Our site uses cookies to make it work and to help us give you the best possible user experience. By using our site, you agree to our use of cookies. To find out more about cookies and how you can disable them, please read our cookies statement. 

Cookie Settings

You can manage your cookie settings by turning cookies on and off.

Click on the different cookie  headings to find out more about the types of cookies we use on this site and to change your settings. Please be aware that if you choose to turn off  cookies, certain areas of our site may not work and your browsing experience may be impacted.

For further information on how we use cookies, please see our cookies statement. 

Strictly Necessary Cookies

(Req)

These cookies are essential for the technical operation of and proper functioning of our site  and enable you to register and login, to easily move around our site, and to access secure areas. Without these cookies our site won't function properly.  

These cookies are required

Performance Cookies

Performance cookies allow us to collect aggregated and anonymous data on how our site is used, such as the number of visitors to our site, how you navigate around and the time spent on our site and also to identify any errors in functionality. These cookies also help us to improve the way our site works by ensuring that you can find what you’re looking for easily, to better understand what you are interested in and to measure the effectiveness of the content of our site. 

Marketing Cookies

These cookies allow us to advertise our products to you and allow us to pass this information on to our trusted third parties so that they can advertise our products to you on our behalf. All information these cookies collect is aggregated and therefore anonymous. No personal information is shared to third parties. Any personal information collected while using our website could be used for direct marketing from Dimension Data only.

EU-DS-GVO: Mehr Sicherheit für sensible Daten

Blog

Unter allen sensiblen Daten sind sie wohl die sensibelsten: Gesundheitsdaten. Im Zweifelsfall gehen sie nur den Patienten und das behandelnde medizinische Personal etwas an und alle anderen Parteien, die – ihrer Meinung nach vielleicht sogar ein berechtigtes – Interesse daran haben, eben nicht. So kommt es, dass etwa in Krankenhäusern und Arztpraxen täglich ein besonders wertvolles und schützenwertes Gut zirkuliert und dass daher alle am Datenfluss Beteiligten über den richtigen Umgang informiert und aufgeklärt sein müssen. Nicht zu vergessen: Vorhandene IT-Systeme und Speicherkapazitäten müssen sicher und vor Angriffen geschützt sein. Schließlich hat auch in der Medizin die zu verarbeitende Datenmenge in den letzten Jahren rasant zugenommen, vor allem seit die Krankenkassen die elektronische Datenverarbeitung massiv vorangetrieben haben.

Bislang regelt die EU-Datenschutzrichtlinie von 1995 und hierzulande zusätzlich das Bundesdatenschutzgesetz (BDSG) den Schutz personenbezogener Daten. Seither hat sich auf dem Gebiet der digitalen Datenverarbeitung jedoch eine Menge getan. So wurde im Frühsommer 2016 ein neues Gesetz auf europäischer Ebene verabschiedet, das der digitalen Revolution Rechnung trägt: Nach zweijähriger Übergangsphase tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 in Kraft. Es sorgt für eine Harmonisierung der Rechte und Pflichten von Unternehmen in Bezug auf Datenschutz über alle EU-Mitgliedsstaaten hinweg – Zuwiderhandlungen werden mit teilweise drastischen Strafen bedacht.

Wen betrifft die neue Richtlinie?

Prinzipiell gilt: Sofern Unternehmen in irgendeiner Form personenbezogene Daten von EU-Bürgern verarbeiten, bleiben sie von der Gesetzesänderung nicht verschont. Dies bedeutet gleichzeitig, dass selbst Unternehmen ohne Sitz oder Niederlassung innerhalb der EU künftig dem europäischen Datenschutzrecht unterliegen, sollten diese Daten von EU-Bürgern verarbeiten – selbst bei unentgeltlichen Dienstleistungen. Das gilt natürlich auch für den Gesundheitssektor und bedeutet: Egal, wo ein EU-Bürger zum Arzt geht oder gar ins Krankenhaus muss, seine Daten müssen nach der neuen Datenschutz-Grundverordnung geschützt werden. Und umgekehrt, für diejenigen, die die Daten verarbeiten, heißt es: Informieren, Awareness schaffen, Mitarbeiter schulen, ein Security-Konzept erstellen, Verantwortliche benennen und nicht zuletzt: In IT Security investieren.

Neue Pflichten für Unternehmen

Einen zusätzlichen Aufwand bedeuten etwa die Dokumentations- und Auskunftspflichten für Unternehmen, die nochmals verschärft wurden. So muss beispielsweise ein Verzeichnis aller Datenverarbeitungstätigkeiten von personenbezogenen Informationen erstellt werden. Dieses Verzeichnis dient vor allem gegenüber Aufsichtsbehörden als Nachweis und gewährleistet eine bessere Nachvollziehbarkeit aller Aktivitäten. Entsprechend empfiehlt sich für Unternehmen der Aufbau eines Datenschutzmanagementsystems, um den Überblick über sämtliche getroffene Maßnahmen nicht zu verlieren. Doch auch für Anfragen von Kunden – oder eben Patienten – ist ein solches Verzeichnis künftig unabdingbar. So können individuelle Daten nicht nur angefragt, sondern deren Nutzung bei Bedarf widersprochen werden. Auch einem Antrag auf Löschung persönlicher Informationen müssen Unternehmen auf Wunsch nachkommen. Auf Anfragen dieser Art müssen Unternehmen spätestens nach einem Monat antworten. Der Schutz des individuellen Persönlichkeitsrechts wird hierdurch spürbar gestärkt – Unternehmen müssen sich allerdings zuerst selbst in die Lage bringen, dies leisten zu können.

Vertrauen nicht verspielen!

Hinzu kommen weitere Aufgaben: In zahlreichen Unternehmen müssen jetzt Datenschutzerklärungen und Verträge an die neue Verordnung angepasst werden. Außerdem muss die IT-Sicherheit geprüft und im Zweifelsfall von Grund auf umgestellt werden. Niemand möchte, dass seine Gesundheitsdaten gehackt werden. Und sollte doch eine Datenpanne auftreten, sind Unternehmen nun verpflichtet, diese binnen 72 Stunden sowohl an die zuständige Aufsichtsbehörde als auch an die Betroffenen selbst zu melden. Besonders für Einrichtungen des Gesundheitswesens ginge damit wohl zunächst ein immenser Vertrauensverlust einher – selbst wenn die durch die Verordnung verbesserte Transparenz im Grunde lobenswert ist.

Es gibt aber auch keinen Weg daran vorbei: Zuwiderhandlung und Nichteinhaltung werden drakonisch bestraft. Mit der EU-DSGVO können Bußgelder künftig bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Umsatzes einer Unternehmensgruppe betragen.

Insofern sollten Unternehmen die kommenden Neuerungen durchaus ernst nehmen und mit der Umsetzung der Verordnungsinhalte schnellstmöglich beginnen, sollte dies nicht schon geschehen sein. Dimension Data steht gemeinsam mit Ihrer Schwester NTT Security dabei als kompetenter Partner zur Seite.

 


Zusammen beschäftigen Dimension Data und NTT Security in Deutschland über 210 Security Experten, die seit über 20 Jahren Unternehmen in allen Belangen der Informationssicherheit beraten. Im Bereich Governance, Risk und Compliance beraten die Experten in den Bereichen: Datenschutz, ISMS/ISO27000, Risiko Management und Business Continuity Management.

Sie wollen wissen, ob Ihr Unternehmen für die neuen Anforderungen gerüstet ist? Dann machen Sie jetzt unseren kostenlosen Schnelltest unter: http://www.schnelltest-security-dsgvo.de/

Bei Fragen dazu und zu weiteren Security Themen stehen Ihnen unsere Experten für das Gesundheitswesen zur Verfügung:

Amr Seckinger, Amr.Seckinger@dimensiondata.com ,Twitter: @SeckingerAmr

Matthias Körbitzer, Matthias.Koerbitzer@dimensiondata.com, Twitter @MKoerbitzer.

Dem Team Forschung, Lehre und Gesundheitswesen können Sie zudem auf Twitter unter @R_EDU_HC_DiData folgen.

Previous Article: Gut gerüstet für die EU-DS-GVO: Fünf Softwaretools für Einrichtungen des Gesundheitswesens Next Article: Schneller, bequemer, überall – What’s next beim Thema Customer Experience?

You may be interested in

Blog

26 Prozent aller Malware weltweit sind Spyware/Keylogger

Ihre Angriffe werden immer gezielter, ihre Methoden deutlich ausgeklügelter. Und dennoch nutzen Cyber-Kriminelle für ihre Attacken mit Vorliebe den Weg des geringsten Widerstands.

Hier weiterlesen
Blog

Medileaks - Datenpanne im Gesundheitssektor

Laut eigener Aussage ist die Plattform medileaks im Besitz sensibler Patientendaten aus mehr als 300 deutschen Krankenhäusern.

Hier weiterlesen
Man walking with laptop
Blog

Die Readiness-Analyse: Ist Ihre Einrichtung schon bereit für die EU-DS-GVO?

Experte Matthias Körbitzer erklärt, warum sich für die EU-DS-GVO eine Readiness-Analyse für Einrichtung im Gesundheitswesen lohnt und worauf zu achten ist.

Hier weiterlesen
Man in server room
Blog

Gut gerüstet für die EU-DS-GVO: Fünf Softwaretools für Einrichtungen des Gesundheitswesens

Alles neu macht der Mai – oder um genau zu sein, der 28. Mai, ab dann ist nämlich die Übergangsfrist für die EU-Datenschutz-Grundverordnung (EU-DS-GVO) vorbei und eine Vielzahl neuer Regeln.

Hier weiterlesen