Datenschutz und IT-Sicherheit im Krankenhaus

Datenschutz und IT-Sicherheit im Krankenhaus Doris Kiefer, Rechtsanwältin TÜV SÜD Sec-IT GmbH TÜV SÜD Sec-IT GmbH 17-03-02 Slide 1 Lotse durch de...
Author: Richard Boer
10 downloads 2 Views 2MB Size
Datenschutz und IT-Sicherheit im Krankenhaus Doris Kiefer, Rechtsanwältin TÜV SÜD Sec-IT GmbH

TÜV SÜD Sec-IT GmbH

17-03-02

Slide 1

Lotse durch den Paragraphendschungel

Auswahl einiger relevanter Spezialgesetze  Infektionsschutzgesetz  Medizinproduktegesetz  Röntgenverordnung  Strahlenschutzverordnung

 Arzneimittelgesetz, Betäubungsmittelgesetz

Berufsspezifische Vorschriften  Berufsordnungen für Ärzte, Psychotherapeuten  Ergotherapeutengesetz

TÜV SÜD Sec-IT GmbH

Slide 2

Lotse durch den Paragraphendschungel Krankenhausspezifische Vorschriften  Krankenhausgesetze der Länder (falls vorhanden, z. B. in Bayern, Hessen)

Regelungen aus den Sozialgesetzbüchern  SGB V (Vorschriften zu Offenbarungspflichten von Patientendaten z. B. im Zusammenhang der Leistungsabrechnung)

Sonstige Regelungen  AGG, ArbSchG Handelsgesetzbuch, Abgabenordnung  BGB, GG Telemediengesetz, Telekommunikationsgesetz, IT Sicherheitsgesetz  StGB TÜV SÜD Sec-IT GmbH

Slide 3

Lotse durch den Paragraphendschungel

BDSG TÜV SÜD Sec-IT GmbH

Slide 4

Lotse durch den Paragraphendschungel

EU-DSGVO TÜV SÜD Sec-IT GmbH

Slide 5

Final Countdown…

449 Tage… Mit anderen Worten... 1 Jahr, 2 Monate und 23 Tage 38.793.600 Sekunden 646.560 Minuten 10.776 Stunden 64 Wochen und 1 Tag TÜV SÜD Sec-IT GmbH

Slide 6

Lotse durch den Paragraphendschungel

TÜV SÜD Sec-IT GmbH

Slide 7

Risikomanagement im Gesundheitswesen

RISIKO Management TÜV SÜD Sec-IT GmbH

Slide 8

Risikomanagement im Gesundheitswesen

Risikobasierter Ansatz (risk-based approach)

Datenschutzrechtliche Anforderungen

TÜV SÜD Sec-IT GmbH

Risiko, das von der Datenverarbeitung ausgeht

Slide 9

Grundprinzipien, Art. 5 EU-DSGVO Integrität & Vertraulichkeit Richtigkeit

Speicherbegrenzung Datenminimierung

Rechtmäßigkeit, Verarbeitung nach Treu & Glauben, Transparenz

Zweckbindung

Rechenschaftspflicht (Accountability) TÜV SÜD Sec-IT GmbH

Slide 10

Risikomanagement im Gesundheitswesen

Sensible Daten • rassische und ethnische Herkunft • politische Meinung • religiöse oder weltanschauliche Überzeugungen • Gewerkschaftszugehörigkeit • Gesundheitsdaten • Daten zum Sexualleben und der sexuellen Orientierung

• genetische Daten • biometrische Daten TÜV SÜD Sec-IT GmbH

Slide 11

Risikomanagement im Gesundheitswesen

Technische und organisatorische Maßnahmen Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) […]

TÜV SÜD Sec-IT GmbH

Slide 12

Risikomanagement im Gesundheitswesen

Technische und organisatorische Maßnahmen Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) […] TÜV SÜD Sec-IT GmbH

Slide 13

Risikomanagement im Gesundheitswesen

Technische und organisatorische Maßnahmen Art. 32 DSGVO Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind. […] TÜV SÜD Sec-IT GmbH

Slide 14

Risikomanagement im Gesundheitswesen

Einwilligung Art. 7 DSGVO Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

TÜV SÜD Sec-IT GmbH

Slide 15

Risikomanagement im Gesundheitswesen

Datenschutz-Folgenabschätzung Voraussichtlich hohes Risiko für Rechte & Freiheiten der betroffenen Personen

Abschätzung der Folgen für den Schutz personenbezogener Daten

Konsultation des Datenschutzbeauftragten

Überprüfung/ Review

Abhilfemaßnahmen, um Risiken zu bewältigen

TÜV SÜD Sec-IT GmbH

Slide 16

Risikomanagement im Gesundheitswesen

Meldepflicht § 42a BDSG

Art. 33, 34 EU-DSGVO

nur bei bestimmten Datenarten

grs. jede Verletzung, außer kein Risiko für Rechte & Freiheiten der natürlichen Person

unverzüglich

möglichst binnen 72 Stunden

Art der Kenntniserlangung, Empfehlungen zur Minderung der Nachteile, Möglichkeit nachteiliger Folgen, ergriffene Maßnahmen

Art der Verletzung, Kategorien & ungefähre Anzahl der Betroffenen, Name & Kontaktdaten DSB, wahrscheinliche Verletzungsfolgen, ergriffene oder vorgeschlagene Maßnahmen, Dokumentation für Aufsichtsbehörde

Geldbuße bis zu 300.000 Euro

Geldbuße bis zu 10.000.000 Euro oder 2% des weltweiten Jahresumsatzes

TÜV SÜD Sec-IT GmbH

Slide 17

Fazit

Definieren von Verantwortlichkeiten (Projektteam-“Bildung“)

Analyse des zeitlichen & finanziellen Aufwands

Analyse des Ist-Zustands

Implementierung von Prozessen/ Prozess-Strukturen

TÜV SÜD Sec-IT GmbH

17-03-02

Slide 18

Fazit

TÜV SÜD Sec-IT GmbH

17-03-02

Slide 19

Prüf- und Beratungsleistungen

Externer Datenschutzbeauftragter

Datenschutzcheck

Geprüfte / Zertifizierte Auftragsdatenverarbeitung

• Ab 10 Mitarbeiter müssen Unternehmen einen Datenschutzbeauftragten bestellen. • TÜV SÜD Experten übernehmen diese Rolle und schaffen damit Vertrauen bei Kunden und Partnern.

• Datenschutz ist keine Option, sondern ein gesetzliche Pflicht. • TÜV SÜD überprüft die Wirksamkeit der Datenschutzorganisation von Unternehmen und zeigt Optimierungspotenziale auf.

• TÜV SÜD überprüft die Datenverarbeitung von Dritten Dienstleistern im Auftrag eines Unternehmens. • Damit unterstützt TÜV SÜD Unternehmen bzgl. Ihrer gesetzlichen Pflicht zur Prüfung dieser Dienstleister.

TÜV SÜD Sec-IT GmbH

02.03.2017

Folie 20

Prüf- und Beratungsleistungen

IT-Penetrationstests

IT-Schwachstellen-Scans

Website-Checks

• Ausführliche Überprüfung externer und/oder interner IT-Systeme aus Sicht von potenziellen Angreifern • Risikoabschätzung für identifizierte Sicherheitslücken

• Automatisierte Scans zur ersten Analyse von Schwachstellen von IT-Systemen • Validierung und Interpretation der Ergebnisse durch TÜV SÜD Experten

• Überprüfung von Websites aller Art in Bezug auf Handhabbarkeit, Informationsqualität und technische Sicherheit • Ableitung konkreter Verbesserungspotenziale

TÜV SÜD Sec-IT GmbH

02.03.2017

Folie 21

Ihre Ansprechpartner für Datenschutz und Datensicherheit

Kontaktdaten: Doris Kiefer Rechtsanwältin

TÜV SÜD Sec-IT GmbH [email protected] Telefon 089-50084-347

TÜV SÜD Sec-IT GmbH

Slide 22