorische Maßnahmen getroffen werden, die dem Stand der Technik entsprechen.

Nachweis der Informationssicherheit für KRITIS-Krankenhäuser

Für die Informationssicherheit in KRITIS-Krankenhäusern sind die Vorgaben des § 8a BSIG entscheidend. Demnach müssen Betreiber Kritischer Infrastrukturen ihre IT-Sicherheit nach dem Stand der Technik umsetzen und die Einhaltung dessen regelmäßig gegenüber dem BSI nachweisen. Auch das Erreichen eines angemessenen Datenschutzniveaus gemäß DSGVO muss auf Anfrage von Aufsichtsbehörden aktiv nachgewiesen werden.

Zur Erfüllung dieser gesetzlichen Vorgaben sollten KRITIS-Krankenhäuser ein geeignetes Managementsystem errichten. Sei es ein Datenschutz-Managementsystem (DSMS), ein Informationssicherheits-Managementsystem (ISMS) oder – was am sinnvollsten wäre – ein Managementsystem, welches alle Aspekte gleichermaßen berücksichtigt.

Aus praktischer Sicht empfiehlt sich der Aufbau eines ISMS auf der Basis der hierfür einschlägigen, international anerkannten Norm ISO 27001 in Verbindung mit deren Anhang A sowie der ISO 27002 mit ihren ergänzenden Hinweisen zu geeigneten Maßnahmen. Alternativ wäre ein Vorgehen nach ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz), dieses ist erfahrungsgemäß aber mit deutlich mehr Aufwand verbunden.

Um den Nachweis gegenüber dem BSI zu erbringen, können KRITIS-Krankenhäuser auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten Branchenspezifischen Sicherheitsstandard (B3S) zurückgreifen. Dieser B3S ist als Prüfkatalog zwar nicht zwingend, es ist aber fraglich, ob es sinnvoll ist, einen eigenen Ansatz zu suchen und diesen dann möglicherweise gegenüber einem Prüfer und dem BSI verteidigen zu müssen.

Weitere Informationen zum Aufbau eines ISMS und Nachweis geeigneter Maßnahmen erhalten Sie hier:

Nachweis der Informationssicherheit für Nicht-KRITIS-Krankenhäuser

Durch das Patientendaten-Schutz-Gesetz (PDSG) wird es unter anderem künftig einen neuen § 75c SGB V geben. Demnach müssen auch Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, bis zum 31. Dezember 2021 nachweisen können, dass sie dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz von Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen haben.

Wie dieser Nachweis erfolgen soll, wird derzeit noch von der Deutschen Krankenhausgesellschaft (DKG) mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verhandelt.

Was darüber bereits bekannt ist, welche Lehren Sie aus dem bestehenden B3S (für KRITIS-Krankenhäuser) ziehen können und wie Sie sich jetzt schon vorbereiten sollten, erfahren Sie in unserem kostenlosen Webinar!

    Anmeldung zum Webinar für Nicht-KRITIS-Krankenhäuser

    Ja, ich will am Webinar zur Informationssicherheit in Krankenhäusern teilnehmen (Termin wird zeitnah bekanntgegeben) und von der activeMind AG über Neuigkeiten zu diesem Thema informiert werden. Die weiteren Informationen zur Verarbeitung meiner Daten habe ich zur Kenntnis genommen.

    Ausblick zu Gesetzgebung und Sanktionen

    Aktuell (Stand Oktober 2020) wird der Entwurf des IT-Sicherheitsgesetzes 2.0 noch weiterverhandelt. Vieles ist derzeit noch nicht im Detail geklärt. Eine wesentliche Änderung scheint allerdings festzustehen: Verstöße gegen Vorgaben sind nicht weiter folgenlos. Nicht nur werden Bußgelder eingeführt, diese sind auch äußerst empfindlich! Wie es die DSGVO vorgemacht hat, findet sich im aktuellen Entwurf für die Novelle des IT-Sicherheitsgesetzes ein Bußgeldrahmen von 20 Millionen Euro oder 4% des letzten Jahresumsatzes – je nachdem, was höher (!) ist.

    Sie wollen die Informationssicherheit in Ihrem Krankenhaus schnellstmöglich zur Compliance bringen? Dann bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten!