Schutz von Patientendaten:
Gesundheitstelematik-Verordnung ist in Kraft

Große Health-Datenverlustfälle in Europa.
Ausweg aus der Haftung mit ISO 27001.

@ (Febr. 2009) - Die lang erwartete Gesundheitstelematikverordnung (GTelV) ist mit Jahresbeginn österreichweit in Kraft getreten und sieht vor, dass Patientendaten zwischen Gesundheitsdienste-Anbietern künftig in sicheren Netzen auszutauschen sind. Demnach müssen Ärzte, Labore, Krankenhäuser und Kuranstalten den Schutz von Patientendaten nachweisbar sicherstellen. Allein im Jahr 2008 gingen europaweit Hunderttausende Health-Daten verloren. „Datenschutz wird für Gesundheitsdienstleister zu einem zusätzlichen Qualitätsmerkmal“, sieht Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, die zukünftige Entwicklung. Laut GTelV ist der Versand unverschlüsselter E-Mails nicht mehr zulässig. Auch die Verwendung von Faxgeräten unterliegt strengeren Auflagen. „Die Verordnung sieht Übergangsfristen bis 2010 vor“, erklärt Mag. Engelbert Prenner, Abteilungsleiter für Gesundheitstelematik im BMGJF. Anpassungen des Gesundheitstelematikgesetzes oder der GTelV seien noch zu erwarten, an der grundsätzlichen Ausrichtung ändere sich aber nichts. Das Strafausmaß für Fahrlässigkeit mit Patientendaten beträgt derzeit 5.000 Euro, kann aber bei gerichtlich strafbaren Verstößen auch höher sein.

Ausweg aus der Haftung mit ISO 27001

Eine Minimierung des Haftungsrisikos bietet die Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001. „Das Zertifikat attestiert einer Organisation, alle der Sorgfaltspflicht entsprechenden Sicherheitsmaßnahmen nach anerkannten Methoden eingeführt zu haben“, erklärt Erich Scheiber. Zudem seien mit ISO 27001 die gesetzlichen Forderungen im Rahmen der GTelV nach Dokumentation und Nachweisbarkeit von Integrität, Vertraulichkeit und Verfügbarkeit von Patientendaten umfassend abgedeckt. Für Gesundheitsdienste-Anbieter bedeutet die neue Verordnung, dass sich niedergelassene Ärzte genauso wie Labore, Spitäler und Kuranstalten mit Methoden aus der Informationssicherheit befassen müssen: Klassifizierung von Daten, Risikoanalyse, Security Policies, technische und organisatorische Maßnahmen sowie Dokumentation sind im weiteren Sinne erforderlich, um Kommunikationsnetze gemäß der Verordnung sicher zu machen. Die GTelV im Web

Vorreiter KAV und AKH

Eine Vorreiterrolle nehmen der Wiener Krankenanstaltenverbund sowie das Allgemeine Krankenhaus Wien ein, die ihre Informationssicherheit schon Mitte 2008 nach ISO 27001 zertifizieren ließen. „Damit erfüllen die zwölf Spitäler und elf Pflegehäuser der Stadt Wien die neue Verordnung, die anerkannte Standards als Maßstab anführt, auf bestmöglichem Niveau“, erklärt KAV-Generaldirektor-Stvtr. Dr. Maximilian Koblmüller. „Unseren Patienten und Patientinnen gewährleistet das ISO-27001-Zertifikat, dass Daten vor Missbrauch geschützt und IT-unterstützte Geräte stets verfügbar sind“, betont Prof. Dr. Reinhard Krepler, Direktor des AKH Wien. Mehr zu KAV-/AKH-Zertifizierung

Implementierungshilfe: ISO 27799 for Health Informatics

Ähnlich wie die Qualitätsnorm ISO 9001 im Laufe der Jahre Einzug in Arztpraxen, Labore und Spitäler gehalten hat, könnte es sich langfristig mit dem Security-Standard ISO 27001 verhalten, der größenunabhängig anwendbar ist, die Einführung von gesetzeskonformer Informationssicherheit aufgrund seiner klaren Strukturen erleichtert und als staatlich anerkannter Nachweis gilt. Das der Trend weltweit in diese Richtung geht, zeigt die Veröffentlichung einer Branchen-Subnorm im Rahmen der ISO 27001-Familie im Vorjahr: die „ISO 27799 for Health Informatics“ stellt laut International Organization for Standardization eine gezielte Implementierungshilfe für Informationssicherheit nach ISO 27001 speziell für den Gesundheitssektor dar und geht auf Spezifika ein wie: Klassifizierung von Patientendaten, Sound- und Videoaufnahmen, Archivierung oder Datenübermittlung.





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com