Wie ist BYOD in Krankenhäusern machbar?

mobilephone2

Gefahren der privaten Nutzung

Die Chancen von BYOD liegen auf der Hand. Neben dem signifikanten Einsparpotential für Kliniken, können Arbeitsabläufe verbessert werden. So können fachliche und wissenschaftliche Informationen direkt am Point of Care verfügbar gemacht werden. Gleiches gilt für Patienteninformationen. Diesen Chancen steht eine Vielzahl von Datenschutz und Datensicherheits-Risiken gegenüber. Doch wie kann den unterschiedlichen Risiken begegnet werden?

Welchen Risiken sind die Patientendaten ausgesetzt?

Bevor man gezielte Maßnahmen ergreift, sollte man sich über die wichtigsten Risiken im Klaren sein. Da bei BYOD vertrauliche Patientendaten auf private, mobile Endgeräte übermittelt werden, ist die erste Bedrohung der Verlust oder Diebstahl des Gerätes.

Einer Umfrage der Firma Varonis zufolge haben 50% der befragten Unternehmen bereits ein mobiles Gerät verloren – in 22 % dieser Fälle gab es Auswirkungen auf die Sicherheit der IT Systeme.

Darüber hinaus bestehen zusätzliche Risiken bei der Nutzung außerhalb des Klinikgeländes, zum Beispiel bei der Übertragung über ein nicht verschlüsseltes WLAN oder ein öffentliches Netz, denn dort besteht die Gefahr, dass die Kommunikation abgehört werden kann. Auch der Gebrauch an einem öffentlichen Ort, sein es Café, Bus oder Bahn kann Risiken beherbergen – ein unberechtigter Dritter kann durch Einsichtnahme in den Bildschirm an vertrauliche Informationen gelangen.

Hinzu kommen noch Risiken für die bestehenden IT-Systeme der Klinik, weil sich die privaten Geräte mit dem Kliniknetz und ggf. dem KIS verbinden und sich so Einfallstore für Viren und Schadsoftware ergeben. Außerdem gibt es nur eingeschränkte Möglichkeiten, die Geräte zu verwalten und zu kontrollieren, da sich diese nicht im Eigentum der Klinik befinden und es eine Vielfalt an Devices gibt.

Wie kann man sich effektiv schützen?

Um diesen Risiken entgegenzutreten, sollten grundsätzlich alle Daten über eine gesicherte Verbindung ausgetauscht werden, sowie verschlüsselt auf dem Gerät abgelegt werden. Realisierbar ist dies vor allem durch Einsatz von SSL oder VPN Technologien bzw. speziellen Softwaretools.

Darüber hinaus ist eine spezielle Kapselung der Klinik-Apps mit Hilfe sogenannter Container-Apps auf dem Gerät sinnvoll. Private sowie Patientendaten werden somit vor ungewollter Vermischung geschützt.

Zwingend erforderlich bei BYOD ist insbesondere der Einsatz eines Mobile Device Management Systems (MDM), denn mit Hilfe eines solchen MDM ist es unter anderem möglich die Einhaltung von Sicherheitsvorgaben für das Gerät zu überwachen und durchzusetzen. Mobile Endgeräte können zudem bei Verlust oder Diebstahl ferngesteuert gesperrt und gelöscht werden (remote lock & wipe). Zudem haben viele MDM Produkte eine Root/Jailbreak Erkennung – diese ermöglicht gerooteten Smarthphones/Tablets den Zugang zum Kliniknetz zu verweigern, da solche Geräte ein erhöhtes Sicherheitsrisiko darstellen.

Ebenso wichtig wie die technischen Maßnahmen sind die organisatorischen Regeln, die an den Besitzer gerichtet sind. So muss beispielsweise für den Fall, dass ein Mitarbeiter sein mobiles Endgerät verloren hat oder dieses sogar gestohlen wurde, umgehend die Sperrung des Gerätes in die Wege geleitet werden. Dies gilt auch, wenn das Gerät evtl. nur kurzfristig nicht auffindbar ist und ein Verlust nicht zu hundert Prozent ausgeschlossen werden kann.

Eine Alternative zu BYOD lautet CYOD (Choose Your Own Device). Hier wird dem Arzt eine Auswahl populärer Geräte zur geschäftlichen und privaten Nutzung vorgegeben und somit die Komplexität begrenzt, was eine Vereinfachung der Kontrolle des bringt und die Supportkosten im Rahmen hält.

Welche juristischen Risiken gibt es durch BYOD?

Ein weiteres Risiko stellt eine (unbewusste) Missachtung rechtlicher Vorgaben dar. Anders als in den USA gibt es hierzulande keine dedizierten, bundesweiten Regelungen (siehe Artikel „IT-Sicherheit in der Telemedizin“), so dass man sich je nach Bundesland einen Überblick über Landesdatenschutzgesetz, Krankenhausgesetz, Ärzteverordnungen oder ähnliches verschaffen muss. Ebenso gilt es den §203 StGB (ärztliche Schweigepflicht), das SGB und das BDSG zu beachten, insbesondere wenn IT Dienstleister herangezogen werden sollen. Werden die Geräte dann auch noch über reines Informieren des Arztes hinaus eingesetzt, zum Beispiel beim Abfotografieren von chronischen Wunden mit dem Smartphone, kommen ggf. noch das Medizinproduktegesetz (MPG), sowie Hygienevorschriften ins Spiel.

Aus unserer Erfahrung lassen sich viele der Datenschutz Themen dadurch entschärfen, dass eine hinreichende Datensicherheit gewährleistet wird und ein schlüssiges Sicherheitskonzept erstellt wird. Hinzu kommen ggf. freiwillige Einverständniserklärungen des Patienten, die genau erläutern, worin der Zweck der Datenverarbeitung besteht. Neben Transparenz und Zweckbindung ist auch auf sogenannte Intervenierbarkeit zu achten, das heißt der Patient muss beispielsweise jederzeit seine Einwilligung zurückziehen können. Ebenso hat sich ein frühzeitiges Vorlegen eines strukturierten Konzeptes beim zuständigen Landesdatenschutzbeauftragten in der Vergangenheit als sehr hilfreich erwiesen.

Fazit

Aus unserer Sicht stehen den vielfältigen Chancen von BYOD eine Reihe von Risiken gegenüben, namentlich Risiken für Patientendaten, Risiken für die Klinik IT, sowie Compliance-Risiken. Da sich diese Risiken jedoch gezielt managen lassen, steht der Nutzung der technischen Möglichkeiten zum Wohle des Patienten prinzipiell nichts im Wege.

Tags: , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.