Compliance-Check

IT-Standards im deutschen Gesundheitswesen

| Autor / Redakteur: Jessica Cooper* / Stephan Augsten

Die IT-Standards des deutschen Gesundheitssektors sollten auf Herz und Nieren geprüft werden.
Die IT-Standards des deutschen Gesundheitssektors sollten auf Herz und Nieren geprüft werden. (Bild: Archiv)

In den USA regelt der HIPAA-Standard, wie der Gesundheitssektor persönliche Daten handhabt. Das IT-Sicherheitsgesetz und andere Datenschutz- sowie Compliance-Vorgaben werden das Thema auch In Deutschland befeuern. Doch welche Regularien müssen hierzulande wirklich eingehalten werden?

Wenn es um Sicherheitsverstöße im Healthcare-Bereich geht, sind die Compliance-Vorgaben wohl nirgendwo strenger als in den USA. Beispielweise muss der Verlust personenbezogener Informationen laut der „Breach Notification Rule“, die im Health Insurance Portability and Accountability Act (HIPAA) enthalten ist, zwingend gemeldet werden.

Sogar die Veröffentlichung in einer „List of Shame“ ist möglich. Dadurch werden Zwischenfälle für jedermann online einsehbar. Die HIPAA-Norm legt in den USA die Regeln für die Cybersicherheit im Gesundheitssektor fest.

Nach Inkrafttreten des IT-Sicherheitsgesetzes hat auch in Deutschland die Diskussion über Gesundheitsdaten an Bedeutung gewonnen. Die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) und die Datenschutzgrundverordnung (GDPR) der EU enthalten ebenfalls eine umfassende Definition von schützenwerten Patientendaten. Das Problem ist nun, wie diese Definition in die Praxis umgesetzt werden kann.

Die HIPAA-Norm wird hauptsächlich in den Vereinigten Staaten angewandt, aber auch das IT-Sicherheitsgesetz erwähnt die Notwendigkeit branchenspezifischer Sicherheitsstandards. Bisher gibt es hier nichts, was sich mit dem HIPAA vergleichen ließe.

In Deutschland gibt es keine spezielle IT-Verordnung, aber die ärztliche Schweigepflicht ist ein sehr heikles Thema. Man kann davon ausgehen, dass ein großes gesellschaftliches Interesse am Thema Schutz von Patientendaten besteht, allerdings gibt es noch keine Normen, die diesem Interesse Rechnung tragen.

Aktuelle Ergebnisse der letzten beiden Jahre zeigen, dass es eine Vielzahl erfolgreicher Angriffe gab, bei denen persönliche Gesundheitsinformationen (Personal Health Information (PHI)) von Millionen Menschen kompromittiert wurden.

Dem Identity Theft Resource Center zufolge fanden 42,5 Prozent aller Datenverstöße im Gesundheitsbereich statt. Das Center berichtet auch, dass 91 Prozent aller Gesundheitsunternehmen meldeten, im Verlauf der letzten beiden Jahre von mindestens einem Datenverstoß betroffen gewesen zu sein.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43787507 / Sicherheit/Datenschutz)