Informationssicherheit im Krankenhaus
Für medizinische Einrichtungen gelten besonders strenge Vorgaben zur IT-Sicherheit und zum technischen Datenschutz. Je mehr Patientendaten verarbeitet werden, umso höher sind diese Anforderungen. Abgesehen von dieser allgemeingültigen Regel, ergibt sich dies für Krankenhäuser sogar direkt aus dem Gesetz. Der Aufbau eines Managementsystems für die Informationssicherheit ist mit Einführung des Patientendaten-Schutz-Gesetzes zwingend. Unsere Experten helfen Ihnen, ein entsprechendes Informationssicherheits-Managementsystem (ISMS) zu errichten, Vorgaben zu erfüllen und kommende Prüfungen erfolgreich zu bestehen.
Gehört Ihr Krankenhaus zur Kritischen Infrastruktur (KRITIS)?
Ihr Krankenhaus ist dann Teil der Kritischen Infrastruktur Deutschlands, wenn mehr als 30.000 vollstationäre Fälle pro Jahr über Ihr IT-System verarbeitet werden. Für Gruppen von Einrichtungen ist nicht die Fallzahl je Haus entscheidend, sondern die Gesamtzahl aller Fälle, die insgesamt über gemeinsame IT-Systeme laufen!
Krankenhäuser müssen ihre Fallzahl jeweils bis zum 31. März für das Vorjahr überprüfen und bei Erreichen bzw. Überschreiten eine Meldung an das BSI machen. Achtung: Diese Krankenhäuser gelten bereits ab dem Folgetag (1. April) als KRITIS!
Welche Informationssicherheits-Vorgaben gelten für KRITIS-Krankenhäuser?
Krankenhäuser, die als Kritische Infrastruktur gelten, müssen seit Gültigkeit des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) die Vorgaben des § 8a BSI-Gesetz (BSIG) erfüllen.
Die IT-Sicherheit von KRITIS-Krankenhäusern ist gemäß dem Stand der Technik umzusetzen und die Einhaltung dessen regelmäßig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.
Dieser Nachweis geschieht am besten über eine Prüfung gemäß eines Branchenspezifischen Sicherheitsstandards (B3S).
Welche Informationssicherheits-Vorgaben gelten für Nicht-KRITIS-Krankenhäuser?
Mit dem Patientendaten-Schutz-Gesetz (PDSG) wurden auch die Anforderungen an Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, stark erhöht.
Auch diese Kliniken müssen bis zum 31. Dezember 2021 nachweisen können, dass sie dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz von Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen haben.
Wie dieser Nachweis erfolgen soll, wird derzeit noch von der Deutschen Krankenhausgesellschaft (DKG) und dem BSI verhandelt. Mehr dazu erfahren Sie in unserem kostenlosen Webinar!
Die Anforderungen an die IT- bzw. Informationssicherheit und an den (technischen) Datenschutz in Krankenhäusern ergeben sich aus diversen Gesetzen. Auf europäischer Ebene ist dies zunächst die Datenschutz-Grundverordnung (DSGVO). In Deutschland kommen zentral die durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) angestoßenen Änderungen des BSI-Gesetzes, die BSI-Kritisverordnung und das Patientendaten-Schutz-Gesetz (PDSG) hinzu. Für Krankenhäuser in konfessioneller Trägerschaft gelten zudem das Gesetz über den Kirchlichen Datenschutz (KDG) bzw. das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz). Auch in anderen Gesetzen verstecken sich Vorschriften, die erheblichen Einfluss auf die eingesetzten Lösungen haben können, insbesondere wenn diese über Dienstleister bezogen werden.
Die wichtigste Anforderung an die Informationssicherheit von Krankenhäusern ist die Gewährleistung von
Verfügbarkeit
Integrität
Authentizität
und Vertraulichkeit
Dafür müssen technische und organisatorische Maßnahmen getroffen werden, die dem Stand der Technik entsprechen.
Für die Informationssicherheit in KRITIS-Krankenhäusern sind die Vorgaben des § 8a BSIG entscheidend. Demnach müssen Betreiber Kritischer Infrastrukturen ihre IT-Sicherheit nach dem Stand der Technik umsetzen und die Einhaltung dessen regelmäßig gegenüber dem BSI nachweisen. Auch das Erreichen eines angemessenen Datenschutzniveaus gemäß DSGVO muss auf Anfrage von Aufsichtsbehörden aktiv nachgewiesen werden.
Zur Erfüllung dieser gesetzlichen Vorgaben sollten KRITIS-Krankenhäuser ein geeignetes Managementsystem errichten. Sei es ein Datenschutz-Managementsystem (DSMS), ein Informationssicherheits-Managementsystem (ISMS) oder – was am sinnvollsten wäre – ein Managementsystem, welches alle Aspekte gleichermaßen berücksichtigt.
Aus praktischer Sicht empfiehlt sich der Aufbau eines ISMS auf der Basis der hierfür einschlägigen, international anerkannten Norm ISO 27001 in Verbindung mit deren Anhang A sowie der ISO 27002 mit ihren ergänzenden Hinweisen zu geeigneten Maßnahmen. Alternativ wäre ein Vorgehen nach ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz), dieses ist erfahrungsgemäß aber mit deutlich mehr Aufwand verbunden.
Um den Nachweis gegenüber dem BSI zu erbringen, können KRITIS-Krankenhäuser auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten Branchenspezifischen Sicherheitsstandard (B3S) Medizinische Versorung zurückgreifen. Dieser B3S ist als Prüfkatalog zwar nicht zwingend, es ist aber fraglich, ob es sinnvoll ist, einen eigenen Ansatz zu suchen und diesen dann möglicherweise gegenüber einem Prüfer und dem BSI verteidigen zu müssen.
Durch das Patientendaten-Schutz-Gesetz (PDSG) gibt es unter anderem einen neuen § 75c SGB V. Demnach müssen auch Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, bis zum 31. Dezember 2021 nachweisen können, dass sie dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz von Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen haben.
Aktuell (Stand Oktober 2020) wird der Entwurf des IT-Sicherheitsgesetzes 2.0 noch weiterverhandelt. Vieles ist derzeit noch nicht im Detail geklärt. Eine wesentliche Änderung scheint allerdings festzustehen: Verstöße gegen Vorgaben sind nicht weiter folgenlos. Nicht nur werden Bußgelder eingeführt, diese sind auch äußerst empfindlich! Wie es die DSGVO vorgemacht hat, findet sich im aktuellen Entwurf für die Novelle des IT-Sicherheitsgesetzes ein Bußgeldrahmen von 20 Millionen Euro oder 4% des letzten Jahresumsatzes – je nachdem, was höher (!) ist.
Ausgewählte Krankenhäuser, die wir bei Informationssicherheit und Datenschutz unterstützen
