© Fotolia/Bilderbox, Stethoskop auf Computertastatur

Mehr Sicherheit für Patientendaten

ISO 27001

09.12.2008

Eine neue Verordnung des Gesundheitsministeriums sieht einheitliche IT-Sicherheitsstandards für Patientendaten vor. Sowohl Einzelpraxen als auch Großkliniken sollen sich, wenn es nach der Zertifizierungsorganisation CIS geht, nach ISO 27001 überprüfen lassen. Ab 2012 wird es als fahrlässig gelten, Faxe und unverschlüsselte E-Mails mit personenbezogenen Gesundheitsdaten zu versenden.

Die neue Gesundheitstelematikverordnung tritt zum 1 Jänner 2009 in Kraft. Unterfertigt ist sie noch von Andrea Kdolsky (ÖVP), der Gesundheitsministerin der Regierung Alfred Gusenbauer (SPÖ).

Erklärtes Ziel der neuen Verordnung ist, dass Gesundheitsdaten künftig nur über sichere Netze ausgetauscht werden dürfen. Ärzte, Labore, Krankenhäuser und Kuranstalten müssen daher Schutzmaßnahmen für Patientendaten in der IT einführen.

Die Verordnung im Wortlaut

§ 3. (1) Die Vertraulichkeit beim elektronischen Gesundheitsdatenaustausch ist dadurch sicherzustellen, dass

1. der elektronische Gesundheitsdatenaustausch über Netzwerke durchgeführt wird, die entsprechend dem Stand der Netzwerksicherheit hinreichend gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest

a. die kryptographische Absicherung des Datenverkehrs,

b. den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzergruppe sowie

c. die Authentifizierung der Benutzer vorsehen, oder

2. Protokolle und Verfahren verwendet werden, die

a. die vollständige Verschlüsselung der Gesundheitsdaten ermöglichen und

b. deren kryptographische Algorithmen in der Anlage 2 angeführt sind.

Die Gesundheitstelematikverordnung ist am 9. Dezember im Bundesgesetzblatt veröffentlicht worden.

Gesundheitstelematikverordnung

"Größenunabhängig"

Damit wurde auf EU-Initiativen und auf die großangelegten Datendiebstähle der letzten Jahre reagiert, die auch Millionen Datensätze aus dem Gesundheitsbereich betrafen.

Ähnlich wie die Qualitätsnorm ISO 9001 Einzug in Arztpraxen, Labore und Spitäler gehalten habe, hieß es vonseiten der staatlich akkreditierten Zertifizierungsorganisation CIS, könnte es sich nun mit dem Standard für Informationssicherheit ISO 27001 verhalten, der "größenunabhängig" anwendbar ist.

Basis für ELGA

Insgesamt sei die Verordnung als Basis für weitere Anwendungen anzusehen, etwa für die Elektronische Gesundheitsakte (ELGA), erklärte die CIS auf Anfrage von ORF.at.

"Größenunabhängig" bedeutet, dass von der Einzelpraxis bis zum Großklinikum dieselben Standards gelten und überprüft werden müssen.

Beratungskosten

Ein Tagsatz für ein Zertifizierungsaudit der CIS beträgt laut deren Geschäftsführer Erich Scheiber rund 1.600 Euro.

Da die CIS Audits durchführe, aber keine Beratung, bedürfe es noch eines "qualifizierten Beraters", der "erfahrungsgemäß zwischen 1.200 und 1.800 Euro" pro Tag koste.

"Für kleinbetriebliche Gesundheitsdienstleister wie Ärzte wird es bei Bedarf kostengünstige Branchenpakete geben", hieß es dazu seitens der CIS.

Als "nette Marketingaktion" bezeichnete das Martin Stickler, Sprecher der Österreichischen Ärztekammer: "Das gesamte ELGA-Projekt missachtet, dass seit Jahren sichere Übermittlungssysteme in der Ärzteschaft angewendet werden."

Der Streit über ELGA

Höhepunkt der Auseinandersetzungen um die Elektronische Gesundheitsakte (ELGA) waren Äußerungen der Ärztekammer, die den Betreibern des E-Card-Systems "Überwachungsmethoden wie beim großen Bruder" vorwarf. Der Hauptverband der Sozialversichungsträger hatte Zahlen darüber veröffentlicht, wie viele Ärzte trotz Streiks über das E-Card-System online waren.

E-Card als Waffe im Ärztestreit

Der ELGA-Fahrplan

"Kosten solidarisch getragen"

An die 8.000 niedergelassene Ärzte seien bereits an das Gesundheitsinformationsnetz angebunden, kommuniziert werde in diesem Intranet der Ärztekammer natürlich verschlüsselt.

Die Kosten für die Zertifizierung der Praxen werden in dem Fall "solidarisch getragen", das heißt von der Ärztekammer.

Wem die Daten gehören

Die Patientendaten verblieben dadurch in Ärztehand, und das sei gut so, sagte Stickler zu ORF.at: "Diese Daten gehören Patienten und ihren Ärzten und sonst niemandem. Dieser Anspruch auf Verschwiegenheit ist ein hohes Rechtsgut. Wir werden uns mit allen uns zur Verfügung stehenden Mitteln dafür einsetzen, dass es gewahrt wird."

Die Verordnung sehe Übergangsfristen von bis zu drei Jahren vor, hieß es aus dem Gesundheitsministerium. Das Strafausmaß für Fahrlässigkeit im Umgang mit Patientendaten betrage 5.000 Euro, könne aber bei gerichtlich strafbaren Verstößen auch höher sein.

Die Mitte 2008 veröffentlichte Subnorm ISO 27799 geht besonders auf Branchenspezifika ein und ist als Hilfestellung für die Implementierung von Informationssicherheit im Gesundheitsbereich gedacht. Zertifiziert wird allerdings nach der Dachnorm ISO 27001.

CIS-CERT

Zertifizierte Anstalten

Vorreiter bei Datensicherheit ist nach Angaben der CIS der Wiener Krankenanstaltenverbund (KAV) mit seinen zwölf Spitälern und elf Pflegehäusern. Das KAV-Rechenzentrum sowie das dazugehörige Rechenzentrum des Allgemeinen Krankenhauses Wien (AKH) sind seit Mitte 2008 nach ISO 27001 zertifiziert.

(futurezone/Erich Moechel)

Suche

Suchbegriff

Wenn Sie mehrere Suchbegriffe verwenden, können Sie diese mit so genannten Boolschen Operatoren verknüpfen.