Best Practices für Fernwartung in der Gesundheitsversorgung

Gesundheitsvorsorge

Die Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverband Gesundheits-IT e. V. hat ihre Best Practices für Fernwartung in der Gesundheitsversorgung veröffentlicht.
Unter Fernwartung werden im Folgenden Tätigkeiten zur Inspektion, Wartung, Pflege und Fehlerbehebung der in diesen Sektoren eingesetzten IT-Systeme verstanden. Diese Tätigkeiten finden in der Regel über eine Rechnerverbindung (Internet) statt.

Diese Best Practices beschreiben, wie der Schutz personenbezogener Daten gegen unrechtmäßige Verarbeitung im Rahmen der Fernwartung sowohl für den ambulanten als auch stationären Sektor gesichert werden sollten. Dabei bezieht sich die Ausarbeitung sowohl auf Patientendaten als auch auf Beschäftigtendaten.

Die Autoren gehen von der Prämisse aus, dass nicht bei jedem Fernwartungsvorgang Patientendaten verarbeitet werden müssen. Im Rahmen des Einspielens von Sicherheitsupdates zum genutzten Betriebssystem sei beispielsweise i. d. R. ein Zugriff auf Patientendaten nicht erforderlich und dürfe deshalb auch nicht erfolgen. Bei der Wartung der Anwendungsapplikation sei der Zugriff auf Patientendaten im Rahmen von Unterstützungsleistungen jedoch die Regel. Beispielsweise könnten Unstimmigkeiten in den Abrechnungsdaten bei einem konkreten Fall nur mit Überprüfung der in diesem Fall vorliegenden konkreten Daten beseitigt werden, die Beseitigung von Ungereimtheiten bei der Weitergabe von Patientendaten z. B. im Rahmen der gesetzlichen Qualitätssicherung oder einer Krebsregistermeldung erfordern den Zugriff auf die betroffenen Patientendaten.

Die Autoren adressieren mit den aufgestellten Best Practices die Sicherheit der Verarbeitung und betrachten daneben auch Regelungen zu anderen Tatbeständen wie beispielsweise Erlaubnistatbeständen oder dem Vorhandensein eines ggf. benötigten Vertrages zur Auftragsverarbeitung.

Die Autoren stellen eine Vielzahl von Anforderungen auf, die sie den jeweiligen Rollen zuordnen, die sie ermittelt haben. Es wird differenziert zwischen Anforderungen, die seitens des Verantwortlichen erfüllt werden müssen, Anforderungen, die seitens des Auftragsverarbeiters erfüllt werden müssen sowie Anforderungen, die sowohl Verantwortlicher als auch Auftragsverarbeiter adressieren.

Bundesverband Gesundheits-IT e. V.
Arbeitsgruppe Datenschutz & IT-Sicherheit


(Foto: bearsky23 – stock.adobe.com)

Letztes Update:14.11.21

  • Folge 34: ChatGPT & Co: Neues aus dem Maschinenraum der EU-Datenregulierung – KI und ePrivacy

    Die Europäische Union arbeitet mit Nachdruck an der Umsetzung der Datenstrategie 2020. Die geplanten und angegangenen Regelwerke sind für Spezialisten kaum durchschaubar und waren Gegenstand des DataAgenda Datenschutzpodcasts #29 mit Kai Zenner, dem Büroleiter und Digitalreferenten von MdEP Axel Voss von der EVP. In seinem „RDV-Update aus Brüssel“ berichtet Zenner in der RDV regelmäßig über

    Mehr erfahren
  • Personalunion Interessenkollision

    Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter

    Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.

    Mehr erfahren
  • Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?

    In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in

    Mehr erfahren