Diese Website verwendet Cookies, um das Angebot nutzerfreundlicher und effektiver zu machen. Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen über die Verwendung von Cookies und die Möglichkeit der Verwendung von Cookies zu widersprechen, finden Sie hier.

8. - 10. Oktober 2019 // Nürnberg

it-sa Newsroom

Nachgefragt bei Dr. Stefan Bücken, IT-Sicherheitsbeauftragter des Universitätsklinikums Erlangen

© Dr. Stefan Bücken

Wie muss eine sichere IT-Infrastruktur im Gesundheitswesen gestaltet werden und wo sehen Sie in der Umsetzung die größten Herausforderungen?

Dr. Stefan Bücken: Eine sichere IT-Infrastruktur im Gesundheitswesen sollte sowohl die Anforderungen an die IT-Sicherheit als auch an die Krankenversorgung erfüllen. Hier treffen also anspruchsvolle Technologie und eine sicherheitsbetonte Abgrenzungsdenkweise auf ein hoch diversifiziertes IT-Betriebsumfeld, das durch die Vielzahl an Betreibern und sehr vielen Schnittstellen gekennzeichnet ist. Denn während Arztpraxen mit Patienten, Krankenhäusern und Gesundheitsdienstleistern eine überschaubare Anzahl an Kommunikationspartnern haben, stehen Krankenhäuser mit unzähligen verschiedenen Schnittstellen wie Patienten, Mitarbeitern, Arztpraxen, Gesundheitsdienstleistern, diversen Kostenträgern und untereinander in Kontakt.

Außerdem müssen Schnittstellen zu Dienstleistern, öffentlichen und privaten Forschungskontexten sowie Behörden berücksichtigt werden. Nicht zuletzt geht es auch darum, eine für die Mitarbeiter attraktive Arbeits- und Kommunikationsumgebung zu schaffen. Darüber hinaus darf auch die grundsätzliche Schwerpunktsetzung des Gesundheitswesens nicht vergessen werden: Schließlich geht es darum, eine gesellschaftlich bezahlbare, effiziente Unterstützung erkrankter oder verunfallter Menschen zu bieten, bei der die medizinische Versorgungsqualität im Vordergrund steht.

Die beiden großen Herausforderungen für das Gesundheitswesen sind somit die zahlreichen Schnittstellen und die vielfältigen IT-technischen Interaktionen zwischen den unterschiedlichen Stakeholdern. Deshalb muss die IT-Sicherheit bei einem Maximum an einfacher Anwendbarkeit, medizinischer Versorgungssicherheit und Behandlungseffizienz gewährleistet sein. Ohne entsprechende Schnittstellentechnologiekonzepte und Standards im sicheren Datenaustausch kann ich mir ein hochvernetztes, auf High-Tech-Medizin ausgerichtetes und ökonomisch wie medizinisch effizientes Gesundheitswesen nur schwer vorstellen. 

Wo erschwert die neue Datenschutz-Grundverordnung (DSGVO) den Austausch wichtiger Daten?

Dr. Stefan Bücken: Aus meiner Sicht erschwert die DSGVO den Austausch wichtiger Daten gar nicht – auch wenn ich weiß, dass ich mit dieser Meinung dem allgemeinen Trend, die DSGVO als Innovationshemmnis zu sehen, entgegenstehe. Die Datenverarbeitung ist im Sinne der DSGVO dann zulässig, wenn es eine rechtliche oder vertragliche Grundlage oder aber eine Einwilligung zur Datenverarbeitung durch den Betroffenen gibt.

Zudem muss die für die Datenverarbeitung verantwortliche Stelle Regeln einhalten, um einen abgesicherten und transparenten Datenverarbeitungsprozess zu garantieren. Diese Richtlinien unterscheiden sich allerdings nicht wesentlich von den Regelungen, die es schon vor der Einführung der DSGVO in Deutschland gegeben hat. Das Ziel der DSGVO, ein für Europa einheitliches Datenschutzniveau zu erreichen, erleichtert aus meiner Sicht daher den Datenaustausch im europäischen und internationalen Kontext erheblich – allerdings nur dann, wenn man als datenverarbeitende Institution seine Hausaufgaben gemacht hat. Dies gilt übrigens auch für viele IT-Sicherheitsdienstleister, die zunehmend Cloud-Analyse-Verfahren anbieten, und hierzu beispielsweise Anhänge in der E-Mail-Kommunikation analysieren.

Zum Kern der oft kontroversen DSGVO-Diskussion im Gesundheitswesen zählen vor allem die geforderte Datensparsamkeit, die sogenannte Nichtverkettbarkeit und die enge Zweckbestimmung der Datenverarbeitung verbunden mit einem Auskunfts-, Änderungs- und Löschrecht. Für mich ist dies jedoch in der gesetzlich nicht vorgegebenen Datenverarbeitung eine sinnvolle Regelungskette und keine abzulehnende Verkomplizierung der Datennutzung.

Ich persönlich finde die Vorstellung zum Beispiel zweifelhaft, dass meine Gesundheitsdaten von einem Dienstleister ohne mein Wissen an Dritte weitergegeben würden. Anschließend könnten diese Daten zur Erstellung von Gesundheitsprofilen – ähnlich einem Käuferprofil – herangezogen werden. Diese Profile sind jedoch gegebenenfalls von hohem ökonomischem Interesse und werden eben nicht nur als eine mögliche Datenbasis für eine bessere Gesundheitsversorgung genutzt. Daher wünsche ich mir hier eine sachlichere Diskussion, als dies in Bezug auf die DSGVO-Regelungen derzeit der Fall ist.

Welche Bereiche der it-sa sind für Sie als IT-Sicherheitsbeauftragter besonders interessant? Gibt es Ihrerseits noch Anregungen zur it-sa?

Dr. Stefan Bücken: Die it-sa ist für mich deshalb interessant, um mich vor Ort mit Fachleuten zu IT-Sicherheitsfragen branchenübergreifend auszutauschen. Außerdem kann ich neue Denkansätze sowie Produkte kennenlernen und unmittelbar beim Hersteller hinterfragen. Schwerpunkte auf der it-sa sehe ich für mich in der Absicherungstechnologie von IoT-Komponenten, die auch im Gesundheitswesen eine immer größere Rolle spielen werden. Das Format der it-sa gefällt mir sehr gut – weiter so!

top