Merken

Was ändert sich nach der "Scharfschaltung" der EU-DSGVO ab 25. Mai 2018 in Gesundheitseinrichtungen?

19. Nov. 2017
/
0 Kommentare
/
Tags: EU-DSGVO, IT-Sicherheitsgesetz, Datenschutz
/
Author: Frank Bergs

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist zwar seit dem 25. Mai 2016 in Kraft, aber wie auch sonst üblich gewährt man den einzelnen Institutionen eine Übergangsfrist von 2 Jahren, um die notwendigen Maßnahmen zu ergreifen, die klar definierten Regelungen des europäischen Datenschutzes umzusetzen. Das heißt konkret für die Krankenhäuser in Deutschland und der europäischen Union, dass ab dem 25. Mai 2018 die "Schonfrist" vorbei ist. Haben die Einrichtung bis dahin nicht die geforderten Maßnahmen zur Umsetzung der EU-DSGVO ergriffen, drohen ihnen drastische Strafen. Im Einzelfall betragen sie bei einem Vorfall bis zu 20 Millionen Euro, oder maximal 4% des Jahresumsatzes der Einrichtung. Hinzu kommt, dass die einzelnen Haftpflichtversicherer schon jetzt überprüfen, ob die Krankenhäuser sich der Thematik angenommen haben. Ist dies nicht der Fall kann es sein, dass Versicherungsverträge aufgekündigt werden bzw. sich die Versicherungsprämien drastisch erhöhen. Wenn man die EU-DSGVO kurz für die Krankenhäuser zusammenfasst lässt sich in Summe festhalten, dass neben Datenverschlüsselungen durch Zwei-Faktor-Authentifizierung und weiteren technischen Schutzmaßnahmen insbesondere Wert auf Verfahrensverzeichnisse mit Folgeabschätzungen, Notfallpläne, Arbeitsablauforganisationsplänen und besondere Schulung der Mitarbeiter hinsichtlich Datenschutz und Datensicherheit gelegt wird. Zu guter letzt müssen auch alle Verträge mit Dienstleistern und Auftragsverarbeitern geprüft und bei Bedarf angepasst werden. Im Prinzip fordert die EU-DSGVO ein Informationssicherheits-Managementsystem, ähnlich der ISO 27001. An einigen Stellen der deutschen Krankenhauslandschaft wird bereits an den Umsetzungsfragen zur DS-GVO gearbeitet. Allerdings geschieht dies noch überwiegend in isolierten Kreisen und selten unter Einbezug der Krankenhaus-IT. Daher ist es umso wichtiger, dass dieses Thema "Chefsache" ist oder wird. Insbesondere kommunalen Trägern ist der Ernst der Sache noch nicht klar und man stellt Medizintechnikinvestitionen häufig in den Vordergrund vor Investitionen in die IT-Sicherheitsstruktur. Nach wie vor ist es aus meiner Sicht auch noch immer problematisch, dass sich diverse Verordnungen, wie das IT-Sicherheitsgesetz, die EU-DSGVO und die Datenschutzverordnungen der einzelnen Landesbehörden, in einigen Punkten nicht zu 100% entsprechen und es daurch Gesundheitseinrichtungen noch immer nicht klar ist, was wie und wann umzusetzen ist. Mal abgesehen davon, haben viele Einrichtungen einfach nicht die finanziellen Mittel und Budgets, um alles im geforderten Zeitrahmen umzusetzen. Ich bin auf jeden Fall sehr gespannt, wie der Gesetzgeber und die juristische Seite einen Fall von Datenschutzverletzung oder auch ein Datensicherheitsproblem bewertet nach den einzelnen "Stichtagen". Man kann nur wünschen, dass bei einer Rechtsverletzung nicht die ganze Klinik kurzfristig geschlossen wird. Aber noch ist ja Zeit geeignete Vorkehrungen zu treffen ...

Quellen:

Quelle Text: EU-DSGVO Kurzanleitung Datastax

Quelle Bild: https://www.pexels.com/photo/computer-content-control-data-270700/

Frank Bergs
Soziale Kanäle des Authors
Hinterlasse einen Kommentar zum Beitrag