11
Jan 2018

Gesundheitsdaten im Fokus der Cyberkriminalität

Im Gesundheitswesen haben wir es mit besonders schützenswerten Daten zu tun. Nicht umsonst gehören gestohlene Gesundheitsdaten unter Cyberkriminellen zu den «most wanted data». Mit dem neuen Datenschutzgesetz verschärft der Bund die Regulierung.

Mehr als 85 Millionen Datensätze – das sind 34 % aller im Jahr 2015 weltweit gestohlenen Daten – stammten 2015 aus dem Gesundheitswesen (Quelle: IBM X-Force Research 2016 Cyber Security Intelligence Index). Auf dem Schwarzmarkt lassen sich damit bis zu 1000 $ erzielen. Der Anteil an gestohlenen Daten aus der Finanzwirtschaft präsentiert sich demgegenüber verschwindend klein mit weniger als 1 %. Vor diesem Hintergrund setzt die EU 2018 das weitreichendste Datenschutzgesetz in Kraft. Mit etwas Verzögerung wird die Schweiz dieser Regulierung folgen.

 

Was macht Gesundheitsdaten für Cyberkriminelle attraktiv?

Gesundheitsdaten sind vergleichsweise schwach geschützt – für Cyberkriminelle also leichte Beute. Sie enthalten neben krankheitsrelevanten Informationen viele weitere persönliche Daten wie Namen, Adressen, Sozialversicherungsdaten oder Zahlungsinformationen. Gleichzeitig sind sie für die Leistungserbringer zentral – für die Patienten sogar lebenswichtig. Diese Kombination macht sie zur begehrten Handelsware und geeignet für:

  • gezielte Phishing-Angriffe
  • Profiling
  • Erpressung (Ransomware)
  • Identitätsdiebstahl
  • Leistungs- und Abrechnungsbetrug (vor allem in den USA)

 

Datenmissbrauch als reale Gefahr

So erstaunt es nicht, dass die befragten Experten des Netzwerks Gesundheitsökonomie Winterthur (NGW) in der eben erschienenen Studie «Digital Health - Die Zukunft des Schweizer Gesundheitswesens» des Instituts für Gesundheitsökonomie der Fachhochschule ZHAW sich sehr um die Datensicherheit sorgen. Die Befragten halten es für realistisch, dass bis in zehn Jahren mindestens ein Daten-GAU in den Systemen des Schweizer Gesundheitswesens stattfinden wird, sei es durch Hacking von Patientendaten oder durch die Lahmlegung von Computersystemen. Sie diagnostizieren grossen Handlungsbedarf im Bereich Datenschutz und Datensicherheit.

 

Datenschutz lässt sich nicht delegieren: Verschärfte Datenschutzbestimmungen ab Mai 2018

Mit den neuen Möglichkeiten, die der digitale Wandel uns bietet, sammeln immer mehr Unternehmen massenweise personenbezogene Daten, um ihre Geschäftsprozesse zu optimieren. Mit den Datenvolumen wächst die ethische Verantwortung für den Umgang mit den gesammelten Daten. Die Gesetzgebung hinkt der Digitalisierung hinterher. Am 25. Mai 2018 tritt nun die überarbeitete Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Im Abgleich mit der EU unterzieht auch der Bundesrat unser Schweizer Datenschutzgesetz einer Totalrevision. Der Entwurf wurde am 15. September 2017 veröffentlicht und soll im August 2018 in Kraft treten.

Das neue Datenschutzgesetz (DSG) sorgt dafür, dass das Niveau des Schweizer Datenschutzes von der EU auch in Zukunft als angemessen und gleichwertig beurteilt wird. Dies als Voraussetzung für den Datenaustausch innerhalb Europas. Die neuen Bestimmungen fordern insbesondere Transparenz hinsichtlich Bearbeitungszweck und Weitergabe personenbezogener Daten. Verstösse gegen das DSG können mit bis zu 250‘000 CHF Busse bestraft werden. Grund genug, sich rechtzeitig die Frage zu stellen, was das neue Datenschutzgesetz für die Arztpraxis bedeutet:

 

Was Sie als Praxisinhaber und Führungsverantwortliche wissen müssen

Die auf Informatikrecht und Datenschutz spezialisierte Rechtsanwaltspraxis FSDZ Rechtsanwälte & Notariat AG präsentierte den Mitgliedern des VSFM (Verband Schweizerischer Fachhäuser für Medizinal-Informatik) die wichtigen Aspekte in einem Referat:

  1. Arztpraxen sind von der neuen Datenschutzgesetzgebung in jedem Fall betroffen.
  1. Das Gesetz betrifft den Umgang mit Personendaten oder personenbezogenen Daten (neu auch Profiling). In der Arztpraxis sind dies:
    • die besonders schützenswerten Patientendaten
    • die Mitarbeiterdaten
    • Geschäftsdaten
  2. Corporate Governance: Arztpraxen müssen ihre unternehmerische Verantwortung im Umgang mit datenschutzrelevanten Daten wahrnehmen – sowohl bezüglich Datenschutz (Schutz der Daten) wie auch bezüglich Datensicherheit (Sicherheit in der Bearbeitung und Aufbewahrung). Es geht um die Wahrnehmung der gesetzlichen Sorgfaltspflichten im Umgang mit(Personen-) Daten und IT-Infrastrukturen, die von der Arztpraxis teilweise an den externen IT-Dienstleister abgegeben werden kann. Die Verantwortlichen (VR, GL) sowohl der Arztpraxis wie deren IT-Servicedienstleister haben dafür zu sorgen, dass die relevanten Gesetze, Richtlinien und Codices dauerhaft nachgelebt und erfüllt werden (Compliance), und zwar unabhängig von der gewählten betrieblichen Rechtsform (Einzelfirma, AG, GmbH, Personengesellschaft, Vereinigung, Genossenschaft etc.).

 

Ohne Datensicherheit kein Datenschutz

Datenschutz und Datensicherheit werden oft im gleichen Atemzug erwähnt. Die Gewährleistung der Datensicherheit ist unabdingbare Voraussetzung für den Datenschutz. So lassen sich die beiden Begriffe voneinander abgrenzen:

  • Datenschutz: Beim Datenschutz geht es ums Recht an den eigenen Daten – sowohl physische wie digitale Daten. Das Datenschutzgesetz regelt, wie mit personenbezogenen Daten umgegangen werden darf und ahndet die missbräuchliche Verwendung und Verarbeitung solcher Daten. Es schützt die informelle Selbstbestimmung, die Privatsphäre und das Persönlichkeitsrecht. Wer Daten über Personen erhebt, verarbeitet und aufbewahrt, muss die gesetzlichen Datenschutzbestimmungen einhalten. Stichworte sind hier Transparenz, Einwilligung zur Erfassung und Verwendung von Daten, sowie die Anonymisierung sensibler Daten.
  • Datensicherheit: Die Datensicherheit bezieht sich auf IT-Systeme. Diese müssen die Daten vor Verlust und vor dem Zugriff Unberechtigter schützen. Die Datensicherheit stellt die Integrität der Daten sicher, deren Verfügbarkeit und Vertraulichkeit. Dazu gehört die Verschlüsselung, digitale Signaturen, Zugriffsberechtigungen, Backup, Virenschutz, Firewall, Protokollierung, etc.

 

Tipps für die Praxis

 

amétiq unterstützt Sie bei der Einhaltung der Bestimmungen

Als amétiq setzen wir uns mit den regulatorischen Neuerungen aktiv auseinander, um Sie bei der Umsetzung der anspruchsvollen Bestimmungen zu unterstützen. Mit der amétiq cloud haben wir eine hochsichere Plattform für Services in der Arztpraxis aufgebaut. Ausgewiesene Spezialisten kümmern sich um die Datensicherheit unserer Kunden aus der Medizin- und Finanzbranche. Der siMed Data Center Service bietet erheblich mehr Sicherheit als ein Server in der Arztpraxis (analog zum Tresorraum in einer Bank gegenüber einem Safe im Privathaus), auch in Form von georedundanten Backups, die in mehreren Daten Centern abgespeichert werden (Georedundanz).

 

Wir investieren auch in siMed: Neue, sichere Login-Möglichkeiten für den raschen Benutzerwechsel (Voraussetzung für persönliche IDs) werden im Verlaufe von 2018 eingeführt, ebenso wie die sichere Mailkommunikation via HIN-Mail direkt aus siMed heraus.