Blog > Datensicherheit in Krankenhäusern: Neuer Leitfaden für das Beschaffungswesen >

Datensicherheit in Krankenhäusern: Neuer Leitfaden für das Beschaffungswesen

Die Sicherheit von sensiblen Gesundheitsdaten ist eine wesentliche Anforderung an die IT-Systeme von Krankenhäusern und anderen Gesundheitseinrichtungen. Ein neuer Leitfaden der Europäischen Netzwerk- und Informationssicherheitsagentur ENISA gibt Orientierung, wie Datenschutz und Datensicherheit bereits im Beschaffungswesen sichergestellt werden können.


Beunruhigende Meldungen über umfangreiche Datenschutzverletzungen im Gesundheitswesen sind in Medien leider gar nicht selten zu finden. Erst kürzlich wurde ein Datenleck beim Roten Kreuz in Brandenburg bekannt. Daten zu mehr als 30.000 Patienten aus Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server und konnten von Reportern problemlos eingesehen werden. In einem anderen Fall, der im September 2019 bekannt wurde, waren Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen und andere Daten bildgebender Systeme ungeschützt im Internet abrufbar. Insgesamt waren rund sechzehn Millionen Menschen aus 50 Ländern von der Datenschutzverletzung betroffen.

Das sind lediglich zwei Beispiele, die verdeutlichen, dass bei Cybersicherheitsvorfällen im Gesundheitswesen sehr rasch eine große Anzahl von Menschen betroffen ist.

Der neue Leitfaden „Procurement Guidelines for Cybersecurity in Hospitals” der Europäischen Netzwerk- und Informationsssicherheitsagentur ENISA nimmt sich nun dieser Problematik an. Für Chief Information Officers (CISOs), Chief Information Officers (CIOs) und Mitarbeiter des Beschaffungswesens werden die Möglichkeiten, Standards und Best-Practice-Beispiele für die Berücksichtigung der Cybersicherheit im Beschaffungswesen von Krankenhäusern übersichtlich aufbereitet.

Für die drei Phasen des Beschaffungswesens, Planung, Beschaffung und Management werden zehn Arten von Beschaffungsvorgängen unterschieden, für die konkrete Überlegungen zur Datensicherheit erforderlich sind. Etablierte Standards für diese Bereiche werden vorgestellt und die wesentlichsten Herausforderungen an die Datensicherheit der jeweiligen Bereiche hervorgehoben.

Darüber hinaus umfasst der Leitfaden eine Klassifizierung der relevanten Bedrohungen und Hauptrisiken, die mit den Beschaffungsvorgängen verbunden sind. Kurzanleitungen vermitteln einen Einblick, wie diese Informationen in Beschaffungsprozessen von Krankenhäusern genutzt werden können.

Eine umfangreiche Sammlung empfohlener Vorgangsweisen für die Sicherstellung der Datensicherheit für alle Phasen des Beschaffungswesens rundet den Leitfaden ab.

Gerade für den sensiblen Bereich der öffentlichen und privaten Krankenhäuser, der sich einerseits durch einen hohen Grad an Standardisierung aber andererseits auch durch ein hohes Maß an Risiken für die Datensicherheit auszeichnet, stellt der Leitfaden „Procurement Guidelines for Cybersecurity in Hospitals” ein wertvolles Werkzeug zur strukturierten Optimierung und Sicherstellung der Datensicherheit dar. Beginnend beim Beschaffungswesen kann damit die Sicherheit der Gesundheitsdaten der Patientinnen und Patienten über den gesamten Lebenszyklus der eingesetzten IT-Systeme hinweg optimiert werden.