Was sich durch die EU-Datenschutzgrundverordnung (DSGVO) für Krankenhäuser ändert, erläutert Sebastian Koza in seinem aktuellen Gastbeitrag für mednic.de. Sebastian Koza ist Technical Presales Consultant beim Healthcare-IT-Sicherheitsanbieter Imprivata.
Gastbeitrag von Sebastian Koza
Mit der fortschreitenden Digitalisierung und Vernetzung im Gesundheitswesen sind IT-Verantwortliche in Krankenhäusern zunehmend gefordert, sich mit Fragen des Datenschutzes und der Datensicherheit zu befassen.
Aktuelle und neue Gesetze, wie das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz, das zum 1. Januar 2016 in Kraft getretene E-Health-Gesetz und aktuell die EU-Datenschutzgrundverordnung (EU-DSGVO), fordern ein Umdenken. Gerade mit Blick auf die meist vorherrschenden IT-Infrastrukturen in Krankenhäusern und den Anforderungen durch die im Mai 2018 in Kraft tretende Verordnung zeigt sich schnell, dass für viele Nachholbedarf besteht. Um festzustellen, welche Änderungen nach den neuen Vorgaben umgesetzt werden müssen, gilt es zunächst die IT-Umgebung zu überprüfen und den aktuellen Stand des KIS zu betrachten. Das wichtigste Ziel wird es sein, das KIS so auszurichten, dass es den datenschutzrechtlichen Vorgaben entspricht. Ebenso wie im bereits jetzt geltenden IT-Sicherheitsgesetz wird dann der „Stand der Technik“ vorgeschrieben. Doch was bedeutet das konkret? Braucht das Krankenhaus nun neue Hardware oder Software, um den Anforderungen der DSGVO zu entsprechen? Benötigen die Mitarbeiter eine Schulung, um alle Vorschriften einzuhalten?
Zusätzlich muss zur Einhaltung der DSGVO die Einhaltung des Sicherheits-Standards auch dokumentiert und jederzeit nachgewiesen werden können. Das bedeutet eine erhebliche Vorarbeit, gerade mit Blick auf das nötige Zugangs- und Rechtemanagement. Wenn die entsprechenden Vorkehrungen hier nicht rechtzeitig umgesetzt werden, können die Gesundheitseinrichtungen schnell eine weitere Neuerung zu spüren bekommen. Denn die wohl empfindlichsten Änderungen sind die Bußgelder. Diese werden mit der DSGVO signifikant erhöht. Aus diesem Grund sollte jede Gesundheitseinrichtung ihre Systeme und ihre Zugriffsverwaltung schnellstmöglich prüfen. Verstöße gegen die Vorgaben der DSGVO können von den Datenschutzbehörden mit Bußgeldern von bis zu zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist geahndet werden.
Auswirkungen auf Krankenhäuser
Aus der DSGVO lassen sich einige allgemeine Vorgaben aus dem Datenschutzrecht formulieren, die übergreifend für alle Krankenhäuser Anwendung finden. Zunächst gilt der Grundsatz, dass das Erheben, Verarbeiten oder Nutzen personenbezogener Daten nur dann zulässig ist, wenn dafür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen vorliegt (§ 4 Abs. 1 BDSG). Hinzu kommt, dass Patientendaten in aller Regel sogenannte Gesundheitsdaten enthalten, für die besonders hohe Schutzanforderungen gelten. Auch gibt es einige generelle Vorgaben zu technischen und organisatorischen Schutzvorkehrungen. Krankenhäuser müssen geeignete technische und organisatorische Schutzmaßnahmen zur Datensicherheit umsetzen, die zudem dem „Stand der Technik“ der Technik zu entsprechen haben. Gerade letzteres geht über die bisherigen gesetzlichen Anforderungen hinaus.
Eine große Rolle spielt auch der sichere Austausch von Gesundheitsinformationen. In den letzten Jahren kam es vermehrt zu Hackerangriffen auf Krankenhäuser, die dann mit den gestohlenen Daten erpresst wurden. Diese Szenarien sollen künftig möglichst minimiert und der Schutz der Patientendaten gewährleistet werden. Doch wie lässt sich der sichere Umgang mit sensiblen Daten umsetzen?
Abschaffung von Gruppen-Accounts
Im Klinikalltag kommt es häufig vor, dass mehrere Mitarbeiter einen gemeinsamen Account nutzen. Dies führt dazu, dass es keine Transparenz darüber gibt, welcher Mitarbeiter zuletzt Daten beispielsweise in einer Patientenakte geändert hat. Nach in Kraft treten der DSGVO darf dies nicht mehr der Fall sein. Bei jeder Dokumentation muss klar nachvollzogen werden können, wer die Daten eingetragen hat und wann. Hier sind Gesundheitseinrichtungen gefordert, entsprechende Authentifizierungsverfahren zu initialisieren.
Mit Authentifizierungssystemen kann die Nachvollziehbarkeit der Nutzervorgänge im Umgang mit Patientendaten verbessert werden. Das vereinfacht auch die Einhaltung der entsprechenden Datenschutz-Richtlinien, denn die gesetzlichen Vorgaben legen fest, dass beim Zugriff auf Patientendaten differenziert werden muss. Einzelne Personen dürfen nur auf die Daten zugreifen können, die für sie erforderlich sind. Es muss jederzeit nachvollzogen werden können, wer zu welchem Zeitpunkt im KIS Daten mit Bezug zu den Patienten eingegeben, verändert oder entfernt hat.
Schnelles Authentifizierungs-Management
Vor allem in Notfall spielt der schnelle Zugriff auf Patientenakten eine entscheidende Rolle. Ein schnelles und unkompliziertes Authentifizierungs-Management ermöglicht den Ärzten und dem Pflegepersonal einen reibungslosen Ablauf. Auch bei der Arbeit an medizinischen Geräten im Patientenzimmer und an Terminals können Informationen mit entsprechenden Authentifizierungssystemen sicher und schnell in Krankenakten eingetragen werden. Mit modernen Single Sign-On und Access-Management-Plattformen werden Klinikmitarbeiter bereits heute entlastet, denn diese müssen sich keine komplexen Passwörter merken oder die Zugangsdaten auf kleinen Bildschirmen mit viel Mühe mehrfach am Tag eingeben. Allein mit dem Auflegen einer Karte oder anderen unkomplizierten Autorisierungsverfahren sparen Mitarbeiter bis zu 45 Minuten pro Arbeitsschicht. Spezialisierte Unternehmen adressieren mit neuen Technologien nicht nur die Sicherheitsanforderungen, sondern steigern auch die Produktivität der Mitarbeiter und verbessern die Patientenversorgung.
Auswirkungen auf Patientendaten
Die DSGVO hat letzten Endes allerdings nicht nur Auswirkungen auf die Krankenhäuser, auch für Patienten und dem Umgang mit deren Daten gibt es Neuerungen. Grundsätzlich gilt, dass persönliche Daten, wie bereits jetzt schon, sicher und vertrauensvoll behandelt werden müssen. Mit Blick auf die Organisationsprozesse in Kliniken gibt es jedoch Änderungen. Vorgeschrieben wird beispielsweise ein Datenschutzbeauftragter, der künftig die Einhaltung der Vorgaben kontrollieren und dokumentieren muss.
Einwilligung zur Datennutzung
Künftig müssen Krankenhäuser beweispflichtig dokumentieren, dass der Patient zur Nutzung seiner Daten zugestimmt hat. Das beinhaltet die „Unterschrift in einem technischen System“.
Transparenz über Patientendaten
Neben der Einwilligung zur Datennutzung soll auch die Einsicht in die gesammelten Informationen für Patienten erleichtert werden. Wichtig ist es hier zu regeln, wie die Daten verarbeitet werden und wie lange diese gespeichert sind und zur Einsicht bereitgestellt werden können. Damit werden neue Regelungen innerhalb der Gesundheitseinrichtungen gefordert, die vor allem dem Datenschutzbeauftragten unterliegen.
Vorteile im Krankenhausalltag
Die Änderungen, die viele Gesundheitseinrichtungen zunächst skeptisch betrachten und erstmal einen Mehraufwand für einige bedeutet, werden in den kommenden Jahren immer wichtiger. Das Umfeld von Gesundheitsorganisationen ist komplex und durch schnelle, eingespielte Abläufe geprägt. Deshalb gilt es Lösungen für Ärzte und das Pflegepersonal bereitzustellen, die einfach zu bedienen sind und einen wirklichen Vorteil im Krankenhausalltag bieten. Die Digitalisierung wurde bisher nur vereinzelt vorangetrieben, was zu einer weitaus komplexeren Kommunikation zwischen den Einrichtungen geführt hat. Mit der Vereinheitlichung der gegebenen Standards und einer Anpassung der Arbeitsabläufe kann der sichere Austausch lebenswichtiger Informationen künftig in kürzester Zeit erfolgen. Und mit den richtigen Lösungen im Einsatz werden nicht nur Ärzte und Pflegepersonal, sondern auch der Patient von den Neuerungen durch die DSGVO profitieren.