Cybersicherheit für medizinische Einrichtungen - Best-Practice-Prüfkriterien

von Dr. Axel Spies, veröffentlicht am 25.06.2020
Rechtsgebiete: MedizinrechtWirtschaftsrechtDatenschutzrecht|1244 Aufrufe

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerisches Landesamt für Datenschutzaufsicht haben eine lesenswerte, leicht lesbare Handreichung zu dem Thema gepostet -  einen Best-Practice-Ansatz nach Art. 32 DS-GVO, der einen effektiven Schutz gegen aktuelle Cybersicherheitsbedrohungen unterstützen kann.

In diesem Bereich gibt es besondere Regeln. Für Labore und andere medizinische Einrichtungen in bayerischen Krankenhäusern kann z-B. ein Cloud Hosting von medizinischen Daten aufgrund von Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG) unzulässig sein.

Hier einige Risikoquellen aus der Handreichung:

  • Veraltete Softwarestände bergen ein erhöhtes Angriffsrisiko
  • Mangelhafter Anti-Malware-Schutz
  • Kein Schutz gegen Trojaner, die Daten gezielt verschlüsseln, um Lösegeld zu erpressen
  • Mangelhafter Passwortschutz
  • Keine Zwei-Faktor-Authentifizierung bei sensitiven Daten
  • Gefahren bei verschlüsselten E-Mail-Anhängen
  • Mangelhafte Backups
  • Verwundbarkeit beim Online-Abruf von Laborergebnissen
  • Sicherheitsrisiken beim Zugriff auf denen aus dem Home Office.
  • Zusätzliche Angriffsflächen aufgrund von Fernwartung.
  • Mangelhafte Notfallkonzepte
  • Unzureichende virtuelle Netztrennung

Dies ist eine ziemlich lange Liste. Welcher Punkt ist nach Ihrer Meinung am dringendsten für medizinische Einrichtungen?

Verschiedene EU Datenschutzbehörden und der UK ICO haben bereits erhebliche Geldstrafen gegen Krankenhäuser verhängt, die einen Bruch der Datensicherheit melden mussten.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen