Klinik -

DSGVO Compliance muss Chefsache werden

Michael Kretschmer, Vice President EMEA von Clearswift RUAG Cyber Security, spricht in einem Kommentar über die Konsequenzen der Verordnung und was Healthcare-Dienstleister beachten müssen.

Themenseite: Datensicherheit

Die DSGVO ist im Mai 2018 verbindlich in Kraft getreten und bildet nun den Datenschutzrahmen der EU. Auch auf den Healthcare-Sektor kamen hier Herausforderungen zu. Unter anderem müssen Gesundheitsdienstleister ein umfassendes System für das Datenschutzmanagement vorweisen. Weiterhin muss dokumentiert werden, wer wann welche Patientendaten aufgenommen und verarbeitet hat. Für Entscheider standen mit Einführung der Verordnung die Themen Einwilligung, Datensicherheit, automatisierte Entscheidungen und Datenschutz-Folgeeinschätzungen im Vordergrund.

Bußgelder bei Verstößen

Auch fast ein Jahr nach Inkrafttreten der Verordnung herrscht in Klinken, Arztpraxen und Versicherungsbetrieben noch Unsicherheit. Jüngste Entwicklungen zeigen, dass Verstöße fatale Folgen haben können. Über den ersten Fall eines hohen Bußgeldes wurde im Oktober 2018 berichtet – das portugiesische Klinikum „Centro Hospitalar Barreiro Montijo“ musste ein Bußgeld von 400.000 Euro zahlen, das die nationale Datenschutzkommission verhängt hatte. Der Hintergrund: 985 Mitarbeiter des Hauses hatten innerhalb der IT-Systeme den „Ärztezugang“, und somit Einblick in Patientendaten, obwohl in der Klinik nur 295 Ärzte beschäftigt sind. Der Fall könnte ein Indikator sein, was in den nächsten Monaten noch im Rahmen von Verstößen gegen die DSGVO ans Licht kommt.

Tiefgreifender Ansatz für die DSGVO-Compliance: Datenschutz ist Chefsache

Um hohe Bußgelder und Imageschäden zu verhindert, sollten Entscheider ein Datenschutzkonzept für ihr Unternehmen entwickeln und Mitarbeiter kontinuierlich schulen. Nur mithilfe eines ganzheitlichen und langfristigen Ansatzes können Verstöße verhindert oder gut behoben werden. Schließlich stellt die Compliance mit der Verordnung keine einmalige Aufgabe dar – vielmehr muss überprüft werden, ob die Vorgaben nach bestem Wissen des aktuellen Kenntnisstandes erfüllt werden. Es ist wahrscheinlich, dass weitere Fälle wie der in Portugal zu Tage kommen. Falls Betriebe Nachholbedarf in Sachen DSGVO-Compliance haben, ist es unerlässlich, sofort zu handeln. Die Themen Datenschutz und -sicherheit sollten zur „Chefsache“ ernannt werden. Bei Großbetrieben sollte der Vorstand die Verantwortung für die Einhaltung der Verordnung übernehmen. Schließlich muss hier nicht die IT-Abteilung letztlich Rechenschaft ablegen, sondern der Vorstand. Wichtig ist ein grundsätzliches Verständnis darüber, wo die personenbezogenen Daten gespeichert sind und wer Zugriff hat.

Schulungen in Zeiten der DSGVO

In Hinblick auf die Mitarbeitersensibilisierung gilt es sicherzustellen, dass allen Beschäftigten die Bedeutung des Thema Datenschutzes klar ist. Im zweiten Schritt sollte sichergestellt werden, dass die Mitarbeiter mit den Maßnahmen vertraut sind und wissen, welche Richtlinien gelten. Verantwortliche sollten außerdem darauf achten, dass unternehmensintern bekannt ist, wo Schwachstellen bei der Compliance liegen, z.B. die Vervielfältigung von Daten und wie sie verhindert werden kann. Die Vervielfältigung passiert oft unbewusst und stellt eine Bedrohung für die Compliance dar – besonders in Hinblick auf das „Recht auf Vergessenwerden“. Ein Beispiel ist der Fall, dass Mitarbeiter sensible Daten auf dem Desktop speichern, anstatt sie auf dem Server zu belassen. Eine weitere Möglichkeit: Dateien werden auf einen USB-Stick geladen, anstatt das klinik- oder betriebsinterne Filesharing-System zu verwenden. Weiterhin sollten alle Beschäftigten die DSGVO-Grundlagen kennen und einen Überblick über die Konformitätsmaßnahmen haben.

DSGVO – erst der Anfang?

Die DSGVO signalisiert Unternehmen, dass Datenschutz eine Pflicht und daher vor allem als Chance zu werten ist. Die Verordnung hat zwei positive Effekte für Betriebe: zum einen wissen sie besser, wo sich kritische Daten befinden. Und nur wenn ein Unternehmen weiß, wo diese gespeichert sind und wie sie in das Netzwerk hinein- und herausfließen, kann es sich vor den vielen Bedrohungsvektoren schützen, die es umgeben. Der zweite positive Aspekt ist, dass Mitarbeitern gezeigt wird, dass Datenschutz höchste Priorität hat. Es ist mehr als eine gesetzliche Vorgabe: Das Wissen, wo und wie Daten gespeichert, verarbeitet und weitergegeben werden, hilft Unternehmen, Prozesse und Datensicherheit insgesamt zu optimieren. Auch wenn der Fokus der Compliance auf Personen und Prozessen liegt, können technische Lösungen – z.B. aus dem Bereich Data Loss Prevention (DLP) – helfen, Richtlinien durchzusetzen und Mitarbeiter, Patienten und Kunden zu schützen. Darüber hinaus verbessern Funktionen wie Adaptive Redaction die DLP-Richtlinien, denn sie ermöglichen, dass sensible und vertrauliche Daten automatisch aus E-Mails und Internetverkehr gelöscht werden. Insgesamt wird sich zeigen, wie weit Unternehmen aus dem Healthcare-Bereich in der Umsetzung sind und neue Fälle werden zeigen, an welchen Stellen Nachholbedarf für die Branche insgesamt besteht.

© hcm-magazin.de 2019 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen