+ All Categories
Home > Documents > Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends...

Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends...

Date post: 06-Apr-2015
Category:
Upload: salida-gemmer
View: 110 times
Download: 2 times
Share this document with a friend
20
Mobile Devices im Krankenhaus Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012
Transcript
Page 1: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Mobile Devices im Krankenhaus –Aspekte von Datenschutz und

Datensicherheit

IT-Trends Medizin/Health Telematics, 12. September 2012

Page 2: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Rechtliche GrundlagenBundesrecht- Bundesdatenschutzgesetz (BDSG)- Telekommunikationsgesetz (TKG)- Telemediengesetz (TMG)- Signaturgesetz (SigG)- Verordnung zur elektronischen Signatur (SigV)- Mediendienstestaatsvertrag (MDStV)

Kirchenrecht- Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-

EKD)- Verordnung über die in das Gemeindeverzeichnis aufzunehmenden

Daten der Kirchenmitglieder mit ihren Familienangehörigen- Verordnung über den automatisierten zwischenkirchlichen

Datenaustausch- Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der

Vereinigten Evangelisch-Lutherischen Kirche Deutschlands- Anordnung über die Sicherung und Nutzung der Archive der

Katholischen Kirche - Anordnung über das kirchliche Meldewesen (KMAO) für Bistum …- Anordnung über den kirchlichen Datenschutz (KDO) für Bistum …- Durchführungsverordnung zur KDO (KDO-DVO)

Landesrecht (z.B. NRW)- Archivgesetz (ArchivG)- Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz

(AG G 10 NW)- Berufsordnung der Ärztekammer Westfalen-Lippe- Berufsordnung für die nordrheinischen Ärztinnen und Ärzte- Berufsordnung für Apothekerinnen und Apotheker der

Apothekerkammer Nordrhein- Berufsordnung für Apothekerinnen und Apotheker

derApothekerkammer Westfalen-Lippe- Datenschutzgesetz (DSG NRW)- Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG)- Gesetz über den Feuerschutz und die Hilfeleistung- Gesetz über Hilfen und Schutzmaßnahmen bei psychischen

Krankheiten (PsychKG)- Gesetz über Tageseinrichtungen für Kinder (GTK)- Gesundheitsdatenschutzgesetz (GDSG NW)- Gutachterausschussverordnung (GAVO NRW)- Heilberufsgesetz (HeilBerG)- Hochschulgesetz (HG)- Krankenhausgesetz (KHG NRW) - Meldedatenübermittlungsverordnung (MeldDÜV NRW)- Meldegesetz (MG NRW)- Sicherheitsüberprüfungsgesetz (SÜG NRW)- Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW)

Medizinisches Umfeld- Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO)

• §9 Abs. 1 Schweigepflicht des Arztes- Strafprozessordnung (StPO)

• §53 Ab2. 1 Zeugnisverweigerungsrecht• §97 Abs.1 Beschlagnahmeverbot• §103 Abs.1 eingeschränktes Durchsuchungsrecht für Arztpraxen

- Strafgesetzbuches (StGB) • §203 Abs.1 4.2.1.2.c Ärztliche Schweigepflicht

- Zivilprozessordnung (ZPO)• § 383 Zeugnisverweigerung aus persönlichen Gründen

- Sozialgesetzbuch V (SGB V)• § 73 Kassenärztliche Vereinigung• § 140a Integrierte Versorgung

EU- Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der

Verarbeitung personenbezogener Daten und zum freien Datenverkehr- Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei

elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie)

- Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)

- Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten- Richtlinie 2009/136/EG („Cookie“-Richtlinie)

Page 3: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

National- DIN 6789-6 Dokumentationssystematik - Teil 6: Verfälschungssicherheit digitaler technischer Dokumentation- DIN EN 12251 Sichere Nutzeridentifikation im Gesundheitswesen - Management und Sicherheit für die Authentifizierung durch Passwörter- DIN EN 13606-4 Kommunikation von Patientendaten in elektronischer Form - Teil 4- DIN EN 14169-1 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 1: Überblick- DIN EN 14169-2 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 2: Geräte mit Schlüsselerzeugung- DIN EN 14169-3 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 3: Einheiten mit Schlüsselimport- DIN EN 14169-4 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 4: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem

Kanal zur Zertifizierung von Generierungsanwendungen- DIN EN 14169-5 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 5: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem

Kanal zur Signatur von Generierungsanwendungen- DIN EN 14169-6 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 6: Erweiterung für Einheiten mit Schlüsselimport und vertrauenswürdigem

Kanal zur Signatur von Generierungsanwendungen- DIN EN 14484 Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-

Statements- DIN EN 14485 Anleitung zur Verwendung von persönlichen Gesundheitsdaten in internationalen Anwendungen vor dem Hintergrund der EU-

Datenschutzrichtlinie- DIN CEN/TS 15260 Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten- DIN CEN/TS 15260 Medizinische Informatik - Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten- DIN EN 15713 Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln- DIN ISO/IEC 27000 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie - DIN ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen - DIN ISO/IEC 27002 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management - DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten- DIN EN ISO 27799 Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002- DIN 31644 Information und Dokumentation - Kriterien für vertrauenswürdige digitale Langzeitarchive- DIN 31645 Information und Dokumentation - Leitfaden zur Informationsübernahme in digitale Langzeitarchive- DIN 66399-1 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1: Grundlagen und Begriffe- DIN 66399-2 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern- DIN EN 80001-1 Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten - Teil 1: Aufgaben, Verantwortlichkeiten und AktivitätenInternational- ISO/IEC 2382-8 Informationstechnik - Begriffe - Teil 8: Sicherheit- ISO/IEC FDIS 9797-3 ormation technology - Security techniques - Message Authentication Codes (MACs) - Part 3: Mechanisms using a universal hash-

function- ISO/IEC 9798-1 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 1: Allgemeines Modell- ISO/IEC 9798-2 Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen - Teil 2: Mechanismen auf Basis von

Verschlüsselungsalgorithmen- ISO/IEC 9798-3 Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques- ISO/IEC 9798-4 Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function- ISO/IEC 9798-5 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 5: Mechanismen auf Basis von zero-knowledge

Techniken- ISO/IEC 9798-6 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 6: Mechanismen auf Basis von manuellem Datentranfer- ISO/IEC 11586-1 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-

Schichten: Konzepte, Modelle und Notation- ISO/IEC 11586-3 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-

Schichten: Protokollspezifikationen für das Dienstelement für den Austausch von Sicherheitsinformationen (SESE)- ISO/IEC 11586-4 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-

Schichten: Spezifikationen der schützenden Übertragungssyntax- ISO/TR 11633-1 Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen - Teil 1:

Anforderungen und Risikoanalyse- ISO/TR 11633-2 Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen - Teil 2:

Implementierung eines ISMS- ISO/TR 11636 Dynamisch abrufbares virtuelles privates Netzwerk für die Informationsinfrastruktur im Gesundheitswesen- ISO/IEC 15408-1 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model- ISO/IEC 15408-2 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components- ISO/IEC 15408-3 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components- ISO/IEC TR 15443-1 Information technology - Security techniques - A framework for IT security assurance - Part 1: Overview and framework- ISO/TS 13606-4 Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit- ISO/IEC TR 15443-2 Information technology - Security techniques - A framework for IT security assurance - Part 2: Assurance methods- ISO/IEC TR 15443-3 Information technology - Security techniques - A framework for IT security assurance - Part 3: Analysis of assurance methods- ISO/IEC TR 15446 Information technology - Security techniques - Guide for the production of Protection Profiles and Security Targets- ISO/IEC 15816 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsobjekte für Zugriffskontrolle- ISO 17090-1 Public-Key-Infrastruktur - Teil 1: Überblick über digitale Zertifizierungsdienste- ISO 17090-2 Public-Key-Infrastruktur - Teil 2: Zertifikatsprofile- ISO 17090-3 Public-Key-Infrastruktur - Teil 3: Policymanagement von Zertifizierungsinstanzen- ISO/IEC 18031 Information technology - Security techniques - Random bit generation- ISO/IEC 18033-1 IT-Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 1: Allgemeines Modell; Änderung 1- ISO/IEC 18033-2 Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers- ISO/IEC 18033-3 Informationstechnik - IT Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 3: Blockziffern- ISO/IEC 18033-4 Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers- ISO/IEC 18043 Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems- ISO/IEC 18045 Information technology - Security techniques - Methodology for IT security evaluation- ISO/IEC 19772 Information technology - Security techniques - Authenticated encryption- ISO/IEC TR 19791 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsbeurteilung operativer Systeme- ISO/IEC 19792 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsevaluation der Biometrie- ISO/TS 21091 Verzeichnisdienste für Sicherheit, Kommunikation und Identifikation von Heilberuflern und Patienten- ISO/TS 22220 Identifikation von Objekten des Gesundheitswesen- ISO/TS 22600-1 Privilegienmanagement und Zugriffssteuerung - Teil 1: Übersicht und Policy-Management- ISO/TS 22600-2 Privilegienmanagement und Zugriffssteuerung - Teil 2: Formale Modelle- ISO/TS 22600-3 Privilegmanagement und Zugriffssteuerung - Teil 3: Implementierungen- ISO/IEC 24745 Information technology - Security techniques - Biometric information protection- ISO/IEC 24761 Information technology - Security techniques - Authentication context for biometrics- ISO/IEC 24762 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services- ISO/IEC 24767-1 Informationstechnik - Sicherheit von Heim-Netzwerken - Teil 1: Sicherheitsanforderungen- ISO/IEC 24767-2 Informationstechnik - Sicherheit von Heim-Netzwerken - Teil 2: Interne Sicherheitsdienste: Sicheres Kommunikationsprotokoll für

Middleware- ISO/TS 25237 Pseudonymisierung- ISO/TS 25238 Klassifikation der Sicherheitsrisiken von Software aus dem Bereich Gesundheitswesen- ISO/DIS 22857 Leitlinien für den Datenschutz zur Ermöglichung grenzüberschreitender Kommunikation von persönlichen Gesundheitsinformationen- ISO/IEC 27003 Information technology - Security techniques - Information security management system implementation guidance- ISO/IEC 27004 Information technology - Security techniques - Information security management - Measurement- ISO/IEC 27005 Information technology - Security techniques - Information security risk management- ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management

systems- ISO/IEC 27007 Information technology - Security techniques - Guidelines for information security management systems auditing- ISO/IEC 27011 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on

ISO/IEC 27002- ISO/IEC 27031 Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity- ISO/IEC 27035 Information technology - Security techniques - Information security incident management- ISO/TR 27809 Sicherstellung von Patientensicherheit bei Software im Gesundheitswesen- ISO/IEC 27033-1 Information technology - Security techniques - Network security - Part 1: Overview and concepts- ISO/IEC 27033-3 Information technology - Security techniques - Network security - Part 3: Reference networking scenarios - Threats, design techniques and

control issues- ISO/IEC FDIS 27034-1 Information technology - Security techniques - Application security - Part 1: Overview and concepts

Normatives…

Kurz:

Man kann sich mit dem Thema beschäftigen…

Page 4: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Mobile Security

1. IT-Sicherheitsmanagement ist IT-Sicherheitsmanagement ist IT-Sicherheitsmanagement …Business as usual:

- Sicherheitsrichtlinie- Klassifzierungsrichtlinie- Richtlinie IT-Risikomanagement- Systemrichtlinien- …

2. Einzige Besonderheit: die Daten „wandern“3. Beachtenswertes für „unser“ Krankenhaus

Page 5: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Speicherort der Daten

• Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen(Gesundheitsdatenschutzgesetz - GDSG NRW, zuletzt geändert am 22.02.1994*)

• Gilt für Krankenhäuser (nicht Arztpraxen)• §7 Abs. (1):

„Patientendaten sind grundsätzlich in der Einrichtung oder öffentlichen Stelle zu verarbeiten“

• Mobile?

* Abgesehen von Änderungen PsychKG (1999, 2005), Anpassungen nach Änderungen SGB V (2005)Überarbeitung Krebsregistergesetz (2005)

Page 6: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Speicherort der Daten: die „Cloud“Dienst1. ADrive2. Amazon CloudDrive3. Box4. Dropbox5. Google Drive6. iCloud7. SugarSync8. Telkom Cloud9. Ubuntu one10.Windows Live / SkyDrive11.Wuala

Serverstandort1. USA2. USA3. USA4. USA5. USA6. USA7. USA8. Deutschland9. GB10.Unbekannt11.Schweiz, Deutschland, Frankreich

Hinweis: Cloud Computing Sicherheitsempfehlungen des BSI:https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.htmhttps://www.bsi.bund.de/DE/Themen/CloudComputing/Studien/Studien_node.html

Page 7: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

• Mobile Geräte– Synchronisation von Terminen, Kontakten, E-Mails, Fotos usw.

• iPhone, iPad, iPod– Apple darf Daten zu Ihrem Konto und zu allen Geräten oder Computern, die

hierunter registriert sind, erheben, nutzen, übermitteln, verarbeiten und aufbewahren– Apple darf, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und

Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist

– http://www.apple.com/legal/icloud/de/terms.html bzw.http://www.apple.com/privacy/

• Android– Einstellung von Daten in Google Drive = unentgeltliches, nicht ausschließliches,

weltweites und zeitlich unbegrenztes Recht die Daten zum Zweck der Erbringung der Dienste von Google zu nutzen(auch, wenn man selbst Google nicht mehr nutzt)→ u.a. das Recht, Inhalte technisch zu vervielfältigen und Daten öffentlich zugänglich zu machen

– https://www.google.com/intl/de/policies/terms/1

1. Sind Sie sicher, dass in Terminen, Kontakten, Mails usw. keine personenbezogenen Daten enthalten sind?

2. Sind Sie sicher, dass keine Patientendaten (z.B. deren Namen) erwähnt werden?

3. Ist denn dann ein Vertrag über Auftragsdatenverarbeitung entsprechend §80 SGB X geschlossen worden?

4. Bei Serverstandort außerhalb EG: Auftragsdatenvereinbarung geht nicht, nur Funktionsübertragung→ Es findet eine Übermittlung der Daten statt

Speicherort der Daten: die „Cloud“

Page 8: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Übermittlung• §5 Abs. (1) GDSG NRW:

„… Als Übermittlung gilt auch die Weitergabe von Patientendaten an Personen in anderen Organisationseinheiten innerhalb der Einrichtung oder öffentlichen Stelle, sofern diese Organisationseinheiten nicht unmittelbar mit Untersuchungen, Behandlungen oder sonstigen Maßnahmen nach §2 Abs. 1 befasst sind…“

• Innere, Chirurgie, Gyn, … - Dritte im Sinne des DatenschutzesSieht Ihr Rechtekonzept dies vor?Was heißt das für mobile (private) Geräte?

Betrifft nur NRW?In 5 Bundesländern ist der Datenaustausch zwischen Abteilungen innerhalb eines Krankenhauses geregelt:

Page 9: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

BYOD

Befragte: IT-Mitarbeiter in Nordamerika und EuropaQuelle: Forrsights Workforce Employee Survey, 4. Quartal 2011

Page 10: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

BYOD

• Krankenhaus wird einerseits Mitarbeitern die Nutzung privater Geräte langfristig nicht verweigern können

• Aber: Auf dem Mitarbeiter gehörende Geräte hat der Arbeitgeber keine WeisungsbefugnisAuf diesen Geräten gespeicherte Patientendaten

befinden sich daher prinzipiell nicht in der Einrichtung

Die Patientendaten wurden übermittelt

Page 11: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Folgen einer Übermittlung

1. Der Patient muss zustimmen

2. Änderung Behandlungsvertrag, z.B.:

„Hiermit entbinde ich meine behandelnden Ärzte von ihrer Schweigepflicht und stimme zu, dass das Krankenhaus bei Bedarf beliebige meiner Daten an vom Krankenhaus ausgesuchte Mitarbeiter an deren private Geräte übermittelt…“

1. Schwierig dem Patienten zu verkaufen

2.Rechtlich unwirksam: Patient mussinformiert einwilligen → genaue Aufklärung welche Datenübermittelt werden

3.Unbrauchbare Lösung(Neudeutsch „Bullshit“)

Page 12: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Was tun…?

• Cloud meiden wie die P… ;-)• Daten des Krankenhauses werden auf externen

Speicherorten oder mobilen Geräten nur verschlüsselt abgelegt– Bei eigenen Geräten wie Laptops am besten vollständig

verschlüsseln (z.B. Pre-Boot)– Bei Geräten des Mitarbeiters mit vom Krankenhaus kontrollierten

Containern arbeiten, die bei Bedarf vom KH gelöscht werden können

• Richtlinie für mobile Geräte erstellen• Entsprechende Management-Software einsetzen• Betriebsvereinbarung BYOD

Page 13: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Richtlinie mobile Geräte• Generelle Sicherheitsmaßnahmen wie Authentifizierung

usw.• Geräteverlust und unautorisierter Zugriff auf das Gerät

– Vorbeugende Maßnahmen wie Verschlüsselung– Rückwirkende Maßnahmen wie Löschmechanismen

• Datenverlust– Vorbeugende Maßnahmen wie Backups– Rückwirkende Maßnahmen wie Data Recovery

• Defekte Geräte– Vor Einschicken Daten löschen

• Datenübertragung und Angriff auf die Funkschnittstelle berücksichtigen– VPN

• Entsorgung

Page 14: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Management SoftwareAnforderungen:- Kompatibel zu allen gängigen Mobile Plattformen und Anwendungen- Arbeitet in allen gängigen Mobilfunknetzen- Kann direkt „over the air“ (OTA) implementiert werden unter Auswahl

bestimmter Zielgeräte- Hardware, Betriebssysteme, Konfiguration und Anwendungen

können schnell und problemlos ausgeliefert werden- Mobile Geräte können nach Bedarf von Administratoren dem System

hinzugefügt oder daraus entfernt werden- Die Integrität und Sicherheit der IT-Infrastruktur ist stets gewährleistet- Security Policies werden konsequent durchgesetzt- Der Anwender bekommt von der Existenz der Lösung so wenig wie

möglich oder nötig mit

Die ideale Mobile-Device-Management-Lösungist eine „eierlegende Wollmilchsau“

-

Diese Lösung gibt es nicht

Page 15: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Management SoftwareAuswahlkriterien• Unterstütze (mobile) OS

– Android– Blackberry– iOS– Symbian– Windows– …

• Security-Features– App-Installation

(White-List, Black-List, …)– Authentifizierung-/Authorisierungs-Management– Jailbreak-Erkennung, rooten, …– Passwort

(Zusammensetzung, Wechsel, …)– Remote Control– Remote-Wipe– Verschlüsselung

(PIM-Container, Container für betriebliche Daten)– VPN-Konfiguration

(Installation, Wartung, …)– …

• Systemintegration– AD/LDAP-Integration– App-Management– …

Page 16: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Management Software• Eigene Anforderungen mit Anbieter abgleichen• Anbieter (Auswahl ohne Anspruch auf Vollständigkeit):

– 7P Group (7P MDM)http://www.7p-group.com/portfolio/leistungen/effizienz-durch-mobilitaet/

– MobileIronhttp://smartling.mobileiron.com/en/germany

– Sophos (smartMan)http://www.dialogs.de/de_DE/produkte/smartman.html

– Sybase (Afaria)http://www.sybase.de/mobilize

– Symantec (Endpoint Protection, Mobile Management, Access Control, SafeGuard Easy)http://www.symantec.com/de/de/theme.jsp?themeid=sep-familyhttp://www.symantec.com/de/de/mobile-managementhttp://www.symantec.com/de/de/network-access-protectionhttp://www.symantec.com/business/support/index?page=content&id=TECH30951

– T-Systems (SiMKO)http://www.t-systems.de/tsip/de/754852/start/branchen/oeffentlicher-sektor/aeussere-innere-sicherheit/aeussere-innere-sicherheit

– Thinking Objects (Auralis)http://www.to.com/auralis.988.0.html

– Ubitexx (ubi-Suite)http://www.ubitexx.com/language/de-de/products/multiplatform_management

Lizenzkosten: 30 bis 100 Euro / Client

Beispiel: Klinikum mit 1000 Clients= 30.000 bis 100.000 Euro

Page 17: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Betriebsvereinbarung

• Individualvereinbarung mit einzelnen Benutzern nicht realisierbar

• Je nach eingesetzter Managementsoftware potentielle Überwachungsmöglichkeit→ Zustimmungspflichtig Betriebsrat/Personalrat

• Inhalt– Welche Apps?– Diebstahlsicherung / Vorgehen bei Verlust– Was darf wo gespeichert werden?– Antivirenprogramm– …

Page 18: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Fazit

• Einsatz mobiler Geräte im Krankenhaus auch Abseits der mobilen Visite sinnvoll

• Kosten sind nicht vernachlässigbar– Neben Anschaffungskosten bleiben– Lizenzkosten für Managementsoftware– Menschen, die

• Software bedienen• Geräte einrichten• Anwender schulen• …

• (GDSG NRW könnte nach 18 Jahren langsam den Anforderungen der heutigen Krankenhaus-Welt angepasst werden)

Page 19: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Diskussion

[email protected]

Page 20: Mobile Devices im Krankenhaus – Aspekte von Datenschutz und Datensicherheit IT-Trends Medizin/Health Telematics, 12. September 2012.

Literatur (Auswahl)• Androulidakis I. Mobile Phone Security and Forensics: A Practical Approach. Springer Verlag. ISBN 1461416493 • Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe Cloud Computing

http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf• AV-Comparatives: Mobile Security Bewertungen

http://www.av-comparatives.org/de/vergleichstests-bewertungen/mobile-security-bewertungen• Barrett D, Kipper G. Virtualization and Forensics: A Digital Forensic Investigators Guide to Virtual Environments. Syngress Media. ISBN

1597495573 • BITKOM Leitfaden Desktop-Virtualisierung

http://www.bitkom.org/de/publikationen/38337_66035.aspx• BITKOM Positionspapier zu Cloud Computing

http://www.bitkom.org/de/publikationen/38337_71486.aspx• BSI: Mobile Security

https://www.bsi.bund.de/ContentBSI/Themen/Mobilsecurity/mobilsecurity.html• BSI: Cloud Computing

https://www.bsi.bund.de/DE/Themen/CloudComputing/CloudComputing_node.html• CyberBloc: Cloud Storages im Überblick

http://www.cyberbloc.de/index.php?/site/v3_comments/cloud_storages_im_ueberblick/• Esb Rechtsanwälte: Rechtliche Fallstricke bei BYOD

http://www.kanzlei.de/publikation/Rechtliche%20Fallstricke%20bei%20Bring%20Your%20Own%20Device.pdf• Hoog A. Android Forensics: Investigation, Analysis and Mobile Security for Google Android. Syngress Publishing. ASIN B006V36GEE• Institut für IT-Recht: Bring-Your-Own-Device: Datenschutz-Empfehlungen und technische Umsetzungsmöglichkeiten

http://www.iitr.de/bring-your-own-device-datenschutz-empfehlungen-und-technische-umsetzungsmoeglichkeiten.html• IT-Recht Kanzlei:Cloud Computing und Datenschutz - Eine Einführung

http://www.it-recht-kanzlei.de/cloud-computing-wolke-daten.html• Jansen W, Delaitre A. Mobile Forensic Reference Materials: A Methodology and Reification. CreateSpace Independent Publishing Platform. ISBN

1478179597• Kersten H, Klett G: Mobile Device Management. mitp Verlag. ISBN 3826692144• Kraska S, Meuser P. BYOD – Datenschutz und technische Umsetzung

http://www.channelpartner.de/channelcenter/mobilecomputing_smartphones/2589912/index.html• Maxwell R, Hooq A, Strzempka. Iphone and IOS Forensics: Investigation, Analysis and Mobile Security for Apple Iphone, Ipad and IOS Devices.

Syngress Media. ISBN 1597496596• Walter T, Dorschel J: Mobile Device Management – rechtliche Fragen

http://www.bartsch-rechtsanwaelte.de/media/docs/JD/Mobile%20Device%20Management%20-%20rechtliche%20Fragen.pdf• Zeitschrift für Informations-Sicherheit (kes): Mobile Security

http://www.kes.info/archiv/material/mobsec2012/mobsec2012.pdf


Recommended