Datenschutzmaßnahmen in Kliniken

Krankenhäuser heutzutage sind keine einfachen, einzelnen Gebäude mehr. Oftmals handelt es sich dabei inzwischen um mehrere Gebäude mit verschiedenen Bereichen, die sich auf bestimmte Gesundheitsgebiete fokussieren, Arztpraxen und möglicherweise auch noch Forschungs- und Studienabteilungen. Als Folge sind dann zusätzliche Datenschutzmaßnahmen in Kliniken zu implementieren, die auch den Schutz der sensiblen personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO gewährleisten müssen, die es in einem – wenn auch größeren Unternehmen – möglicherweise nicht in diesem Ausmaß gibt.

Sensible personenbezogene Daten

Hauptsächlich kommt es in Kliniken zur Verarbeitung von Gesundheitsdaten. Je nach Größe und Ausrichtung des Krankenhauses können diese auch umso umfangreicher sein. Besucht ein Patient womöglich verschiedene Abteilungen und Ärzte in einer Klinik, entsteht ein eventuell sogar detailliertes Profil zu seiner Gesundheit. Diese Daten von einer großen Zahl von Patienten gilt es zu schützen.

Spezielle oder zusätzliche Datenschutzmaßnahmen

Hierbei sprechen wir auch von der datenverarbeitenden Technik. Mit der Globalisierung in vollem Schwung und dem zunehmenden Einsatz von Cloud-Lösungen ändern sich auch die Anforderungen an den zu implementierenden Maßnahmen zum Schutz und der Sicherheit der personenbezogenen Daten. Worauf ist also in Kliniken besonders zu achten? Lesen Sie weiter, um mehr zu erfahren.

Zutrittskontrolle

In einer Klinik geht tagtäglich eine große Anzahl von Menschen ein und aus: Patienten, Besucher, Beschäftigte, Dienstleister. Es ist aber nicht nötig, dass jede Person jeden Bereich betreten können muss. Das bedeutet also es muss an den jeweiligen kritischen Zutrittspunkten entsprechende Kontrollen einrichten. Diese Maßnahmen können entweder auf technischer (Zutritt mit gültiger PIN o. Ä.) oder organisatorischer (z. B. Pförtner) Basis sein.

Zugangs- und Zugriffskontrolle

Elektronische Geräte (z. B. Computer, Tablets), die in der Klinik zum Einsatz kommen, sind entsprechend vor unbefugtem Zugang und Zugriff zu schützen. Auch hier kann ein Passwort, eine PIN o. Ä. den Zweck erfüllen. Übrigens ist es dann natürlich auch umso wichtiger, das jeweilige Gerät wieder zu sperren, wenn ein Klinikmitarbeiter es nicht benötigt: Wir stellen uns beispielsweise bei diesem Gedanken gerade die Frage, wie oft es schon vorkam, dass Patienten die Daten anderer Patienten in der Notaufnahme während des Wartens auf eine Behandlung einsehen konnte, weil ein Gerät nicht gesperrt war.

Verschlüsselung oder Anonymisierung

Aufgrund der Verarbeitung personenbezogener Daten besonderer Kategorien ist es in bestimmten Fällen empfehlenswert, diese Daten zu verschlüsseln oder sogar zu anonymisieren. Eine Verschlüsselung von Daten bietet im Fall der Archivierung dieser möglicherweise einen zusätzlichen Schutz. Nutzt ein Verantwortlicher die personenbezogenen Daten für Forschungszwecke, ist zu betrachten, inwiefern der jeweilige Zweck auch mit anonymisierten Daten erreicht werden kann bzw. die Daten für die Forschung weiterhin in anonymisierter Form nutzbar sind.

Rechtevergabe

In einem Klinikum ist es ebenfalls sehr wichtig, ein aktuelles Berechtigungskonzept bereitzuhalten. Die Administration muss wissen, wann wer welche Rechte erhalt oder diese entzogen werden. Nicht jeder Beschäftigte benötigt Zugriff auf alle Bereiche in einem Klinikum.

Maßnahmen im Fall eines Cyber-Angriffes

Cyber-Angriffe, insbesondere solche auf kritische Infrastrukturen, zu denen Krankenhäuser gehören, sind leider keine Seltenheit mehr. Dass eine Klinik von einem Cyber-Angriff betroffen sein wird, lässt sich leider trotz Maßnahmen dagegen nie ausschließen. Aus diesem Grund ist es wichtig, entsprechende Bewältigungsmaßnahmen im Fall eines solchen implementiert zu haben.

Systeme zur Erkennung eines Angriffes

Zum einen können Programme helfen, die einen möglichen Angriff erkennen, während er passiert („Intrusion Detection Systems“). – Mehr dazu erfahren Sie auch in unserem Beitrag „Einen Cyber-Angriff entdecken“. – Zum anderen können diese Systeme dann beispielsweise weitere Bereiche „abriegeln“ und einen Alarm auslösen, um weitere Abwehrmaßnahmen einzuleiten.

Regelmäßige Backups

Wir empfehlen nicht nur Kliniken, aber auch jedem anderen Verantwortlichen, regelmäßig im Voraus Backups zu erstellen. Einerseits kann die Klinik dann trotz des Angriffes die Tätigkeiten rasch wiederaufnehmen und auch die Gefahren für die Gesundheit der Patienten reduzieren, wenn nicht sogar vermeiden. Möglicherweise bemerken Außenstehende aufgrund eines gut funktionierenden Managements eines Sicherheits-/Datenschutzereignisses sogar gar nichts vom eigentlichen Angriff. – Übrigens bedeutet dies dann aber nicht, dass etwaig notwendigen Datenschutzvorfallmeldungen und -informationen nicht nachzukommen ist. (Mehr dazu erfahren Sie hier.) –

Fazit

Natürlich sind die oben genannten Maßnahmen zum Datenschutz nicht abschließend. Es handelt sich bei diesen Maßnahmen aber um solche, die für Kliniken eine besondere Relevanz haben. Schließlich hat ein Verantwortlicher u. a. auch Art. 32 DSGVO zu erfüllen. Dies bedeutet, er muss Maßnahmen ergreifen, die dem Risiko für die Rechte und Freiheiten der betroffenen Personen entsprechen und angemessen sind, um diesen Schutz zu gewährleisten.

Wenn Sie Unterstützung und Beratung hierzu wünschen, kontaktieren Sie uns gern heute.