Datenschutz- und IT-Sicherheitsaudit

Eine Chance für das Gesundheitswesen

Dr. Bernd Schütze

54. GMDS-Jahrestagung

Essen, 2009-09-09

1.1. FragestellungFragestellung2.2. M&MM&M

a)a) Definition(en)Definition(en)b)b) Audit und BDSGAudit und BDSGc)c) NormenNormen

3.3. ErgebnisseErgebnissea)a) VorteileVorteileb)b) UmsetzungenUmsetzungen

4.4. Diskussion / FazitDiskussion / Fazit

Agenda54

. GM

DS

-Jah

rest

agu

ng

Ess

en, 2

009-

09-0

9

Fragestellung

• Daten – und insbesondere Gesundheitsdaten – sind auch für Unbefugte von Interesse

• Ohne Daten kann das “Geschäft” Gesundheitswesen nicht funktionieren

– Behandlung

– Nachweis der durchgeführten Behandlung

– Abrechnung…

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Wie kann die Sicherheit der Daten

gewährleistet werden?

Definition(en)

• Daten sind Einzelangaben über Verhältnisse

• Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

• Erheben ist das Beschaffen von Daten

• Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten.

• Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter

(Entsprechend BDSG)

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Audit und BDSG

• 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen

• Seitdem, nun ja…

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Normen

• ISO/IEC 27001– Formulierung von Anforderungen und Zielsetzungen

zur Informationssicherheit

– Kosteneffizientes Management von Sicherheitsrisiken

– Sicherstellung der Konformität mit Gesetzen und Regulatorien

– Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen

– Definition von Informationssicherheits-Managementtätigkeiten

– Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

(Internationale Norm seit 15. Oktober 2005)

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Ausland?

• USA

– verpflichtend durch Sarbanes-Oxley Act (SOX, 2002)

– Health Insurance Portability and Accountability Act (HIPAA, 1996)

– Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA)

• Europa

– Directive 95/46/EC (1995, Umsetzung bis 1998)

– Deutschland = Datenschutzgesetze

• Österreich

– Gesundheitstelematikverordnung (GTelV)

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Procedere

• Organisation:

– Policies

– Prozesse

– sonstige Dokumente (Inventare, Pläne, Konzepte etc.)

• Technik:

– Physische Sicherheit

– Netzwerksicherheit

– Systemsicherheit

– Applikationssicherheit

Wichtig: Untersuchungstiefe vor Beginn bestimmen

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Beispiel Risikoanalyse

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Internet Threat - Robustness

0%

20%

40%

60%

80%

100%Firewall - Operating system

Firewall - Configuration

Firewall - Administration

Firewall - Design

Servers - Operating system

Servers - Configuration

Servers - Administration

IDS - Operating system

IDS - Configuration

IDS - Administration

Beispiel Prozessanalyse

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

51%

79%

60%

38%

67%

53%

57%

75%

35%

Operation

Architecture

Process

Operation

ArchitectureProcess

Operation

Architecture

Process

Continuity managementContinuity management

Privileges managementPrivileges management

Infrastructure Infrastructure

managementmanagement

Vorteile

• Proaktives Vorgehen

• Entscheidungsgrundlage für Riskomanagement

– Soll- und Ist-Zustand wird dargelegt

– Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten

– Kosteneffizientes Risikomanagement wird ermöglicht

– To-Do-Liste mit Prioritätsniveau

– (Don‘t-Do-Liste)

• Darstellung für Partner und Kunden

• Sicherheit für die eigenen Mitarbeiter

• Nachweis im Schadensfall

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Umsetzungen

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Abbildung in der Wirklichkeit:Ist doch im Gesundheitswesen nicht nutzbar…

… wussten einige wohl nicht

Krankenhaus

– Städtisches Klinikum Braunschweig gGmbH(BSI)

Rechenzentren

– perdata

– FIDUCIA IT AG

– T-Systems

Pharmakologie

– Bayer Health Care

Versicherungen

– Gothaer Krankenversicherung AG

Informationssystem-Hersteller

– ?

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Fazit

• IT-Sicherheitsaudit

– Datensicherheit optimiert

– Gewährleistung für die anvertrauten Daten erhöht(Partner-, Kunden- und Mitarbeiterzufriedenheit ↑)

– Vermeidung unerwünschter Werbung

• » Nachteil«: erhöhte Transparenz

– Nicht alle wollen Transparenz

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Fazit

Cave:

100%ige Sicherheit kann es nicht geben

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

Diskussion / Fragen ?

Fragestellung

Definition(en)

Audit & BDSG

Normen

Vorteile

Umsetzungen

Diskussion

schuetze@medizin-informatik.org