Das sichere digitale Speichern, Verwalten und Teilen von Daten zählt im digitalen Zeitalter zu den maßgeblichen Herausforderungen für die Krankenhaus-IT. Sie muss (datenschutz)rechtlichen Bestimmungen, Compliance-Anforderungen sowie technischen Anforderungen gerecht werden und nicht zuletzt die Praktikabilität im klinischen Arbeitsalltag sicherstellen. Der Einsatz cloudbasierter Services kann hier Abhilfe schaffen – allerdings unter Auflagen.
Dass der Einsatz cloudbasierter Lösungen enormes Potenzial für Effizienz- und Effektivitätsgewinne birgt, ist auch im Gesundheitssektor beileibe nichts Neues mehr. Doch unterliegt der Rückgriff auf externe Cloud-Dienstleister aus verständlichen Gründen einem hohen Regulierungsgrad, handelt es sich bei den verarbeiteten Daten doch zum erheblichen Teil um die personenbezogenen und personenbeziehbaren Daten der Patient:innen. Zudem ließen entsprechende rechtssichere Gesetzesrahmen hierzulande lange auf sich warten – in Bayern etwa ist der Cloud-Einsatz in Krankenhäusern de facto erst seit dem 1. Juni 2022 mit Inkrafttreten des „Gesetzes über den Öffentlichen Gesundheitsdienst“ (GDG) rechtlich möglich. Entsprechend hoch ist derzeit noch der Nachholbedarf der Krankenhäuser in Deutschland in Sachen Cloud.
Datenschutzkonformität bei Software und Infrastruktur
Die Gesetzesvorgaben an die Krankenhaus-IT zielen im Kern darauf ab, dass die Vorgaben der EU Datenschutz-Grundverordnung (DSGVO) hinsichtlich technischer und organisatorischer Schutzmaßnahmen erfüllt werden, um sicherzustellen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können. In der Praxis bedeutet das, dass Krankenhäuser mit ihrem IT-Outsourcing-Anbieter einen Auftragsverarbeitungsvertrag abschließen, ein gemeinsames Sicherheitskonzept entwickeln und dieses dann implementieren und nachweisen müssen.
Doch ist dies nur ein Teil der Gleichung. Schon bei der Auswahl der Anbieter müssten die IT-Verantwortlichen der Krankenhäuser darauf achten, dass sowohl die Anbieter der cloudbasierten Services als auch der Cloud-Infrastruktur, auf der diese Services laufen, höchsten Sicherheits- und Datenschutzanforderungen gerecht werden.
Um ein konkretes Beispiel zu nennen: ein wesentliches Mittel zum sicheren Umgang mit sensiblen Daten sind sogenannte Enterprise File Services – also Lösungen für das universelle Finden, Zugreifen, Zusammenarbeiten, Analysieren, Transformieren und Sichern von Dateien. Kliniken, die Enterprise File Services einsetzen wollen, sollten sich daher ausschließlich mit Lösungen befassen, die über Features wie Security-by-Design, Privacy-by-Design sowie eine kundenseitige End-to-End-Verschlüsselung verfügen. Gerade Letztere stellt sicher, dass sich der Anbieter zu keinem Zeitpunkt einen Zugang zu oder gar einen Zugriff auf die sensiblen Daten seiner Nutzer:innen verschaffen kann. Die Lösungen müssen in der Lage sein, Zugangs- und Zugriffsberechtigungen individuell auf einzelne Nutzer:innen zugeschnitten zu vergeben. Als Motto gilt: so viele Berechtigungen wie nötig, so wenige wie möglich. Nur so können Krankenhäuser gewährleisten, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.
Jedoch ist Cloud nicht gleich Cloud, denn jeder Cloud-Service ist letztendlich nur so sicher wie die ihm zugrunde liegende Cloud-Infrastruktur. Dies betrifft zunächst ganz praktisch die Sicherstellung der Verfügbarkeit. Wirksame Sicherheitsmaßnahmen der Hosting-Anbieter umfassen insbesondere die Bereitstellung sogenannter Failover Hosts als Reserve, die ohne Verzögerung die Prozesse anderer Cloud-Instanzen übernehmen können, sollten diese ausfallen. Ebenso gehört dazu eine redundante Stromversorgung sowie georedundante Backups der Daten in voneinander entfernten Rechenzentren.
Aus datenschutzrechtlicher Sicht betrifft dies vor allem aber auch die Frage, wo sich die Rechenzentren befinden, in denen die Cloud-Lösungen gehostet werden. Befinden sie sich innerhalb der EU und unterliegen damit vollständig und ausschließlich der DSGVO, oder befinden sie sich anderswo und unterliegen damit womöglich extraterritorialen Gesetzen wie dem US Cloud Act?
Orientierungshilfen für Anwender:innen
Orientierung bei der Auswahl der Cloud-Anbieter, die alle erforderlichen Kriterien erfüllen, bietet das C5-Regelwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI), das vor allem aus einer Auflistung von Sicherheitskontrollmechanismen besteht, die von der Bundesbehörde entwickelt wurden. Erstmals 2016 veröffentlicht und 2019 überarbeitet, hat sich der Forderungskatalog inzwischen durchgesetzt und bietet Nutzer:innen die Möglichkeit eines eigenen, qualifizierten Risikomanagements bei der Auswahl von Cloud-Anbietern. Ebenfalls relevant als Entscheidungshilfe ist die HDS-Zertifizierung, die eine umfassende Compliance für das Hosting von Gesundheitsdaten sicherstellt. Diese ursprünglich von der französischen Gesundheitsbehörde Agence du Numérique en Santé (ANS) eingeführte Zertifizierung wird inzwischen auch durch autorisierte Stellen wie das BSI vergeben.
Entsprechende Angebote für Krankenhäuser sind bereits am Markt verfügbar. So stellt beispielsweise der Regensburger Enterprise-File-Services-Spezialist DRACOON seine Lösungen als cloudbasierte Software-as-a-Service (SaaS) über die C5- und HDS-zertifizierte Private-Cloud-Infrastruktur des europäischen Cloud-Anbieters OVHcloud bereit, wobei DRACOON auf die OVHcloud-Rechenzentren in Limburg und im französischen Roubaix zurückgreift.
Die gute Nachricht für die Krankenhaus IT: Ihr stehen heute nicht nur die passenden technischen Lösungen zur Verfügung, um gesetzeskonform von der Cloud zu profitieren. Mit Regelwerken und Zertifizierungen wie C5 und HDS haben sie zudem die nötigen Orientierungshilfen, um diese Lösungen im Angebotsdschungel des IT-Markts zielsicher ausfindig zu machen.
Autor:
Robert Jandt, Business Development Manager, OVHcloud
Quelle Bild: OVHcloud