Das Patientendaten-Schutz-Gesetz und der §75c SGB V
Im Gesundheitswesen schreitet die Digitalisierung mit großen Schritten voran. Das bringt neben Vorteilen wie effizienteren und damit kostengünstigeren Prozessen sowie einer besseren Verfügbarkeit von Daten auch Risiken mit sich. In Krankenhäusern beispielsweise wird mit hochsensiblen Daten gearbeitet, die auf keinen Fall in falsche Hände fallen sollten. Gleichzeitig kann ein Ausfall der IT die Gesundheit oder sogar das Leben von Patienten gefährden. Sowohl Datenmissbrauch als auch Cyberangriffe können so gravierende Folgen haben.
Für IT-Berater Dr. Ralf Kollmann von der FIDES ist es deshalb wenig verwunderlich, dass der Gesetzgeber die Informationssicherheit in Krankenhäusern forciert. Das Patientendaten-Schutz-Gesetz (PDSG) und speziell der dadurch eingeführte § 75c SGB V stellen in diesem Zusammenhang neue Anforderungen. Anders als die Anforderungen gemäß § 8a BSI-Gesetz, die sich an Betreiber kritischer Infrastrukturen und damit an entsprechend eingestufte große Krankenhäuser richten, wirken sich die neuen Regelungen auf alle Krankenhäuser aus.
Was ist das Patientendaten-Schutz-Gesetz?
Das im Oktober 2020 in Kraft getretene Patientendaten-Schutz-Gesetz verfolgt zwei zentrale Ziele: Es soll die Digitalisierung im deutschen Gesundheitswesen vorantreiben und den Schutz vertraulicher Daten verbessern. Zum Beispiel regelt es Rahmenbedingungen zur Einführung und zum Betrieb einer elektronischen Patientenakte, digitaler Überweisungen und elektronischer Rezepte.
Strengere Vorschriften für die Informationssicherheit in Krankenhäusern
Besonders relevant für die Informationssicherheit in Krankenhäusern ist der im Rahmen des PDSG neu geschaffene § 75c Sozialgesetzbuch V (SGB V).
Er verpflichtet Krankenhäuser dazu, ab dem 1. Januar 2022
„nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“
Für die als kritische Infrastruktur eingestuften Krankenhäuser – Kliniken, die mindestens 30.000 vollstationäre Fälle pro Jahr verwalten – ändert sich damit nichts. Neu ist, wie Ralf Kollmann betont, „dass jetzt auch Krankenhäuser, die keine KRITIS-Betreiber sind, gesetzlich verpflichtet werden, stärkere, teilweise mit den Anforderungen an KRITIS-Häuser vergleichbare Maßnahmen zur Informationssicherheit zu treffen.“
Einige Erleichterungen bleiben allerdings für kleinere Häuser bestehen. Beispielsweise sind für nicht als KRITIS eingestufte Krankenhäuser keine externen Kontrollen des Informationsmanagementsystems vorgeschrieben. Auch die Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) entfällt.
Kommt es aber zu schwerwiegenden Pannen beziehungsweise Störungen der Informationssicherheit und stellt sich heraus, dass eine Klinik die gesetzlich vorgeschriebenen Anforderungen an die Cybersicherheit nicht erfüllt hat, können Haftungsrisiken bestehen oder Datenschutz-Bußgelder drohen. Hinzu kommen das Risiko eines Image-Schadens und die Gefahr, dass eine vom Krankenhaus abgeschlossene Cyberschutzversicherung die Zahlung verweigert.
Der branchenspezifische Sicherheitsstandard B3S für Krankenhäuser als zentraler Orientierungsrahmen
Um die Anforderungen des § 75c SGB V umzusetzen, orientieren sich Kliniken am besten an dem branchenspezifischen Sicherheitsstandard B3S für die Gesundheitsversorgung im Krankenhaus. Dieser Umsetzungsoption kommt eine zentrale Bedeutung zu, da sie im Gesetz ausdrücklich genannt wird. Andere Ausgestaltungen sind möglich, jedoch müssten Verantwortliche im Zweifelsfall begründen, warum sie vom B3S abweichen. Dabei ist die zentrale Frage für Ralf Kollmann nicht ob, sondern „in welchem Umfang ein Krankenhaus die Implementierung betreibt. Wesentliche Rahmenparameter des B3S Gesundheit wird jedes Krankenhaus umsetzen müssen.“
In diesem Zusammenhang und aufgrund wachsender Risiken durch Datenschutzpannen und Hackerangriffe wird auch ein Informationssicherheitsmanagementsystem (ISMS) unverzichtbar für Krankenhäuser.
Informationssicherheit in Krankenhäusern umsetzen – von der Analyse bis zum Maßnahmenplan
Auf einer abstrakten Ebene, so Ralf Kollmann, folge die Umsetzung von Cybersicherheit in Krankenhäusern einem einheitlichen Schema:
1. Falls noch nicht geschehen, muss eine Schutzbedarfsanalyse durchgeführt werden. Zentrale Fragen dabei sind: Welche Systeme und Prozesse gibt es und wo liegen vertrauliche Daten vor? Wie steht es um die Schutzbedürftigkeit dieser Assets? Nicht nur in Krankenhäusern wichtig ist die Identifizierung und Festlegung maximal tolerierbarer Ausfallzeiten der IT-Systeme. Das heißt, es muss geklärt werden, wie lange man auf ein System verzichten kann, bevor der Ausfall zu einem Problem wird.
2. Dann folgt eine Bestandsaufnahme der bisher getroffenen Maßnahmen.
3. Schließlich erstellen der Informationssicherheitsbeauftragte und gegebenenfalls ein externer Berater einen Maßnahmenplan für Informationssicherheit und Datenschutz, der sukzessive umgesetzt wird.
Im Rahmen eines "PDCA"-Zyklus (Plan-Do-Check-Act), wie ihn zum Beispiel die ISO 27001 vorsieht, sind regelmäßige Überprüfungen und Optimierungen essenzieller Bestandteil, um die getroffenen Maßnahmen auf einen angemessenen, dem Stand der Technik entsprechenden Niveau zu erhalten. Auch aus Perspektive des Datenschutzes gemäß der DSGVO gelten turnusmäßige Prüfungen als erforderlich.
Der § 75c SGB V schreibt hierzu konkret vor:
„Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.“
Wie ein Maßnahmenplan für Informationssicherheit in Krankenhäusern aussieht, unterscheidet sich laut Ralf Kollmann je nach Art und Umfang des Krankenhaus- und IT-Betriebs und Status der bereits bestehenden IT- und Sicherheitsinfrastruktur. „In einigen Krankenhäusern besteht schon eine gute IT-Infrastruktur, es müssen aber noch organisatorische Maßnahmen getroffen werden. Andere Häuser müssen zunächst Geld in die Hand nehmen, um ihre IT-Infrastruktur zu erneuern und IT-technische Grundlagen sowie Schutzmaßnahmen auf angemessenem Niveau zu implementieren.“
Manchmal sind IT-Sicherheitsrisiken durch langjährige Routine begründet. Dann kann es schwierig sein, bei den Mitarbeitern Akzeptanz für neue Vorgehensweisen zu gewinnen. Beispielsweise, so Ralf Kollmann, lasse es sich immer noch in manchen Krankenhäusern beobachten, dass zentrale Stations-PCs nicht mit einem sicheren Anmeldeverfahren ausgestattet sind. Morgens meldet sich eine Ärztin am System an und lässt das System, nachdem sie ihre Tätigkeit beendet hat, offen zugänglich. Im Verlauf des Tages nutzen dann Krankenhaus-Mitarbeiter aus verschiedenen Bereichen den PC. So arbeitet beispielsweise ein Pfleger mit den gleichen Rechten wie eine Fachärztin.
Diese vermeintlich kleine Nachlässigkeit kann erhebliche Datenschutz- und Sicherheitsrisiken nach sich ziehen. Oft wird sie damit gerechtfertigt, dass sichere Anmeldungsverfahren zu kompliziert seien. "Ein Mythos aus der Vergangenheit", ist Ralf Kollmann überzeugt. "Ein technisch sicheres und für die Mitarbeiter unkompliziertes Anmeldeverfahren lässt sich heute mit vertretbarem Aufwand für ganze Krankenhäuser einrichten."
Informationssicherheit erfordert Geld und Know-how
Viele kleinere Kliniken müssen als Folge des Patientendaten-Schutz-Gesetzes ihre IT-Infrastruktur zumindest teilweise erneuern. In manchen Fällen erhalten sie dafür Unterstützung. Denn im Rahmen des Krankenhauszukunftsgesetzes konnten Krankenhäuser im vergangenen Jahr Fördermittel für die Verbesserung ihrer digitalen Infrastruktur beantragen. Mindestens 15 Prozent der Fördermittel müssen sie für die Verbesserung der Informationssicherheit verwenden.
Doch unabhängig von finanziellen Aspekten benötigen Kliniken noch etwas, um die bestehenden Anforderungen zu erfüllen: das erforderliche Wissen und einen guten Plan.
Laut Ralf Kollmann ist es meist sinnvoll, im ersten Schritt eine Schulung zu den Inhalten des Sicherheitsstandards B3S zu besuchen. So können sich Verantwortliche einen Überblick über die bestehenden Anforderungen verschaffen und besser einschätzen, welche Maßnahmen erforderlich sind: "Oft wird dieser erste Schritt unnötig hinausgezögert, weil der Aufwand für die Umsetzung abschreckend wirkt. Dabei gibt es in den meisten Fällen keine Alternative – die Aufgabe muss zeitnah angepackt werden."
Gleichzeitig gebe es in vielen Krankenhäusern Informationssicherheitsbeauftragte und fähige IT-Mitarbeiter, die sich mit der IT-Infrastruktur vor Ort gut auskennen. Haben diese Personen die Anforderungen beispielsweise des Sicherheitsstandards B3S verstanden und auf strukturierte Weise entsprechende Maßnahmen geplant, dann ist ein wichtiger Schritt auf dem Weg zur sicheren IT-Infrastruktur getan.
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und IT
Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de