Datenschutz-Notfallmanagement: Für Krankenhäuser (k)ein Geheimtipp.

Auch in der Gesundheitsbranche kann die Digitalisierung nicht umgangen werden. Krankenhäuser sind verpflichtet, ihre sensiblen Patientendaten zu schützen, indem sie sich an Datenschutzanforderungen halten. Denn Datenschutzverletzungen innerhalb eines Krankenhauses können neben finanziellen Schäden auch das Vertrauen der Patienten beeinträchtigen.

Aller Vorsicht zum Trotz: Die Vorbereitung auf den Notfall ist eine Notwendigkeit für Krankenhäuser. Ein Ansatz? Das Datenschutz-Notfallmanagement.

Was ist das Datenschutz-Notfallmanagement?

Beim Datenschutz-Notfallmanagement handelt es sich um Maßnahmen, die im Krankenhaus zur Bewältigung von Datenschutzverletzungen eingesetzt werden. Diese erlauben der Krankenhausorganisation eine schnelle und effektive Reaktion auf den vorliegenden Vorfall.
Hierbei sind alle Prozesse und Ressourcen beinhaltet, welche zur Erkennung, Analyse und Behebung eines Datenschutzvorfalles notwendig sind.

Das Datenschutz-Notfallmanagement ist demnach in drei Bereiche zu unterteilen:

• Die Prävention: Schulungen des Teams minimieren Risiken. Hierfür sind technische Maßnahmen sowie organisatorische Vorkehrungen notwendig.
• Die Reaktion: Es liegen klar definierte Abläufe vor und die Zuteilung der Zuständigkeiten innerhalb eines Teams erfolgt im Voraus. Dies ermöglicht eine schnelle Bearbeitung der Datenschutzvorfälle.
• Die Nachbereitung: Die Datenschutzvorfälle werden im Nachgang analysiert, um somit eine Optimierung des Datenschutz-Notfallmanagements für zukünftige Vorfälle zu gewährleisten. Das Krankenhaus kann sich hiermit vor ähnlichen Risiken in der Zukunft schützen.

Für Verantwortliche im Krankenhaus bietet der BSI-Standard 200-4 eine strukturierte Grundlage und stellt den Organisationen (in diesem Fall den Krankenhäusern) Methoden und Werkzeuge zur Verfügung, die der Absicherung der Prozesse und einer schnellen Bearbeitung der Vorfälle dienen.

Weshalb der Einsatz im Krankenhaus?

In Krankenhäusern wird täglich eine große Anzahl an besonderen Kategorien personenbezogener Daten verarbeitet und Krankenhäuser befinden sich (technisch) in einer vulnerablen Situation. Offensichtlich ist, dass dies einen erhöhten Bedarf an Prävention und Organisation verlangt, weshalb das Datenschutz-Notfallmanagement in Krankenhäusern eingesetzt werden sollte. Im Einzelnen ergibt sich dies aus folgenden Punkten:

1. Hohes Risiko durch Cyberangriffe: Krankenhäuser sind bevorzugte Ziele von Cyberangriffen, z.B. durch eine Ransomware. Diese blockiert den Zugang zu den sensiblen Patientendaten und kann als Folge den Krankenhausbetrieb lahmlegen.
2. Sensibilität der Daten: Gesundheitsdaten fallen in die Kategorie der besonders geschützten Daten (Art. 9 DSGVO). Diese benötigen den höchsten Sicherheitsstandard, da eine Datenschutzverletzung ansonsten schwerwiegende Konsequenzen haben kann.
3. Komplexe Datenverarbeitung: Bedingt durch der Vielzahl an Schnittstellen im Krankenhaus (Ärzte, Pflegepersonal, Krankenhaus IT, externe Dienstleister etc.) ist die Gefahr des Datenverlustes oder der unbefugten Zugriffe besonders hoch.
4. Gesetzliche Anforderungen: Die DSGVO verlangt die Meldung einer Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Behörde. Der Einsatz des Datenschutz-Notfallmanagements erleichtert hierbei den korrekten Ablauf dieser Prozesse.

Die Vorteile

Ein gut implementiertes Datenschutz-Notfallmanagement in Krankenhäusern erzielt folgende Vorteile:

• Verbesserte Compliance: Mittels Einhaltung der DSGVO und anderer rechtlicher Vorgaben stellt das Datenschutz-Notfallmanagement sicher, dass Bußgelder und weitere rechtliche Konsequenzen vermieden werden.
• Reduktion der Komplexität: Klare Prozesse und präventive Maßnahmen ermöglichen eine Minderung des Ausmaßes einer Datenschutzverletzung.
• Schnellere Reaktionszeiten: Vordefinierte Abläufe und Zuständigkeiten ermöglichen eine zügige Bearbeitung von Datenschutzverletzungen. Somit werden die dadurch entstandenen Schäden begrenzt und Einschränkungen im Betriebsablauf minimiert.
• Vertrauensbildung: Das Datenschutz-Notfallmanagement stärkt das Vertrauen der Patienten, Partner und Mitarbeiter in die Reputation des jeweiligen Krankenhauses.
• Optimierung interner Prozesse: Regelmäßige Schulungen und Übungen erhöhen das Bewusstsein für potenzielle Gefahren und verbessern die Datenschutzkultur im Krankenhaus.

Die Phasen

Ein gut implementiertes und strukturiertes Datenschutz-Notfallmanagement im Krankenhaus durchläuft folgende fünf Phasen:

Phase 1: Initiierung

Die Initiierung eines Datenschutz-Notfallmanagements erfordert die Beteiligung der Führungsebene. Die Zielsetzung, der Geltungsbereich und die Vorgehensweise müssen an die spezifischen Gegebenheiten des Krankenhauses angepasst werden. Der Datenschutzbeauftragte spielt hierbei eine zentrale Rolle.

Phase 2: Konzeption und Planung

In dieser Phase werden die Rahmenbedingungen analysiert und definiert. Hierbei wird festgelegt, wer die Akteure und welche Themen von Relevanz sind.
Für den Krisenfall verteilt das Team Rollen und Verantwortlichkeiten. Dabei entsteht eine besondere Aufbauorganisation (BAO), welche in Notfällen agiert.

Die Phase der Konzeption und Planung stellt zudem sicher, dass korrekte Dokumentation der relevanten Information und regelmäßige Schulungen für die Mitarbeiter umgesetzt sind.

Phase 3: Aufbau und Befähigung der BAO (die besondere Aufbauorganisation)

In Notfallsituationen übernimmt die BAO die Leitung und die damit einhergehende Entscheidungsfindung. Dies sieht wie folgt aus:
Die BAO folgt klaren Prozessen und ermöglicht somit eine schnelle Erkennung und Bewertung der Datenschutzvorfälle. Zudem sorgen vorgefertigte Maßnahmenpläne wie z.B. das Trennen von IT-Infrastrukturen vom Netz für eine sofortige Handlungsfähigkeit im Notfall.

Phase 4: Üben und Testen

Regelmäßige Tests und Übungen, wie beispielsweise simulierte Phishing-Angriffe, sind notwendig, um Schwachstellen zu identifizieren. Festgelegte KPIs wie die Zeitspanne zwischen Detektion des Datenschutzvorfalles bis hin zur Alarmierung helfen bei der Bewertung der Leistungsfähigkeit.

Phase 5: Korrektur und Verbesserung

Nach einem Vorfall oder einer Übung überarbeitet das Team die bestehenden Maßnahmen anhand von Soll-Ist-Vergleichen und schließt somit Lücken im System, um die Effizienz zukünftig zu steigern.

Fazit

Der Einsatz des Datenschutz-Notfallmanagements in Krankenhäusern ist notwendig, um Datenschutzverletzungen erfolgreich zu begegnen. Durch regelmäßige Schulungen und Überprüfungen aller Beteiligten ist es in Krankenhäusern möglich, sich vor Angriffen zu schützen und die Fertigkeiten des Teams im Bereich Datenschutz auszubauen.

Die Anwendung des BSI-Standard 200-4 auf die besonderen Herausforderungen des Datenschutzes bietet hierfür eine gute Grundlage, die Krankenhäuser einsetzen sollten.