Best Practices für Fernwartung in der Gesundheitsversorgung
Die Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverband Gesundheits-IT e. V. hat ihre Best Practices für Fernwartung in der Gesundheitsversorgung veröffentlicht.
Unter Fernwartung werden im Folgenden Tätigkeiten zur Inspektion, Wartung, Pflege und Fehlerbehebung der in diesen Sektoren eingesetzten IT-Systeme verstanden. Diese Tätigkeiten finden in der Regel über eine Rechnerverbindung (Internet) statt.
Diese Best Practices beschreiben, wie der Schutz personenbezogener Daten gegen unrechtmäßige Verarbeitung im Rahmen der Fernwartung sowohl für den ambulanten als auch stationären Sektor gesichert werden sollten. Dabei bezieht sich die Ausarbeitung sowohl auf Patientendaten als auch auf Beschäftigtendaten.
Die Autoren gehen von der Prämisse aus, dass nicht bei jedem Fernwartungsvorgang Patientendaten verarbeitet werden müssen. Im Rahmen des Einspielens von Sicherheitsupdates zum genutzten Betriebssystem sei beispielsweise i. d. R. ein Zugriff auf Patientendaten nicht erforderlich und dürfe deshalb auch nicht erfolgen. Bei der Wartung der Anwendungsapplikation sei der Zugriff auf Patientendaten im Rahmen von Unterstützungsleistungen jedoch die Regel. Beispielsweise könnten Unstimmigkeiten in den Abrechnungsdaten bei einem konkreten Fall nur mit Überprüfung der in diesem Fall vorliegenden konkreten Daten beseitigt werden, die Beseitigung von Ungereimtheiten bei der Weitergabe von Patientendaten z. B. im Rahmen der gesetzlichen Qualitätssicherung oder einer Krebsregistermeldung erfordern den Zugriff auf die betroffenen Patientendaten.
Die Autoren adressieren mit den aufgestellten Best Practices die Sicherheit der Verarbeitung und betrachten daneben auch Regelungen zu anderen Tatbeständen wie beispielsweise Erlaubnistatbeständen oder dem Vorhandensein eines ggf. benötigten Vertrages zur Auftragsverarbeitung.
Die Autoren stellen eine Vielzahl von Anforderungen auf, die sie den jeweiligen Rollen zuordnen, die sie ermittelt haben. Es wird differenziert zwischen Anforderungen, die seitens des Verantwortlichen erfüllt werden müssen, Anforderungen, die seitens des Auftragsverarbeiters erfüllt werden müssen sowie Anforderungen, die sowohl Verantwortlicher als auch Auftragsverarbeiter adressieren.
Bundesverband Gesundheits-IT e. V.
Arbeitsgruppe Datenschutz & IT-Sicherheit
(Foto: bearsky23 – stock.adobe.com)
Letztes Update:14.11.21
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren

