1 / 16

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit. Eine Chance für das Gesundheitswesen. 54. GMDS-Jahrestagung Essen, 2009-09-09. Dr. Bernd Schütze. Agenda. Fragestellung M&M Definition(en) Audit und BDSG Normen Ergebnisse Vorteile Umsetzungen Diskussion / Fazit. 54. GMDS-Jahrestagung

lael
Download Presentation

Datenschutz- und IT-Sicherheitsaudit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS-Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze

  2. Agenda • Fragestellung • M&M • Definition(en) • Audit und BDSG • Normen • Ergebnisse • Vorteile • Umsetzungen • Diskussion / Fazit 54. GMDS-Jahrestagung Essen, 2009-09-09

  3. Fragestellung • Daten – und insbesondere Gesundheitsdaten – sind auch für Unbefugte von Interesse • Ohne Daten kann das “Geschäft” Gesundheitswesen nicht funktionieren • Behandlung • Nachweis der durchgeführten Behandlung • Abrechnung… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion Wie kann die Sicherheit der Daten gewährleistet werden?

  4. Definition(en) • Daten sind Einzelangaben über Verhältnisse • Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) • Erheben ist das Beschaffen von Daten • Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten. • Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter (Entsprechend BDSG) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  5. Audit und BDSG • 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen • Seitdem, nun ja… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  6. Normen • ISO/IEC 27001 • Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit • Kosteneffizientes Management von Sicherheitsrisiken • Sicherstellung der Konformität mit Gesetzen und Regulatorien • Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen • Definition von Informationssicherheits-Managementtätigkeiten • Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (Internationale Norm seit 15. Oktober 2005) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  7. Ausland? • USA • verpflichtend durch Sarbanes-Oxley Act (SOX, 2002) • Health Insurance Portability and Accountability Act (HIPAA, 1996) • Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA) • Europa • Directive 95/46/EC (1995, Umsetzung bis 1998) • Deutschland = Datenschutzgesetze • Österreich • Gesundheitstelematikverordnung (GTelV) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  8. Procedere • Organisation: • Policies • Prozesse • sonstige Dokumente (Inventare, Pläne, Konzepte etc.) • Technik: • Physische Sicherheit • Netzwerksicherheit • Systemsicherheit • Applikationssicherheit Wichtig: Untersuchungstiefe vor Beginn bestimmen Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  9. Beispiel Risikoanalyse Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  10. Operation Continuity management Process Architecture Infrastructure management Architecture Process 51% 79% 60% Operation Operation 38% 67% 53% 57% Process Architecture 75% Privileges management 35% Beispiel Prozessanalyse Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  11. Vorteile • Proaktives Vorgehen • Entscheidungsgrundlage für Riskomanagement • Soll- und Ist-Zustand wird dargelegt • Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten • Kosteneffizientes Risikomanagement wird ermöglicht • To-Do-Liste mit Prioritätsniveau • (Don‘t-Do-Liste) • Darstellung für Partner und Kunden • Sicherheit für die eigenen Mitarbeiter • Nachweis im Schadensfall Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  12. Umsetzungen Abbildung in der Wirklichkeit: Ist doch im Gesundheitswesen nicht nutzbar… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  13. … wussten einige wohl nicht Krankenhaus • Städtisches Klinikum Braunschweig gGmbH(BSI) Rechenzentren • perdata • FIDUCIA IT AG • T-Systems Pharmakologie • Bayer Health Care Versicherungen • Gothaer Krankenversicherung AG Informationssystem-Hersteller • ? Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  14. Fazit • IT-Sicherheitsaudit • Datensicherheit optimiert • Gewährleistung für die anvertrauten Daten erhöht(Partner-, Kunden- und Mitarbeiterzufriedenheit ↑) • Vermeidung unerwünschter Werbung • » Nachteil«: erhöhte Transparenz • Nicht alle wollen Transparenz Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  15. Fazit Cave: 100%ige Sicherheit kann es nicht geben Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

  16. Diskussion / Fragen ? Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion schuetze@medizin-informatik.org

More Related