Best Practices für Fernwartung in der Gesundheitsversorgung

Gesundheitsvorsorge

Die Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverband Gesundheits-IT e. V. hat ihre Best Practices für Fernwartung in der Gesundheitsversorgung veröffentlicht.
Unter Fernwartung werden im Folgenden Tätigkeiten zur Inspektion, Wartung, Pflege und Fehlerbehebung der in diesen Sektoren eingesetzten IT-Systeme verstanden. Diese Tätigkeiten finden in der Regel über eine Rechnerverbindung (Internet) statt.

Diese Best Practices beschreiben, wie der Schutz personenbezogener Daten gegen unrechtmäßige Verarbeitung im Rahmen der Fernwartung sowohl für den ambulanten als auch stationären Sektor gesichert werden sollten. Dabei bezieht sich die Ausarbeitung sowohl auf Patientendaten als auch auf Beschäftigtendaten.

Die Autoren gehen von der Prämisse aus, dass nicht bei jedem Fernwartungsvorgang Patientendaten verarbeitet werden müssen. Im Rahmen des Einspielens von Sicherheitsupdates zum genutzten Betriebssystem sei beispielsweise i. d. R. ein Zugriff auf Patientendaten nicht erforderlich und dürfe deshalb auch nicht erfolgen. Bei der Wartung der Anwendungsapplikation sei der Zugriff auf Patientendaten im Rahmen von Unterstützungsleistungen jedoch die Regel. Beispielsweise könnten Unstimmigkeiten in den Abrechnungsdaten bei einem konkreten Fall nur mit Überprüfung der in diesem Fall vorliegenden konkreten Daten beseitigt werden, die Beseitigung von Ungereimtheiten bei der Weitergabe von Patientendaten z. B. im Rahmen der gesetzlichen Qualitätssicherung oder einer Krebsregistermeldung erfordern den Zugriff auf die betroffenen Patientendaten.

Die Autoren adressieren mit den aufgestellten Best Practices die Sicherheit der Verarbeitung und betrachten daneben auch Regelungen zu anderen Tatbeständen wie beispielsweise Erlaubnistatbeständen oder dem Vorhandensein eines ggf. benötigten Vertrages zur Auftragsverarbeitung.

Die Autoren stellen eine Vielzahl von Anforderungen auf, die sie den jeweiligen Rollen zuordnen, die sie ermittelt haben. Es wird differenziert zwischen Anforderungen, die seitens des Verantwortlichen erfüllt werden müssen, Anforderungen, die seitens des Auftragsverarbeiters erfüllt werden müssen sowie Anforderungen, die sowohl Verantwortlicher als auch Auftragsverarbeiter adressieren.

Bundesverband Gesundheits-IT e. V.
Arbeitsgruppe Datenschutz & IT-Sicherheit


(Foto: bearsky23 – stock.adobe.com)

Letztes Update:14.11.21

  • Datenschutz in medizinischen Einrichtungen

    Datenschutz in medizinischen Einrichtungen

    Seminar

    574.20 € Mehr erfahren
  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Datenschutz in medizinischen Einrichtungen

    Datenschutz in medizinischen Einrichtungen

    Seminar

    574.20 € Mehr erfahren
  • VW Kamerafahrt

    Millionen-Bußgeld wegen nicht datenschutzkonformer Forschungsfahrten

    Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1,1 Millionen Euro festgesetzt. Nach Angabe der LfD Niedersachsen sind Ursache des Bußgelds mehrere Verstöße gegen datenschutzrechtliche Bestimmungen in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von

    Mehr erfahren
  • Wächter-Modus Tesla

    „Wächter-Modus“ von Tesla-Fahrzeugen in der Kritik

    Die Firma Tesla bewirbt ihre Fahrzeuge unter anderem damit, dass diese mehrere erweiterte Schutzfunktionen bieten, die einfach zu aktivieren sind. Über das Touchscreen des Fahrzeugs wird dem Fahrer bspw. Zugriff über „Fahrzeug“> „Sicherheit“ auf die einzelnen Funktionen gewährt, um sie einzuschalten.Eines dieser Funktionen ist der sog. „Wächter-Modus“, den Tesla auf seiner Webseite wie folgt beschreibt:„Der

    Mehr erfahren
  • Betroffenenrechte

    Handlungsoptionen und Erfolgsaussichten für Betroffene von Datenschutzverstößen

    Die Einführung der DS-GVO geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die

    Mehr erfahren