Video Tipp

Helene Lengler, InterSystems

TV-Beitrag auf Youtube

Aktuelle News
Weitere News
Vor-Ort-Reportagen
Service
RSS-Feed Aktuelle News
Multimedia
 
  







Veröffentlicht: 19.03.2018


Don't panic: IT-Sicherheit muss sein


KH-IT-Frühjahrstagung 2018 mit Konzepten und

Lösungen für die Praxis



Plenum Klinikum der Universität München – Campus Großhadern

Die Frühjahrstagung 2018 des Bundesverbandes KH-IT in München trug das Motto „IT-Sicherheit (KRITIS), EU Datenschutz-Grundverordnung, (EU DS-GVO) und eHealth Gesetz 2“. Zu dem aktuellen Themenfeld standen praxisbezogene Konzepte, Lösungen und Handlungsempfehlungen von Experten für die Krankenhaus-IT-Verantwortlichen auf dem Programm. Gastgeber war das Klinikum der Universität München – Campus Großhadern.


Das Jahr 2018 bringt eine Reihe wichtiger und weit reichender Änderungen mit sich wie KRITIS, die EU DSGVO und voraussichtlich weitere brisante Entwicklungen im Bereich der eHealth. Als hauptsächliche „Botschaft“ der Frühjahrstagung 2018 betonten die Programmgestalter für die 225 Teilnehmer aus der Krankenhaus-IT-Leitung: „Die Tagung bot die Plattform, die wichtigsten Punkte dieser Veränderungen kennen zu lernen, sie zu verstehen, sich mit Kollegen auszutauschen und Maßnahmen daraus abzuleiten.“



Günter Gartner: zeichnete für die Organisation der KH-IT Frühjahrstagung 2018 in München verantwortlich

Informationstransfer par excellence vermittelte Dr. Kurt Kruber. Durch die Vorstellung des Klinikums Universität München mit Infrastruktur und MIT-Ausstattung (Medizintechnik und IT) zeigten sich hochkarätige Best Practices. Der Leiter MIT und Tagungsgastgeber dirigiert eine Medizintechnik und IT mit hoher Komplexität von Systemen und Subsystemen. Seine 180 MIT-Mitarbeiter bedienen 95 Kliniken, Institute, Zentren und Abteilungen, rund 10.000 Mitarbeiter (103 Nationalitäten), 2.100 Planbetten, 550.000 stationäre und ambulante Fälle/Patienten.



Dr. Kurt Kruber, Leiter MIT Klinikum Universität München, und Tagungsgastgeber: Digitalisierung versus Sicherheit und Datenschutz

Auch bei solcher komplexen Technologievernetzung ist eine verlässliche IT-Sicherheit möglich. Sie beinhaltet für Informationen und Ressourcen die Schutzziele „Vertraulichkeit“, „Integrität / Unversehrtheit“ und „Verfügbarkeit“. „Natürlich steigen die Herausforderungen mit der Komplexität“, meinte Kurt Kruber, „aber sie ist nicht unverändert in bestimmten Grenzen möglich, wenn man bei allen drei Punkten berücksichtigt, dass es finanzielle und zeitliche Grenzen gibt, dies zu realisieren.“ Allerdings bestimmen zunehmend Consumer-Anwenderansprüche das Verhalten der IT-Experten. „Im privaten Bereich sind die Menschen an iPhones und deren coole Usability gewohnt, dieses private Denken schleppt jeder auch in seinen Klinikalltag hinein.“ Viele Anwender vollziehen die Schwierigkeiten gar nicht nach. Kurt Kruber: „Es geht eben nicht, einfach einen USB-Stick für hochsensible Patentendaten und deren Transport zu verwenden. Wir können natürlich den Technikeinsatz generell verhindern, dann aber sind wir wieder Verhinderer und Bremser.“ Zu verbessern sein könnte sicher das Verständnis für die Belange von Personen- sowie Datenschutz. „Dies ist wichtig, damit Spezialisierung, medizinischer Fortschritt, Digitalisierung und Investitionsbedarf in einem angemessenen Gleichgewicht mit dem ökonomischen Druck, der Komplexitätszunahme und einer sinnvoller Vernetzung stehen.“

Volldigitalisierung als Maxime

Der Leiter MIT Kruber sieht Volldigitalisierung als Maxime, wobei sich jede Klinik auf jeder beliebigen Stufe unterschiedliche Erfüllungsgrade schaffen sollte, aufgrund ihrer Unternehmensgröße und -komplexität, baulichen Voraussetzungen sowie finanziellen Mitteln und Erfolge. IT-Unterstüzung verpflichte nach Krubers Credo zum Erhalt, bei Störungen und Angriffen, Nutzung und Verbindung von Techniken, aber auch Invest einerseits und Verzicht andererseits. Die besondere Herausforderung für Politik, Wirtschaft und Anwender liege in den unterschiedlichen Geschwindigkeiten bei Investitionszyklen in Bauvorhaben, Förderung, Beschaffung und Abschreibung von Medizingeräten und IT, vor allem auch dem beschleunigten Fortschritt und die Änderungszyklen von Hardware und Software.

Bei der Umsetzung von IT-Sicherheit geht es meist nicht ohne Schwierigkeiten ab. Thomas Dehne, IT-Leiter Universitätsmedizin Rostock, weiß: „Vor allem die entsprechende finanzielle Unterstützung fehlt nicht selten.“ Dabei sind Gefahrenquellen intern wie extern mehr als genug vorhanden. Hierzu zählen etwa beim E-Mail-Verkehr die mangelnde Sorgfalt der Anwender, ausgeklügelte Telefonattacken oder aktueller Trojanerbefall. Maßnahmen zur IT-Sicherheit hängen oft an Prozessveränderungen in der klinischen Versorgung, der Verwaltung und dem Verständnis der aktuellen Bedrohungslagen. Was das Krankenhausmanagement verstehen muss: IT-Sicherheit mit ihren kostenintensiven und aufwändigen technischen Maßnahmen ist kein Selbstzweck.




Thomas Dehne, IT-Leiter Universitätsmedizin Rostock: IT-Sicherheit Universitätsmedizin Rostock

Sicherheit lässt sich finanzieren


Merke: Sicherheit lässt sich trotz allem finanzieren. An Wohlfahrtsorganisationen bestehen hohe Anforderungen beim Aufbau, Betrieb und Management sicherer Infrastrukturen. Die fortschreitende Digitalisierung bietet Angriffsflächen für Cyberkriminelle und erfordert eine nachhaltige Informationssicherheitsstrategie. Gesundheitseinrichtungen wie Krankenhäuser, Pflegeeinrichtungen und Altenheime verwalten hochsensible Patienten- und Gesundheitsdaten, also muss das Sicherheitsniveau besonders hoch sein.
Dazu liefert die SoCura GmbH als Tochtergesellschaft der Malteser eine Blaupause. Eine Hybrid-Cloud-Plattform als „4-Zonen-Modell“ erlaubt den gezielt gesicherten Zugriff auf sehr vertrauliche Daten ebenso wie hohe Internet-Zugriffsraten durch die zig tausend ehrenamtlichen Malteser-Mitarbeiter. Uwe Pöttgen, Geschäftsführer der SoCura-Gesellschaften, und seine Experten arbeiten nach anerkannten Best-Practice-Methoden für IT-Service-Management und Projektmanagement. Das IT-Sicherheitskonzept der SoCura ist zertifiziert nach ISO 27001. „Sicherheit kostet Geld“, betonte Uwe Pöttgen und wusste, wie sie zu finanzieren ist. „Wir integrieren den Preis von Sicherheit klar in jeden Service.“




Uwe Pöttgen, Geschäftsführer SoCura GmbH, KRITIS - Erfahrungen bei Einführung und Zertifizierung eines ISMS nach ISO/IEC 27001

Security machen Beteiligte und Betroffene mit viel Aufregung lautstark zum aktuellen Thema. „Wir treiben gerade die Kuh des Datenschutzes und der Informationssicherheit durchs Dorf“, spöttelte Jörg Kretzschmar, Senior Consultant, Contechnet Ltd., über diesen Security-Hype. „Bald werden sie wieder vergessen sein“. Denn es fehle an Geld, Zeit und Motivation. Doch noch verschaffe die Regierung durch den KRITIS-Druck Beratern jeder Couleur einen Job. Er riet, nicht alles mit Technik zu erschlagen, sondern auf Prozesse und Organisation zu setzen. So ließe sich durch Information Security Management System (ISMS) Mehrwert erzielen. Das gelte vor allem, weil ein hoher Innovationsdruck auf den Krankenhäusern laste. „Hierbei kann die IT führen, steuern und korrigieren.“




Jörg Kretzschmar, Senior Consultant, Contechnet Ltd.: ISMS Datenschutz Notfallplanung - ein Best Practice Ansatz




EU DSGVO mit Überraschungspotenzial


Was besonders und verstärkt auffällt, ist die Verwundbarkeit von IT. Sicherheit ist kein reines Produkt, wie sich daran zeigt. Dieses Denken hat bislang in eine technische Sackgasse geführt. Sicherheit ist vielmehr ein synergetisches Zusammenspiel von Prozessen. Dafür gilt es, Ordnung zu schaffen. Zum 25. Mai 2018 tritt die neue EU Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) auch in Deutschland in Kraft. Noch birgt diese Tatsache viel Überraschungspotenzial auch für die Krankenhäuser. Trotz der Brisanz, die die DSGVO mit sich bringt: Viele Unternehmen sind auf den Stichtag im Mai 2018 bislang nicht ausreichend vorbereitet. Sie haben keine konkreten Maßnahmen zur Erfüllung der Anforderungen gestartet. Nachdem die Anforderungen der „Orientierungshilfe Krankenhausinformationssysteme OH-KIS“ mehr als 5 Jahre nach Veröffentlichung in manchen Häusern immer noch nicht bekannt sind, geschweige denn bei allen Herstellen, besteht nicht allzu viel Hoffnung, dass die Anforderungen der EU DSGVO schnell und wirksam ihren Einzug ins Krankenhaus finden. Nochmals: Datenschutz ist ein organisatorisches Thema und erst in zweiter Linie eine technische Herausforderung.
Das neue EU-Recht löst das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Unternehmen mit Sitz in der EU sind betroffen wie auch Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten. Aber: „Don´t panic!“, beruhigte RA Prof. Dr. Hans-Hermann Dirksen, LIEBENSTEIN LAW. Wesentliche Elemente des bisherigen BDSG bleiben nämlich erhalten. Gesetzesziel ist ein möglichst einheitliches Datenschutzrecht innerhalb der EU mit Rechten sowie Kontrollmöglichkeiten bei personenbezogener Datenverarbeitung.



RA Prof. Dr. Hans-Hermann Dirksen, LIEBENSTEIN LAW: Die EU-DSGVO

„Es gibt keine Übergangsfrist“, gab jedoch Prof. Dirksen mit Blick auf den unumstößlich fixen Mai-Termin zu bedenken. Abmahnungen bei mangelhafter Richtlinien-Umsetzung könnten dann sofort ins Haus flattern, adressiert von missgünstigen Wettbewerbern ebenso wie unzufriedenen Mitarbeitern oder sonstigen Dauer-Querulanten. Daher gilt: „Die Prozesse für Datenschutz müssen stimmen.“

Bußgelder und Sanktionen


Die EU-Datenschutz-Grundverordnung enthält Vorschriften zu Bußgeld- und Sanktionsmöglichkeiten. Sie sollen von Datenschutzverstößen abhalten, denn Verstöße gegen die Verordnung sind zugleich Verletzungen der Grundrechte-Charta der Europäischen Union.
Wer nicht hören will, muss fühlen. So sind auch die Bußgelder und sonstige Sanktionen einzuschätzen, die bei Nichteinhaltung der Vorschriften treffen können. Sie sind haarig. Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Es gilt der Jahresumsatz des gesamten Konzerns, nicht der einzelnen juristischen Person.

Die Anforderungen an das Datenschutzmanagement in öffentlichen und privaten Krankenhäusern verdichten sich durch die EU DSGVO. Für Krankenhäuser als bedeutsamste Neuerungen der Datenschutz-Grundverordnung nannte Dorit Buschmann vom Bayerischen Landesamt für Datenschutzaufsicht: „Die erhöhten Anforderungen an die Nachweisbarkeit der datenschutzkonformen Verarbeitung, die Datenschutz-Folgenabschätzung, die Umsetzung der Betroffenenrechte und der Umgang mit Datenpannen.“ Diese Anforderungen könnten letztlich nur mit einem ganzheitlichen Datenschutzmanagement umgesetzt werden, gab die Expertin zu bedenken. „Dies ist umso dringender, weil nach der Datenschutz-Grundverordnung künftig sowohl im öffentlichen wie im privaten Krankenhausbereich die Verhängung von empfindlichen Geldbußen möglich ist.“ (1)




Dorit Buschmann, Referat 6: Technischer Datenschutz und IT-Sicherheit, Bayerisches Landesamt für Datenschutzaufsicht, BayLDA: Datenschutz im Gesundheitsbereich



Entscheidung zwischen zwei Richtungen


Veränderungen durch das E-Health-Gesetz und Auswirkungen durch die inhaltliche und zeitliche Planung der Telematik Infrastruktur für die Krankenhäuser sind mannigfaltig, wie Jan Neuhaus, Geschäftsführer Dezernat III (IT, Datenaustausch und eHealth), DKG e.V., aufführte. Krankenhausverantwortliche müssen Antworten auf die beiden Fragestellungen finden: Soll es das Krankenhaus 4.0 sein mit dem Merkmal „Gesundheit als Produktionsgut“, wobei die Daten von anderen genutzt werden und das Krankenhaus bestimmt von den Erfahrungen der Wirtschaft. Oder zeigt der Wegweiser in Richtung „digitales Krankenhaus“ mit der IT als Werkzeug für die Medizin, wobei die Mediziner die Daten nutzen, neue und verbesserte Versorgungsprozesse bestehen und alles bestimmt wird durch die Werte der Krankenhäuser. Jan Neuhaus: „Die Entscheidung hängt vom Engagement der Krankenhäuser ab.“



Jan Neuhaus, Geschäftsführer Dezernat III (IT, Datenaustausch und eHealth), DKG e.V.: Auswirkungen des E-Health-Gesetzes für die Krankenhäuser

Wo führt uns E-Health hin? Mit dieser Frage beschäftigte Prof. Dr. Martin Staemmler die hochinteressierten Teilnehmer. In die Zukunft blicken konnte auch der Professor Medizininformatik, Hochschule Stralsund, nicht. Er unternahm jedoch 30 intensive Minuten hindurch den Versuch, aus vorhanden Richtlinien und Fakten des Koalitionsvertrages Wegverläufe zu prognostizieren. Dabei analysierte er offene Fragen, kritisierte mangelhafte Strategien und sezierte zahlreiche Unstimmigkeiten. Er glich Vertragspunkte auf dem Regierungspapier mit der Realität ab. Stichpunkte waren sektorübergreifende Versorgung, E-Health und Gesundheitswirtschaft, Telematik-Infrastruktur, Gesundheitsakten und auch E-Health-Strategien.



Prof. Dr. Martin Staemmler, Medizininformatik, Hochschule Stralsund: E-Health in Deutschland - Quo vadis?

Es ging Schlag auf Schlag. Wann kommt der Staatsvertrag für das Gesundheitsberuferegister (eGBR)? Warum ist die TI nicht auf Unterstützung mobiler Anwendungen ausgelegt (online Konsultation, -Interaktion)? Wenn es Ziel sein soll, die Bürokratie in Diagnostik und Dokumentation abzubauen, gehören die Prozesse auf den Prüfstand, zudem ist eine Wahrnehmung der Richtlinienkompetenz (siehe Entlassmanagement) notwendig.

Weiterhin: Ein Koalitionsvertrag dürfte keine kleinteiligen, sektorbezogenen und durch Partikularinteresse getriebenen gesetzlichen Vorgaben enthalten. Es seien entscheidungs- und handlungsfähige Strukturen zu schaffen ebenso wie klar formulierte Ziele bei Infrastrukturen, Anwendungen und Leistungskennzahlen (Key Performance Indicator, KPI).

Außerdem: Bei Interoperabilität und Integration sollten internationale Standards Vorrang haben, auch mit nationalen Erweiterungen. Rahmenbedingungen für Entwicklungen am Markt müssten festgeschrieben, die Integration mit Bestandssystemen definiert sein.

Ebenso: Verlässlicher medizinischer Nutzen für Ärzte und Patienten bei Apps und smarten Devices sowie Nutzbarkeit (Usability) sollte gesichert sein im Rahmen von Korrektheit, Zulassung, Zertifizierung und Datenschutz.

TI als sichere Datenautobahn

Und: Die Telematikinfrastruktur (TI) könne als sichere Datenautobahn funktionieren, stehe aber im Wettbewerb zum weitverbreiten KV-SafeNet, und habe allerdings noch keine Praxistauglichkeit bewiesen.
TI-Anwendungen kämen zu spät gegenüber bestehenden bzw. absehbaren Lösungen. Sie enthielten keine innovativen Anwendungen und seien nicht auf Bedürfnisse heutiger Anwender zugeschnitten (kein mobiler Zugang, Kopplung eGK mit HBA, Nutzbarkeit bis auf Versichertenstammdatenmanagement (VSDM) nicht nachgewiesen).

Martin Staemmler fehlen für E-Health hauptsächlich eins: Maßnahmen, die notwendige Akzeptanz zu bilden. Hierbei seien Haftungsfragen zu klären und Informationsüberflutung zu vermeiden, Information und Marketing zu Strategie und Anwendungen von E-Health kräftig anzuschieben, E-Health als Bestandteil in Ausbildung und Schulungsinhalten einzubeziehen. Die punktgenaue Analyse des Stralsunder Professors könnte Katalysator für wichtige Impulse sein. Nicht nur Optimisten in der Gesundheitsbranche sollten schließlich den Mut behalten.

Demnächst in Lübeck



Reimar Engelhardt, Stv. Vorsitzender KH-IT e.V.: Ausblick auf die Herbsttagung 2018
im Universitätsklinikum Schleswig-Holstein (UKSH) in Lübeck


Die KH-IT Herbsttagung 2018 findet am 19. und 20.09.2018 im Universitätsklinikum Schleswig-Holstein in Lübeck statt. Das Programm soll Themenfelder wie Compliance, Lizenzmanagement und -strategien zusammen mit Automatisierung in der Krankenhaus-IT und weiteren aktuellen Branchenpunkten umfassen. Ansprechpartner im Bundesverband KH-IT e.V. für die Agenda sind Reimar Engelhardt (Engelhardt@kh-it.de) und Stefan Smers (Smers@kh-it.de), für die Organisation ist Günter Gartner verantwortlich (gartner@kh-it.de).


(1) www.datenschutz-bayern.de unter “Datenschutzreform 2018“, www.lda.bayern.de/media/leitfaden_krankenhaus.pdf


Interviews



KH-IT Frühjahrstagung 2018 in München –

ein voller Erfolg!


Die Protagonisten der Tagungsagenda Thorsten Schütz, KH-IT Vorstand, Werner Bachmann, KH-IT Beirat, und Jürgen Flemming, KH-IT Vorstand, ziehen ein kurzes Münchner Fazit.

Matthias Schmidt vom LKA Bayern (ZAC) stimmte die über 230 Teilnehmer der 51. Frühjahrstagung des KH-IT in München mit Beispielszenarien auf das Thema IT-Sicherheit ein. Stefan Maier (Prior 1) malte die Schreckensszenarien noch ein wenig weiter aus, um dann zu zeigen wie ein professionelles RZ aussehen sollte. Thomas Dehne (UMR) und Uwe Pöttgen zeigten anschließend, wie komplex die Praxis aussieht und Sicherheitsmaßnahmen erfolgreich umgesetzt werden können.



Matthias Schmidt, Bayerisches Landeskriminalamt, Zentrale Ansprechstelle Cybercrime: CyberCrime und IT-Sicherheit




Stefan Maier, Geschäftsführer Prior1 GmbH: Rechenzentrum und IT-Sicherheit

Nach Stadtführung und geselliger Abendveranstaltung im „Franziskaner“ fanden sich am 2. Tag erfreulich viele Teilnehmer bereits zu früher Stunde um 08:30 Uhr zur jährlichen Mitgliederversammlung. Nach der Einführung von Kurt Kruber als diesjähriger Gastgeber (MIT der LMU) wechselte der Schwerpunkt auf den Datenschutz, fachlich gut und verständlich präsentiert von Prof. Dirksen (Liebenstein Law) und Dorit Buschmann (LDA Bayern). Jörg Kretzschmar (Contechnet) rüttelte die Teilnehmer mit einem eindringlichen Appell auf: Krankenhäuser und ihre IT-Leiter müssen sich dem immensen Innovationsdruck stellen!
Jan Neuhaus (DKG) und Prof. Martin Staemmler (Hochschule Stralsund) nahmen den Ball mit dem Thema eHealth auf: Während Jan Neuhaus über erste Entwicklungen im neu besetzten Gesundheitsministerium berichtete und die inhaltliche und zeitliche Planung der Telematik Infrastruktur vorstellte, machte Prof. Staemmler die Diskrepanzen zwischen Koalitionsvereinbarung, eHealth-Gesetz und notwendigen Entwicklungen deutlich.
Die Rückmeldungen der Teilnehmer waren sehr positiv, aus der bewährten Mischung von Theorie und Praxis konnten die Teilnehmer viel lernen und mit nach Hause nehmen. Mit einem Ausblick auf die Herbsttagung in Lübeck klang die Tagung aus.



Protagonisten der Tagungsagenda (vlnr): Thorsten Schütz, KH-IT Vorstand, Werner Bachmann, KH-IT Beirat, Jürgen Flemming, KH-IT Vorstand


von Wolf-Dietrich Lorenz

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe


Diese Webseite verwendet Cookies. Näheres finden Sie in unserer Datenschutzerklärung.