Datenschutz im Gesundheitswesen Jeder ist ein (Be)Schützer! EDI-Podium 2015 26.06.2015 Luzern Urs Achermann, CISO HINT AG © HINT AG 2015 Die HINT AG stellt hochwertige Services für Spitäler, Heime und andere Institutionen des Gesundheitswesens bereit. 150 36.1 63'000 Mitarbeitende Mio Umsatz Calls 1'200 8'900 350 Server in 2 RZ Endbenutzer Anwendungen © HINT AG 2015 30.06.2015 | Seite 2 Ich heisse Urs Achermann und bin Chief Information Security Officer bei der HINT AG. Dipl. Wirtschaftsinformatiker Master in Informationssicherheit Certified ISO 27001 Lead Auditor, ITIL Certified • Seit 2013 Chief Information Security Officer bei HINT AG • 2011 – 2013 Information Security Officer, Bank Julius Bär • 2006 – 2011 Information Security Officer, Holcim • Seit 1999 spezialisiert auf IT- und Informationssicherheit, tätig als Berater, Hacker, Auditor und Sicherheitsverantwortlicher • Seit 1993 in der Informatik tätig © HINT AG 2015 30.06.2015 | Seite 3 Ich beschütze Patientendaten Ich beschütze Patientendaten © HINT AG 2015 30.06.2015 | Seite 4 Technik alleine reicht nicht; Datensicherheit & Datenschutz wird auch stark durch den Faktor Mensch bestimmt. • Niemand liebt Datensicherheits- und Datenschutzvorgaben. • In der Gesundheitsbranche fehlt vielerorts das Bewusstsein für den Schutz ihrer höchst sensiblen Daten. • Dies betrifft nicht nur Mitarbeitende bei einem Leistungserbringer, sondern auch bei vielen Lieferanten. • Mit technischen Mitteln alleine ist es nicht getan, Datensicherheit und Datenschutz wird letztlich auch stark durch den Faktor Mensch bestimmt. © HINT AG 2015 30.06.2015 | Seite 5 Wir bekommen auch Anfragen von Mitarbeitenden mit sehr ausgeprägtem Bewusstsein. Antrag an HINT Service Desk: … Da wir hier sehr sensitive Daten bearbeiten und immer wieder sehr schnell gerufen werden und rasch aus dem Büro müssen, ist es wichtig, dass die automatische Bildschirmsperrung auf 3 Minuten eingestellt wird. … © HINT AG 2015 30.06.2015 | Seite 6 [guter Beschützer] Ein guter Beschützer! © HINT AG 2015 30.06.2015 | Seite 7 Sehr oft werden Schutzmassnahmen aber nur als überflüssige Hindernisse angesehen. Gruppen-Account: Nachvollziehbarkeit? Antrag an den HINT Service Desk: … An diesem Gerät melden sich die entsprechenden Ärzte mit dem Benutzer "aerzte_ext" an. Sie teilte mir mit, dass die Ärzte das Passwort nicht alle 90 Tage ändern möchten. Bitte deaktiviert die Kennwortrichtlinie bei diesem Benutzer ... Passwort: Hindernis, nicht Zugriffsschutz © HINT AG 2015 30.06.2015 | Seite 8 Auch Lieferanten fehlt manchmal das Verständnis für einen angemessenen Umgang mit sensiblen Personendaten. Antrag an HINT Application Management: … Die Firma XY beantragt einen kompletten Datenbank-Save, um drei Störungsmeldungen bei ihnen zu analysieren. … Mit der Übermittlung der nicht anonymisierten Kopie der Datenbank würden komplett alle Patienten-, Mitarbeiter-, Arztdaten etc., wie diese heute im produktiven System sichtbar sind, bei der XY in der Entwicklungsumgebung vorhanden sein. © HINT AG 2015 30.06.2015 | Seite 9 [kein guter Beschützer] Kein guter Beschützer! © HINT AG 2015 30.06.2015 | Seite 10 [wie wird man ein guter Beschützer?] Aber wie wird man ein guter Beschützer? © HINT AG 2015 30.06.2015 | Seite 11 Übung macht den Meister. üben, üben, üben! © HINT AG 2015 30.06.2015 | Seite 12 Foto by GIDEON HART PHOTOGRAPHY Bestimmen Sie einen Datenschutzverantwortlichen [♂ / ♀] und geben Sie ihm die notwendigen Kompetenzen. 1. Bestimmen Sie einen Datenschutzverantwortlichen, welcher • die gesetzlichen Anforderungen kennt, • eine Ahnung von den technischen Möglichkeiten hat, • mit den Eigenheiten des Gesundheitswesens vertraut ist. 2. Statten Sie den Verantwortlichen mit den entsprechenden Befugnissen aus und binden Sie ihn in die Prozesse mit ein: • als Anlaufstelle für Fragen von Mitarbeitenden, Patienten, Lieferanten, … • als Freigabe- und Kontrollorgan. 3. Schulen Sie gezielt die Mitarbeitenden im Umgang mit sensiblen Daten. © HINT AG 2015 30.06.2015 | Seite 13 Schulen Sie gezielt ihre Mitarbeitenden im korrekten Umgang mit besonders schützenswerten Personendaten. z.B. Datenschutzseminar HINT 24.09.2015 sehen verstehen handeln • • • • • • • • • • • • Einführungstag Plakate / Flyer Kaffeebecher … Classroom Trainings Online Trainings Seminar, Workshop … Kontrollieren Fehler bestrafen Positives belohnen … Senden sie ein wichtiges Zeichen an ihre Belegschaft und Patienten! © HINT AG 2015 30.06.2015 | Seite 14 Herzlichen Dank und Willkommen bei den Beschützern! © HINT AG 2015 30.06.2015 | Seite 15
© Copyright 2024 ExpyDoc
