Gesundheitswesen: Wie ein Datenschutzkoordinator Ihre Organisation sicherer macht
Im Gesundheitswesen ist Datenschutz besonders wichtig. Die Datenschutz-Grundverordnung (DSGVO) der EU stellt die Unternehmen der Branche weiterhin vor große Herausforderungen. Ein Datenschutzkoordinator kann die Umsetzung wesentlich verbessern.
Die meisten Unternehmen der Gesundheitsbranche benennen Datenschutzbeauftragte. Wer gesetzlich verpflichtet ist, vermeidet damit mögliche Bußgelder (bis zu 2% vom Jahresumsatz). Doch auch wer keiner Pflicht unterliegt, benötigt das Expertenwissen. Es dürfen sowohl eigene Beschäftigte als auch Externe benannt werden. Den Datenschutz umsetzen, muss jedoch die gesamte Organisation.
Datenschutzberater und -koordinator Hand in Hand
Der Münchener IT-Sicherheits- und Datenschutzexperte msecure bietet branchenspezifische Schulungen. Bildquelle: iStock / alvarez
Am besten wirkt Datenschutz, wenn er in die täglichen Abläufe integriert ist. Um Probleme zu erkennen und schnell zu klären, sind Mitarbeiter vor Ort als „Ersthelfer“ in Datenschutzfragen eine Option, die sich in der Praxis zunehmend durchsetzt. Der Münchener IT-Sicherheits- und Datenschutzexperte msecure bietet entsprechende branchenspezifische Schulungen in denen auch auf die individuellen Anforderungen von Unternehmen eingegangen wird. Im Gesundheitswesen müssen besonders strenge Spielregeln gelten, daher kann sich die Berufung und Ausbildung eines Datenschutzkoordinatoren für Unternehmen der Branche besonders auszahlen.
Was macht ein EU-Datenschutzkoordinator?
- Schnittstelle zwischen (externen) Datenschutzbeauftragen und den Fachbereichen
- Erkennen von Datenschutzfragen in der täglichen Arbeit
- Beratung von Führungskräften, besonders in kleineren Organisationen
- Ansprechpartner zum Thema DSGVO in den Unternehmen vor Ort
- Mitwirkung an der Pflege von Datenschutzdokumenten
- Unterstützung des Datenschutzbeauftragten
- Sensibilisierung der Mitarbeiter, die mit personenbezogenen Daten arbeiten
DSGVO im Gesundheitswesen besonders wichtig
In kaum einer Branche ist der Schutz personenbezogener Daten so wichtig, wie im Gesundheitswesen. Bildquelle: iStock / laflor
Maßgebliches Ziel der DSGVO ist der Schutz personenbezogener Daten. Und es gibt kaum eine Branche, in der das so wichtig ist, wie im Gesundheitswesen. Denn beispielsweise sollte ein Arbeitgeber nicht erfahren, welche Erkrankungen potenzielle oder bestehende Mitarbeiter haben. Ärztliche Arbeitsunfähigkeitsbescheinigungen zur Vorlage beim Arbeitgeber sind daher stets frei von Diagnose-Informationen. Wie LANline den IT-Sicherheitsexperten der PSW Group zitiert, zeigt die Vergangenheit, dass ausgerechnet im hochsensiblen Bereich der Gesundheit, bei Ärzten und Apothekern großer Nachholbedarf beim Datenschutz bestehe.
Thomas Bürkle, Datenschutzbeauftragter der msecure und langjähriger IT-Leiter in Kliniken, verweist auf etliche Hürden bei der Umsetzung von IT-Sicherheit: Die Knappheit von qualifiziertem IT- Personal, die geringe Auswahl an Branchensoftware mit aktuellen Sicherheitsstandards, manchmal aber auch eine geringe Akzeptanz von restriktiven Sicherheitseinstellungen. Und selbst gut geschulte Mitarbeiter fallen mitunter auf gut gemachte Phishing-Mails herein.
Eklatante Hacks und Datenpannen häufen sich
Aus den Pressemeldungen der letzten Monate entsteht tatsächlich der Eindruck, dass es um den Datenschutz und die IT-Sicherheit im Gesundheitswesen nicht gut bestellt ist. So wurde im Juli 2019 ein kompletter Verbund von Krankenhäusern und Altenpflegeeinrichtungen durch einen Cyberangriff lahmgelegt. Konkret haben die Angreifer Ransomware (Erpresse-Software) in die Netzwerke des DRK Rheinland-Pfalz eingeschleust und darüber wichtige Patientendaten verschlüsselt. Wie Bürkle sagt, wurden bei den Angriffen die Patientendaten zwar nicht entwendet, durch die Dateiverschlüsselung musste der normale Krankenhaus- und Pflegeheimbetrieb jedoch für mehrere Tage unterbrochen werden, was jeweils erhebliche Kosten nach sich zog.
Ebenfalls erst vor Monaten wurde bekannt, dass Millionen von Patientendaten auf öffentlichen Servern einsehbar waren. Betroffen waren hier mehr als 13.000 Datensätze von Patienten in Deutschland, darunter auch mit hochauflösenden Bildern und, im Sinne der DSGVO schlimmer noch, mit personenbezogenen Daten wie Name und Geburtsdatum, Behandlungs- und Arztinformationen. Im Gespräch mit der Ärzte Zeitung hebt die Deutsche Krankenhausgesellschaft (DKG) hervor, dass für die Krankenhäuser der Schutz der Patientendaten extrem wichtig ist. Gleichzeitig stellt sie fest, dass die Vorgaben hoch komplex sind und die notwendigen Maßnahmen zur Datensicherheit von den Klinken große Anstrengung verlangen. Fehler ließen sich nie gänzlich ausschließen.
Im Gesundheitswesen sind besonders sensible Daten laut msecure solche, die Behandlungen, Vorerkrankungen und Diagnosen betreffen. Für Unternehmen der Branche gelten bei der DSGVO noch weitergehende Auflagen. Gesundheitsinformationen unterliegen der ärztlichen Schweigepflicht und dürfen nur unter bestimmten Voraussetzungen erhoben werden. Dazu ist in jedem Fall die Einwilligung oder Zustimmung des Patienten oder seines gesetzlichen Vertreters erforderlich. Nur in seltenen Ausnahmefällen dürfen Patientendaten an Dritte übermittelt werden. Dazu muss in der Regel ebenfalls die Einwilligung des Patienten oder seines gesetzlichen Vertreters vorliegen.
Den Datenschutz im Gesundheitswesen stärken
EU-Datenschutzkoordinatoren können in speziellen Seminaren spezifische Grundlagen für die DSGVO-Vorschriften im Gesundheitswesen vermittelt bekommen. Dazu gehören Krankenhausgesetze, Patientenrechte, die Schweigepflicht und unter welchen Voraussetzungen Ärzte davon entbunden werden können. All dies und mehr lernen EU-Datenschutzkoordinatoren auch in den Online- und Vor-Ort-Schulungsangeboten von msecure. Im neuen Online-Seminar werden in knapp drei Stunden wichtige Basis-Infos zu DSGVO und Co. vermittelt, sodass Unternehmen nicht mehr auf externe Fachkräfte setzen müssen, die schwierig zu finden sind, sondern eine interne Lösung zur Verfügung haben. Nach der Schulung können Teilnehmer ihr Wissen testen und das Seminar mit einem Fachkundenachweis abschließen. Tipp der Security Today Redaktion: Im Februar erhalten Sie einen Rabattcode und sparen 15 Prozent vom Originalpreis.
Mitarbeiter, die sich in Seminaren zu EU-Datenschutzkoordinatoren ausbilden lassen, können intern Problemstellungen schnell identifizieren, stehen für Fragen zur Verfügung und können im Team das Bewusstsein für das Thema Datenschutz stärken. Auch bei der Aufdeckung und Behebung von Pannen können sie mitwirken, Auftragsverarbeitungen als solche erkennen und prüfen, ob Datenschutzmaßnahmen wirksam sind. Gerade im Gesundheitswesen kann der EU- Datenschutzkoordinator in Zusammenarbeit mit einem Datenschutzbeauftragten und der Geschäftsleitung einen wichtigen Beitrag für eine reibungslose Umsetzung der DSGVO leisten. Mehr Informationen zum EU-Datenschutzkoordinator erhalten Sie hier.
