Umsetzung des Patientendaten-Schutzgesetzes (PDSG)

Die Sicherheitsanforderungen an die IT in Krankenhäusern und Kliniken wurden verschärft: Mit dem Patientendatenschutzgesetz (PDSG), bzw. dem § 75c SGB V sind nun auch kleinere Krankenhäuser und Kliniken, die nicht als KRITIS gelten, verpflichtet, wichtige Sicherheitsmaßnahmen umzusetzen.

ACHTUNG: Diese Pflicht gilt seit dem 01.01.2022.

Branchenspezifischer Sicherheitsstandard & ISMS nach ISO 27001

Das PDSG und der §75c SGB V verpflichten Krankenhäuser und Kliniken dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit“ zu ergreifen (sh. Branchenspezifischer Sicherheitsstandards B3S für die Gesundheitsversorgung). Dies entspricht unter anderem der Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001.

Vorbereitung auf die Umsetzung

Eine sichere Infrastruktur und der sichere Umgang mit Informationen sind nur zwei Voraussetzungen von vielen, über welche man sich Gedanken machen sollte. Dabei kann ein ISMS (Informationssicherheitsmanagementsystem) nach ISO 27001 (inklusive der Umsetzungsleitfäden) behilflich sein. Vor allem der Geltungsbereich, welcher vor dem Aufbau des ISMS definiert wird, soll dabei helfen, sich mit den zusammenhängenden Prozessen des Krankenhauses auseinander zu setzen.

Sicherheitsanforderungen

Zwei wichtige Bestandteile eines ISMS sind

• Werte (Assets), die innerhalb des Krankenhauses identifiziert werden müssen und
• dazugehörigen Risiken (Risikomanagements).

Ein Beispiel für ein wichtiges Asset, welches es zu schützen gilt, sind Informationen. Da Informationen durch verschiedene Kanäle ausgetauscht werden können, gibt es auch verschiedene Angriffsmöglichkeiten und somit diverse damit verbundene Risiken. Diese können durch eine Risikoanalyse entweder eliminiert, minimiert (in Schadenshöhe oder der Eintrittswahrscheinlichkeit) oder übertragen werden.

Die ISO 27001 definiert Schutzziele, welche die wichtigste Anforderung an die Informationssicherheit von Krankenhäusern darstellen soll. Zu den Schutzzielen gehören die

• Verfügbarkeit
• Integrität
• sowie die Vertraulichkeit.

Um diese aufrechterhalten zu können, müssen Maßnahmen definiert werden.

Konkrete Schritte und Ergebnisse

Kritische Infrastrukturen (Kritis-Krankenhäuser) liegen in der Beweispflicht gegenüber dem BSI bezogen auf die IT-Sicherheit, welche anhand dem Stand der Technik umgesetzt werden soll. Ein Informationssicherheitsmanagementsystem (ISMS) ist bei der Umsetzung der Anforderungen ein hilfreicher Werkzeugkasten, welcher auch Umsetzungsleitfäden wie beispielsweise die ISO 27002 oder die ISO 27005 zur Hilfe bietet.

Immer mehr Unternehmen lassen sich nach ISO 27001 zertifizieren. Um eine solche Zertifizierung erfolgreich zu bestehen, bedarf es jedoch zuvor einer detaillierten Vorbereitung. Der konkrete Weg zur Zertifizierung sieht wie folgt aus:

1. Es ist notwendig sich vorab Gedanken zu machen, welche akkreditierte Zertifizierungsstelle das Audit des eigenen Krankenhauses oder Klinikum durchführen soll. Hier bietet die Webseite der DakKS einen Pool an akkreditierten Gesellschaften.
2. Zudem muss im Vorfeld der jeweilige Geltungsbereich (Scope) definiert werden, welcher zum Schluss zertifiziert werden soll.
3. Ist ein ISMS anhand des zuvor definierten Geltungsbereichs umgesetzt, so wird zunächst ein internes Audit (auch Vor-Audit) durchgeführt. Auch Zertifizierungsstellen bieten in der Regel ein Vor-Audit an.
4. Das eigentliche Zertifizierungsaudit ist schließlich unterteilt in 2 Stages.
   1. Die erste Stage der Zertifizierung beinhaltet die Prüfung der Dokumente bezogen auf das ISMS.
   2. Die zweite Stage ist dann die eigentliche Prüfung der Konformität und der Wirksamkeit des eigenen ISMS.
5. Auf Basis des Zertifizierungsaudits entscheidet die Zertifizierungsstelle über die Erteilung des Zertifikats. Dieses hat eine Gültigkeit von 3 Jahren, wobei einmal pro Jahr ein Überwachungsaudit durchlaufen werden muss.

Wünscht du dir ein unverbindliches Gespräch?

Wenn du noch Fragen hast, vereinbare gerne einen Termin mit uns für ein unverbindliches, rund 30-minütiges Beratungsgespräch unter +49 89 – 44 44 31 88 0 oder über unseren Anfrageservice: