Page 29 - KH_IT_124_FINAL
P. 29
C5-Testat im eHealth-Bereich: Ein Leitfaden zur
Navigation durch rechtliche Herausforderungen
Jakob Liebert, IT-Sicherheitsexperte bei der Kanzlei Schürmann Rosenthal Dreyer und der ISiCO Datenschutz GmbH
für die Informationssicherheit für seine konkrete Cloud-Nut- die Mindestkriterien der Informationssicherheit hinaus weitere
zung ausreichend ist oder noch weitergehende Maßnahmen Schutzmaßnahmen verpflichtend sind. Sie werden damit häufig
getroffen werden müssen. Er sollte sich folglich nicht nur auf nicht nur die Basis-, sondern auch die Zusatzkriterien umsetzen
das Prüfergebnis der Auditoren verlassen, sondern muss ver- müssen, die im Kriterienkatalog verankert sind. Es bietet sich
bleibende Restrisiken sogar mittragen, wenn sie sich realisieren gerade in diesem Bereich also an, frühzeitig einen entsprechen-
und er sie übersehen hat. den Prüfbericht anzufordern und Cloud-Anbieter, die für das
eigene Geschäftsmodell infrage kommen, auf ihren Informati-
Fazit onssicherheitsstandard hin zu überprüfen. Die C5-Kriterien
Die Verarbeitung sensibler Daten erfordert große Sorgfalt bei erweisen sich für Stakeholder im eHealth-Bereich damit als
der Analyse des Schutzbedarfs, der auf den eigenen Anwen- zuverlässiger Leitfaden im Prüfprozess.
dungsfall zutrifft. Speziell beim Umgang mit Gesundheitsdaten
im e-Health-Bereich werden Kunden von Cloud-Anbietern (1) Art.9 Daten z.B. Gesundheitsdaten bekommen in der Regel
regelmäßig selbst zu dem Schluss kommen, dass für sie über automatisch den höchsten Schutzbedarf.
Krankenhaus-IT Journal 1 /2024
29
