Der Ruf nach Vertraulichkeit und Integrität hat mit 01. Jänner 2009 das Gesundheitswesen endgültig erreicht, welcher sich mit der Gesundheitstelematikverordnung (BGBl. II Nr. 451/2008) verwirklicht. Patientendaten zwischen Gesundheitsdienste-Anbietern wie z.B. Ärzte, Labore, Krankenhäuser und Kuranstalten müssen in Zukunft in sicheren Netzen ausgetauscht werden und der Schutz dieser Daten muss nachweisbar sichergestellt werden.
Ferner stellt die Vertraulichkeit der Daten einen zentralen Leitsatz in der Gesundheitstelematikverordnung dar, welcher in §3 subsummiert wird.
Die Bundesministerin für Gesundheit, Familie und Jugend verankert für alle Gesundheitsdienste-Anbieter folgende Kriterien zur Sicherstellung der Vertraulichkeit von Gesundheitsdaten:
Der elektronische Gesundheitsdatenaustausch über Netzwerke muss entsprechend dem Stand der Netzwerksicherheit hinreichend gegenüber unbefugten Zugriffen abgesichert sein. Das beinhaltet
- die kryptographische Absicherung des Datenverkehrs,
- die Absicherung des Netz¬zugangs für eine geschlossene oder abgrenzbare Benutzergruppe sowie
- Authentifizierung der Benutzer
- oder Protokolle und Verfahren, die die vollständige Verschlüsselung der Gesundheitsdaten ermöglichen.
In der Ergänzung zur Gesundheitstelematikverordnung wird festgestellt das Schutzmechanismen sowohl aus technischen als auch aus organisatorischen Vorkehrungen bestehen können. In technischer Hinsicht zu nennen wären etwa die Vorhaltung von speziellen Intrusion-Detection- und/oder Intrusion-Prevention-Systemen, (konfigurierbare) Firewall-Systeme, und Maßnahmen im Kontext sogenannter kritischer Infrastruktur. Organisatorische Vorkehrungen regeln u.a. auch besondere Betriebsbedingungen (z.B. redundante Systeme, Datensicherung, Protokollierung) sowie die Überprüfung (Audits) der Maßnahmen zur Risikominimierung.
Auf organisatorischer Ebene werden Sicherheits¬zertifizierungen nach anerkannten Standards empfohlen wie z.B. der BS 7799, die ITIL oder der Common Criteria-Standard.
Diese Zertifizierung erfüllen die Nachvollziehbarkeit Ihrer Sorgfaltspflicht und die Anforderungen der Verordnung.
ISO 27001, eine Weiterentwicklung des BS 7799 Standards gilt als weltweit anerkanntes Sicherheitszertifikat und entspricht einem Informationssicherheitsmanagementsystem (ISMS), welches kontinuierliche Verbesserung der Informationssicherheit gewährleistet und aktuelle Sicherheitserfordernisse in die Organisation integriert. Als Organisation sind hier Unternehmen und Behörden zu verstehen und eben auch sämtliche Gesundheitsdienste-Anbieter.
Die Trendwende in Richtung ISO Zertifizierung zeigt die 2008 veröffentlichte Norm „ISO 27799 for Health Informatics“, eine Subnorm der ISO 27001-Familie. „ISO 27799 for Health Informatics“ wurde speziell für den Gesundheitssektor entwickelt und geht auf Spezifika wie die Klassifizierung von Patientendaten, Sound- und Videoaufnahmen, Archivierung oder Datenübermittlung ein.
Neben Reputationsverlust der eigenen Person und des Standes werden Nichteinhaltung und Verstöße nach §17(1) Gesundheitstelematikgesetz geahndet. Im Rahmen der verschärften Bestimmungen für Gesundheitsdienste-Anbieter hat Security Research sowohl für kleine als auch für große Organisation maßgeschneiderte Pakete zur Unterstützung einer ISO 27001 Zertifizierung entwickelt.
Diese beinhalten sowohl eine technische Überprüfung ihrer Infrastruktur als auch eine organisatorische Überprüfung ihrer gelebten Prozesse. Natürlich ergänzen wir die Prüfung mit einem individuellen Maßnahmenkatalog, welche den geforderten Schutz der Patientendaten erfüllt.