Patientendatenschutz im Krankenhaus

Zum 01. Januar diesen Jahres ist das Patientendaten-Schutz-Gesetz (PDSG) in kraft getreten. Damit soll dem immer höheren Risiko, durch die Digitalisierung in Krankenhäusern, Rechnung getragen werden.

Abgesehen davon sind Krankenhäuser, ein beliebtes Angriffsziel für Cyberkriminelle. Dies kommt durch die Fülle der personenbezogenen Daten, welche sich im Behandlungszeitraum anhäufen.

Dies ist ein weiterer Grund, für die Forderung nach mehr Informationssicherheit in Krankenhäusern und Kliniken.

Patientendaten-Schutz-Gesetz (PDSG)

Durch das Patientendaten-Schutz-Gesetz (PDSG) werden Krankenhäuser und Kliniken dazu verpflichtet, gewisse Mindestanforderungen zu erfüllen.

Betroffen hiervon sind alle Krankenhäuser, welche nicht ohnehin schon als Betreiber von kritischen Infrastrukturen gemäß § 8a des BSI-Gesetzes gelten.

Verpflichtungen nach dem PDSG ab 01.01.2022

Folgende Verpflichtungen ergeben sich für Krankenhäuser und Kliniken:

  • nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
  • Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Um den Anforderungen nachzukommen orientieren sich Verantwortliche an einem branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung. Eine andere Möglichkeit ist die Ausrichtung an der altbewährten ISO 27001.

Empfehlung & Tipp

Damit Krankenhaus-Betreiber den Patientendatenschutz und die Anforderungen an die Informationssicherheit richtig umsetzen, empfehlen wir die Benennung eines Informationssicherheitsbeauftragten (ISB). Die Besetzung dieser Stelle kann sowohl intern, als auch durch einen externen ISB erfolgen.

Hinweis: Krankenhäuser und Kliniken, die bereits im Datenschutz richtig gut aufgestellt sind, haben die meisten Anforderungen an ein Informationssicherheitsmanagement erfüllt.