Best-Practice-Prüfkriterien im Sinne von Art. 32 DS-GVO

Best-Practice IT-Sicherheit Krankenhaus

Nach Informationen des Bundesamts für Sicherheit (BSI) in der Informationstechnik waren 2019 etwas weniger als zehn Prozent der Krankenhäuser in Deutschland beim BSI als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert.

Neben Einrichtungen anderer Sektoren waren Krankenhäuser und andere medizinische Einrichtungen zuletzt wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible Patientendaten im Mittelpunkt.

Das BSI hat Oktober 2019 die Eignung eines branchenspezifischen Sicherheitsstandards (B3S) festgestellt, mit dem Krankenhäuser ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik ausrichten können. Vorgelegt wurde der B3S von der Deutschen Krankenhausgesellschaft (DKG).

Das Bayerische Landesamt für Datenschutzaufsicht (BayLfD) und der Bayerische Landesbeauftragte für den Datenschutz (BayLDA) greifen diese Thematik vor dem Hintergrund der aktuellen Pandemie auf und weisen in einem gemeinsamen Papier darauf hin, dass wie wichtig ein funktionierendes Gesundheitssystem ist. Krankenhäuser, Arztpraxen und medizinische Labore seien herausgefordert, die medizinische Versorgung der Bevölkerung sicherzustellen. Bereits ein erfolgreicher Cyberangriff könne aber die Funktionsfähigkeit einer medizinischen Einrichtung für Tage oder Wochen massiv beeinträchtigen – und im schlimmsten Fall sogar komplett lahm legen.

Zur Überprüfung ihrer Cybersicherheitsmaßnahmen stellen der BayLfD und das BayLDA daher den medizinischen Einrichtungen in Bayern eine Best-Practice-Checkliste zur Verfügung.

Der Fokus des Dokuments liegt auf der Verfügbarkeit der Daten bzw. Dienste bezüglich Angriffe aus dem Internet und weniger auf deren Vertraulichkeit und Integrität, die aus Datenschutzsicht jedoch ebenfalls zu beachten sind. Die beiden Aufsichtsbehörden sehen das Papier als eine Hilfestellung zur schnellen Überprüfung der eigenen Sicherheit hinsichtlich der Verfügbarkeit der eigenen Datenverarbeitung im Sinne von Art. 32 DS-GVO. Der Anwendungsbereich umfasst sowohl den nicht-öffentlichen als auch den öffentlichen Bereich.

Die Checkliste kann kostenlos unter www.datenschutz-bayern.de/best_practice_medizin sowie unter www.lda.bayern.de/best_practice_medizin abgerufen werden.

(Image by sungmin cho from Pixabay)







Letztes Update:03.06.20

  • Online-Schulung: Datenschutzverletzungen in der Praxis

    Online-Schulung: Datenschutzverletzungen in der Praxis

    Seminar

    291.55 € Mehr erfahren
  • Online-Schulung: Basiswissen IT-Sicherheit

    Online-Schulung: Basiswissen IT-Sicherheit

    Online-Schulung

    589.05 € Mehr erfahren
  • Online-Schulung: Datenschutz in medizinischen Einrichtungen

    Online-Schulung: Datenschutz in medizinischen Einrichtungen

    Online-Schulung

    589.05 € Mehr erfahren
  • Praxishilfen

    GDD-Praxishilfen nun auch in englischer Sprache

    Die Gesellschaft für Datenschutz und Datensicherheit GDD wirbt auch auf internationaler Ebene für das bewährte Prinzip der Selbstkontrolle und bringt sich aktiv in die datenschutzrechtliche EU-Gesetzgebung ein. Da der Datenschutz inzwischen zu einem globalen Thema geworden ist, pflegt sie einen fachlichen Austausch mit Datenschutz-Kontrollstellen in den EU-Mitgliedstaaten sowie mit Experten und Verbänden weltweit. Die Confederation

    Mehr erfahren
  • Konzern Datenübermittlung

    Mitarbeiterdaten im Unternehmensverbund nach DS-GVO

    Als im Jahre 2001 das BDSG novelliert wurde, veröffentlichte die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) die erste Ausgabe der „Praxishilfen“ zu Verarbeitungsübersicht, Verfahrensverzeichnis und Vorabkontrolle. Zum Konzept der Reihe gehörten schon damals prägnante und unmittelbar verwertbare Handreichungen für den betrieblichen Datenschutzalltag. In den darauffolgenden Jahren erschienen in dieser Reihe weitere Titel zu praxisrelevanten

    Mehr erfahren
  • Anonymisierung

    BfDi zeigt rechtlichen Rahmen der Anonymisierung auf

    In der DS-GVO werden anonyme und anonymisierte Daten in den Sätzen 4 und 5 von Erwägungsgrund 26 adressiert. Danach sollten die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, „d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass

    Mehr erfahren