gms | German Medical Science

54. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

07. bis 10.09.2009, Essen

Datenschutz- und IT-Sicherheitsaudit - eine Chance für das Gesundheitswesen

Meeting Abstract

Search Medline for

  • Bernd Schütze - HI Consulting, Düsseldorf

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. 54. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds). Essen, 07.-10.09.2009. Düsseldorf: German Medical Science GMS Publishing House; 2009. Doc09gmds230

DOI: 10.3205/09gmds230, URN: urn:nbn:de:0183-09gmds2306

Published: September 2, 2009

© 2009 Schütze.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung: 2001 eröffnete der Gesetzgeber die Möglichkeit eines Datenschutzaudits durch die Novellierung des Bundesdatenschutzgesetzes [1]. 2007 veröffentlichte das Bundesinnenministerium einen Gesetzesentwurf für ein Bundesdatenschutzauditgesetz [2]. Im Gesetzesentwurf ist ausdrücklich die Freiwilligkeit eines Datenschutzaudits ausgewiesen. Die Freiwilligkeit dürfte sich im medizinischen Umfeld als ähnlich freiwillig wie der Einsatz eines Virenscanners oder einer Firewall gestalten. Andererseits bietet ein Audit auch vielfältige Chancen.

Material und Methode: Beim Audit soll das Datenschutzkonzept sowie die entsprechende Datenverarbeitungstechnik bzgl. der Einhaltung der gesetzlichen Vorschriften bewertet werden. Letztlich beinhaltet dies die Überprüfung der kompletten Datenschutzorganisation, d.h. der Umsetzung der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Dies beinhaltet auch eine Überprüfung der IT-Sicherheitsstruktur. Die grundlegenden Normen werden hier vorgestellt.

Ergebnisse: Die Überprüfung muss hier anhand anerkannter Normen erfolgen. Die DIN ISO/IEC 27001 definiert die Zertifizierungsanforderungen an ein Informationssicherheits-Managementsystems (ISMS), die DIN ISO/IEC 27002 dient als Leitfaden zur Implementierung eines ISMS [3], [4]. Die ISO/IEC 27005 behandelt das Risikomanagement und in der ISO/IEC 27006 sind die Richtlinien für die Akkreditierung von Organisationen als Zertifizierungsstelle ausgearbeitet [5], [6].

Für das Gesundheitswesen von besonderem Interesse ist die DIN EN ISO 27799 „Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002“, die in der überarbeiteten Form voraussichtlich im Oktober 2008 zur Verfügung steht. Mit dieser Norm existiert ein praktisches Arbeitshandbuch für die Umsetzung der DIN ISO/IEC 27002, d.h. für die Einführung eines ISMS, entsprechend den Anforderungen im Gesundheitswesen [7].

Diskussion: Ein umfassend ausgefallenes Audit bietet den Vorteil, dass ein externer, kritischer Blick auf die Sicherheitsvorkehrungen geworfen wird und evtl. vorhandene Sicherheitslücken können aufgedeckt werden. Zugleich wird die Geschäftsführung hinsichtlich der Datensicherheit – dies betrifft neben den Patientendaten natürlich auch die Daten der Mitarbeiter – sensibilisiert. So betrachtet ist ein Audit ein Gewinn für das deutsche Gesundheitswesen. Als Nebeneffekt bekommt die auditierte Institution zudem noch ein Zertifikat, was als Marketing-Instrument verwendet werden kann.


Literatur

1.
Bundesdatenschutzgesetz: § 9a Datenschutzaudit. (Online, zitiert 2009-03-24) Verfügbar unter: http://bundesrecht.juris.de/bdsg_1990/__9a.html External link
2.
Referentenentwurf des BMI zu einem Bundesdatenschutzauditgesetz (BDSAuditG). (Online, zitiert 2009-03-24) Verfügbar unter: https://www.datenschutzzentrum.de/bdsauditg/20070907-entwurf-bdsauditg.pdf External link
3.
DIN ISO/IEC 27001:2008-09 "Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen". (Online, zitiert 2009-03-24) Verfügbar unter: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27001/de/103960154.html&limitationtype=&searchaccesskey=SALL External link
4.
DIN ISO/IEC 27002:2008-09 "Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Managemen". (Online, zitiert 2009-03-24) Verfügbar unter: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27002/de/110488964.html&limitationtype=&searchaccesskey=SALL External link
5.
DIN ISO/IEC 27005:2008-06 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems". (Online, zitiert 2009-03-24) Verfügbar unter: http://www.beuth.de/langanzeige/ISO%2FIEC+27005/de/110156872.html&limitationtype=&searchaccesskey=main External link
6.
DIN ISO/IEC 27006:2007-03 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems ". (Online, zitiert 2009-03-24) Verfügbar unter: http://www.beuth.de/langanzeige/ISO%2FIEC+27006/de/98056704.html&limitationtype=&searchaccesskey=SALL External link
7.
DIN EN ISO 27799: 2008-10 "Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2008)". (Online, zitiert 2009-03-24) Verfügbar unter: http://www.beuth.de/cn/d29ya2Zsb3duYW1lPXNwbGl0QmFzaWNTZWFyY2gmcmVmPXRwbC1zdWNoZSZsYW5ndWFnZWlkPWRl.html External link