Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54....
-
Upload
ermelinda-kaskel -
Category
Documents
-
view
111 -
download
4
Transcript of Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54....
Datenschutz- und IT-Sicherheitsaudit
Eine Chance für das Gesundheitswesen
Dr. Bernd Schütze
54. GMDS-Jahrestagung
Essen, 2009-09-09
1.1. FragestellungFragestellung2.2. M&MM&M
a)a) Definition(en)Definition(en)b)b) Audit und BDSGAudit und BDSGc)c) NormenNormen
3.3. ErgebnisseErgebnissea)a) VorteileVorteileb)b) UmsetzungenUmsetzungen
4.4. Diskussion / FazitDiskussion / Fazit
Agenda54
. GM
DS
-Jah
rest
agu
ng
Ess
en, 2
009-
09-0
9
Fragestellung
• Daten – und insbesondere Gesundheitsdaten – sind auch für Unbefugte von Interesse
• Ohne Daten kann das “Geschäft” Gesundheitswesen nicht funktionieren
– Behandlung
– Nachweis der durchgeführten Behandlung
– Abrechnung…
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Wie kann die Sicherheit der Daten
gewährleistet werden?
Definition(en)
• Daten sind Einzelangaben über Verhältnisse
• Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)
• Erheben ist das Beschaffen von Daten
• Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten.
• Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter
(Entsprechend BDSG)
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Audit und BDSG
• 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen
• Seitdem, nun ja…
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Normen
• ISO/IEC 27001– Formulierung von Anforderungen und Zielsetzungen
zur Informationssicherheit
– Kosteneffizientes Management von Sicherheitsrisiken
– Sicherstellung der Konformität mit Gesetzen und Regulatorien
– Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
– Definition von Informationssicherheits-Managementtätigkeiten
– Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
(Internationale Norm seit 15. Oktober 2005)
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Ausland?
• USA
– verpflichtend durch Sarbanes-Oxley Act (SOX, 2002)
– Health Insurance Portability and Accountability Act (HIPAA, 1996)
– Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA)
• Europa
– Directive 95/46/EC (1995, Umsetzung bis 1998)
– Deutschland = Datenschutzgesetze
• Österreich
– Gesundheitstelematikverordnung (GTelV)
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Procedere
• Organisation:
– Policies
– Prozesse
– sonstige Dokumente (Inventare, Pläne, Konzepte etc.)
• Technik:
– Physische Sicherheit
– Netzwerksicherheit
– Systemsicherheit
– Applikationssicherheit
Wichtig: Untersuchungstiefe vor Beginn bestimmen
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Beispiel Risikoanalyse
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Internet Threat - Robustness
0%
20%
40%
60%
80%
100%Firewall - Operating system
Firewall - Configuration
Firewall - Administration
Firewall - Design
Servers - Operating system
Servers - Configuration
Servers - Administration
IDS - Operating system
IDS - Configuration
IDS - Administration
Beispiel Prozessanalyse
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
51%
79%
60%
38%
67%
53%
57%
75%
35%
Operation
Architecture
Process
Operation
ArchitectureProcess
Operation
Architecture
Process
Continuity managementContinuity management
Privileges managementPrivileges management
Infrastructure Infrastructure
managementmanagement
Vorteile
• Proaktives Vorgehen
• Entscheidungsgrundlage für Riskomanagement
– Soll- und Ist-Zustand wird dargelegt
– Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten
– Kosteneffizientes Risikomanagement wird ermöglicht
– To-Do-Liste mit Prioritätsniveau
– (Don‘t-Do-Liste)
• Darstellung für Partner und Kunden
• Sicherheit für die eigenen Mitarbeiter
• Nachweis im Schadensfall
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Umsetzungen
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Abbildung in der Wirklichkeit:Ist doch im Gesundheitswesen nicht nutzbar…
… wussten einige wohl nicht
Krankenhaus
– Städtisches Klinikum Braunschweig gGmbH(BSI)
Rechenzentren
– perdata
– FIDUCIA IT AG
– T-Systems
Pharmakologie
– Bayer Health Care
Versicherungen
– Gothaer Krankenversicherung AG
Informationssystem-Hersteller
– ?
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Fazit
• IT-Sicherheitsaudit
– Datensicherheit optimiert
– Gewährleistung für die anvertrauten Daten erhöht(Partner-, Kunden- und Mitarbeiterzufriedenheit ↑)
– Vermeidung unerwünschter Werbung
• » Nachteil«: erhöhte Transparenz
– Nicht alle wollen Transparenz
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Fazit
Cave:
100%ige Sicherheit kann es nicht geben
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion
Diskussion / Fragen ?
Fragestellung
Definition(en)
Audit & BDSG
Normen
Vorteile
Umsetzungen
Diskussion