Digitale Healthcare und Cybersicherheit
Geschrieben von Christina Webersohn, veröffentlicht am 13.03.2020Das Gesundheitswesen durchläuft derzeit den Prozess einer immer weiter zunehmenden Digitalisierung: Kliniken und Arztpraxen werden stärker untereinander vernetzt, digitale Patientenakten sind auf dem Vormarsch und der Gebrauch von internetfähiger Hard- und Software ist beinahe Normalität geworden. Mit dieser Entwicklung einher geht auch ein steigendes Risiko für die Sicherheit der Cybersysteme.
DSGVO verpflichtet medizinische Einrichtungen
Schon die DSGVO würdigt in Form von Art. 9 Abs. 1 DSGVO Gesundheitsdaten als besondere Kategorie personenbezogener Daten, deren Verarbeitung nur unter den bestimmten Ausnahmetatbeständen des Abs. 2 lit. h) derselben Vorschrift gestattet ist: Lediglich im Rahmen der medizinischen Versorgung und Gesundheitsvorsorge sowie der Arbeitsmedizin dürfen Patientendaten erhoben und verwendet werden. Die Verarbeitung darf ferner einzig durch das dem Berufsgeheimnis unterliegendem Fachpersonal erfolgen und muss unbedingt anhand der datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO erfolgen.
Dennoch zeigen Statistiken der Datenschutzbehörden, dass diese Maßstäbe anscheinend nicht immer eingehalten werden. Denn allein zwischen Mai 2018 und November 2019 wurden z.B. 850 Datenpannen in Form von falsch zugestellten Patientenunterlagen gemeldet.
Patienteninfomationen sind begehrt
Potenziell noch gravierender als der Versand von Gesundheitsdaten an einen falschen Adressaten sind kriminelle Handlungen, die sich gegen die Cybersicherheit des Gesundheitsbereichs richten.
Vielen in Erinnerung eingebrannt hat sich exemplarisch ein Vorfall aus dem Jahr 2017, als die Ransomsoftware Wannacry für Schlagzeilen sorgte. Durch Einsatz dieses Trojaners versuchten kriminelle Akteure Lösegelder zu erpressen, indem unter anderem medizinische Einrichtungen angegriffen wurden. Besonders betroffen waren Institutionen des britischen Gesundheitssektors, darunter 45 Arztpraxen und Krankenhäuser.
Als Glück im Unglück konnte im Rahmen der Wannacry-Attacke der Umstand angesehen werden, dass es den Tätern um Geldzahlungen, nicht aber um die Entwendung oder missbräuchliche Verwendung der Patientendaten ging. Schließlich werden Gesundheitsdaten auf dem Schwarzmarkt besonders hoch gehandelt, wie eine Studie von Kaspersky aufzeigt.
Datensicherheit als Vertrauensfaktor
Auswertungen der Wirtschaftsprüfungsgesellschaft PWC haben außerdem gezeigt, dass den Patienten die oben geschilderten Gefahren längst bewusst geworden sind. So treibt die Angst um einen Ausfall der Computersysteme immerhin 28% der Befragten um, lediglich knapp die Hälfte sieht Kliniken und Praxen als gut vorbereitet auf Cyberangriffe an. Ähnlich skeptisch wird der Umgang mit Datenpannen bewertet – nur zwei Drittel der Befragten gehen davon aus, dass im Fall der Fälle auch eine ordnungsgemäße Meldung an die Aufsichtsbehörden erfolgt.
Fazit
Die in diesem Beitrag gegebene Beschreibung über den gegenwärtigen Stand zur Datensicherheit im Gesundheitswesen zeigt, dass gerade in diesem Sektor besondere Sorgfalt gelten sollte: Nicht nur da eine besondere Kategorie personenbezogener Daten im Sinne der DSGVO vorliegt, sondern auch weil durch die verschiedenen Akteure (Ärzte, Kliniken, medizinische Geräte) sehr viele Angriffspunkte vorliegen. Darüber hinaus sind es auch die Patienten selbst, die inzwischen Datenschutz und IT-Sicherheit einfordern.
Im Falle von Rückfragen zu diesem Thema helfen wir von der WS Datenschutz GmbH Ihnen gerne.