Die DSA ist bereits seit Mai 2024 in Kraft, NIS2 befindet sich in der finalen Phase. Beide Regelwerke stellen Einrichtungen im Gesundheitswesen vor regulatorische Herausforderungen im IT- und Datenhandling. Online-Gesundheitsplattformen und -dienste, die Telemedizin und KRITIS-Einrichtungen wie Kliniken leiden besonders unter den neuen Standards für Datenschutz und Sicherheit. Dabei stehe jedoch nicht nur der Schutz sensibler Patientendaten im Fokus, auch die eigenen Daten der Branchenteilnehmer – sprich die Gesamtheit ihrer Kommunikation, betont das Unternehmen Consultix.
Wie können Gesundheitsdienste sicher kommunizieren?
Krankenhäuser, Gesundheitszentren, Labore, Apotheken, Arztpraxen sowie Reha- und Pflegeeinrichtungen – sie alle kennen die schwierigen Bedingungen im Umgang mit Daten ihrer Branche. Doch bald schlage mit NIS2 für Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Mio. Euro die Stunde der aktuellen Cybersicherheit. „Zudem gilt weiterhin die DSGVO, wegen der viele Gesundheitseinrichtungen Sorge haben, gegen geltendes Recht zu verstoßen“, gibt Jörn Bittner, Senior Consultant bei Consultix, zu bedenken. Denn Gesundheitsdaten gehören zu der besonders geschützten Kategorie an Personendaten. Versorger im Health-Umfeld dürften nur notwendige personenbezogene Daten erheben und verarbeiten, Mitarbeiter unterliegen der beruflichen Schweigepflicht und Akten von Patientinnen und Patienten müssten vor unbefugtem Zugriff geschützt sein. Die Verarbeitung dieser Daten müsse in einem nachvollziehbaren Verzeichnis erfolgen.
Dass diese Rahmenbedingungen tatsächlich zu horrenden Bußgeldern führen können, zeigen immer wieder neue Beispiele. 2024 habe beispielsweise ein Unternehmen der Gesundheitsbranche gegen Art. 6 Abs. 1 DSGVO, also die rechtmäßige Datenverarbeitung, verstoßen und sei mit einem Bußgeld von 37.500 Euro belegt worden. Auch eine Apotheke habe einen Bußgeldbescheid von 6.500 Euro erhalten aufgrund von unsachgemäß entsorgten Daten in einem Raum, zu dem Fremde Zugriff hatten. Ein Anbieter von Software für medizinische Analyselabore habe ein Bußgeld über 1,5 Mio. Euro bekommen, weil er gegen die DSGVO verstoßen hatte und Gesundheitsdaten von 500.000 Personen offengelegt hatte. Die Gefahr eines hohen Bußgeldes sei somit allgegenwärtig. Gleichzeitig geraten große ausländische Softwareunternehmen immer wieder in den Verdacht, nicht immer DSGVO-konform zu sein, betonen Kritiker. Kritisiert wird zudem mangelnde Transparenz und rechtswidrige Datenübermittlungen in Drittstaaten wie die USA. Diese Kritikpunkte seien nicht vollständig ausgeräumt worden, so Consultix.
Die Wahl für oder gegen US-Software und IT-Strukturen der großen Hyperscaler betreffe auch das Gesundheitswesen. „Antwort auf die steigende Nachfrage nach DSGVO-konformem Online-Austausch bieten europäische Lösungen wie Jitsi Meet oder Matrix Messenger Element, welche Videokonferenzen verschlüsseln, und Nextcloud für den Austausch von Dokumenten“, so der Kommunikationsexperte. Anbieter solcher Tools würden auf individuelle Anforderungen von Gesundheitseinrichtungen eingehen und dem Personal persönliche Berater zur Seite stellen, die die Implementierung begleiten. Betrieben auf eigenen Servern in Deutschland, sollen sie sichere digitale Meetings per Web-Browser oder Client auf allen Endgeräten bieten.
Weitere Informationen unter www.consultix.de
Artikel teilen