Best-Practice-Prüfkriterien im Sinne von Art. 32 DS-GVO
Nach Informationen des Bundesamts für Sicherheit (BSI) in der Informationstechnik waren 2019 etwas weniger als zehn Prozent der Krankenhäuser in Deutschland beim BSI als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert.
Neben Einrichtungen anderer Sektoren waren Krankenhäuser und andere medizinische Einrichtungen zuletzt wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible Patientendaten im Mittelpunkt.
Das BSI hat Oktober 2019 die Eignung eines branchenspezifischen Sicherheitsstandards (B3S) festgestellt, mit dem Krankenhäuser ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik ausrichten können. Vorgelegt wurde der B3S von der Deutschen Krankenhausgesellschaft (DKG).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLfD) und der Bayerische Landesbeauftragte für den Datenschutz (BayLDA) greifen diese Thematik vor dem Hintergrund der aktuellen Pandemie auf und weisen in einem gemeinsamen Papier darauf hin, dass wie wichtig ein funktionierendes Gesundheitssystem ist. Krankenhäuser, Arztpraxen und medizinische Labore seien herausgefordert, die medizinische Versorgung der Bevölkerung sicherzustellen. Bereits ein erfolgreicher Cyberangriff könne aber die Funktionsfähigkeit einer medizinischen Einrichtung für Tage oder Wochen massiv beeinträchtigen – und im schlimmsten Fall sogar komplett lahm legen.
Zur Überprüfung ihrer Cybersicherheitsmaßnahmen stellen der BayLfD und das BayLDA daher den medizinischen Einrichtungen in Bayern eine Best-Practice-Checkliste zur Verfügung.
Der Fokus des Dokuments liegt auf der Verfügbarkeit der Daten bzw. Dienste bezüglich Angriffe aus dem Internet und weniger auf deren Vertraulichkeit und Integrität, die aus Datenschutzsicht jedoch ebenfalls zu beachten sind. Die beiden Aufsichtsbehörden sehen das Papier als eine Hilfestellung zur schnellen Überprüfung der eigenen Sicherheit hinsichtlich der Verfügbarkeit der eigenen Datenverarbeitung im Sinne von Art. 32 DS-GVO. Der Anwendungsbereich umfasst sowohl den nicht-öffentlichen als auch den öffentlichen Bereich.
Die Checkliste kann kostenlos unter www.datenschutz-bayern.de/best_practice_medizin sowie unter www.lda.bayern.de/best_practice_medizin abgerufen werden.
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
