Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54. GMDS- Jahrestagung Essen, 2009-09-09.

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54. GMDS- Jahrestagung Essen, 2009-09-09."—  Präsentation transkript:

1 Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54. GMDS- Jahrestagung Essen,

2 1.Fragestellung 2.M&M a)Definition(en) b)Audit und BDSG c)Normen 3.Ergebnisse a)Vorteile b)Umsetzungen 4.Diskussion / Fazit Agenda 54. GMDS-Jahrestagung Essen,

3 Fragestellung Daten – und insbesondere Gesundheitsdaten – sind auch für Unbefugte von Interesse Ohne Daten kann das Geschäft Gesundheitswesen nicht funktionieren –Behandlung –Nachweis der durchgeführten Behandlung –Abrechnung… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion Wie kann die Sicherheit der Daten gewährleistet werden?

4 Definition(en) Daten sind Einzelangaben über Verhältnisse Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Erheben ist das Beschaffen von Daten Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten. Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter (Entsprechend BDSG) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

5 Audit und BDSG 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen Seitdem, nun ja… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

6 Normen ISO/IEC –Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit –Kosteneffizientes Management von Sicherheitsrisiken –Sicherstellung der Konformität mit Gesetzen und Regulatorien –Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen –Definition von Informationssicherheits- Managementtätigkeiten –Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (Internationale Norm seit 15. Oktober 2005) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

7 Ausland? USA –verpflichtend durch Sarbanes-Oxley Act (SOX, 2002) –Health Insurance Portability and Accountability Act (HIPAA, 1996) –Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA) Europa –Directive 95/46/EC (1995, Umsetzung bis 1998) –Deutschland = Datenschutzgesetze Österreich –Gesundheitstelematikverordnung (GTelV) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

8 Procedere Organisation: –Policies –Prozesse –sonstige Dokumente (Inventare, Pläne, Konzepte etc.) Technik: –Physische Sicherheit –Netzwerksicherheit –Systemsicherheit –Applikationssicherheit Wichtig: Untersuchungstiefe vor Beginn bestimmen Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

9 Beispiel Risikoanalyse Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

10 Beispiel Prozessanalyse Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion 51% 79% 60% 38% 67% 53% 57% 75% 35% Operation Architecture Process Operation ArchitectureProcess Operation Architecture Process Continuity management Privileges management Infrastructure management

11 Vorteile Proaktives Vorgehen Entscheidungsgrundlage für Riskomanagement –Soll- und Ist-Zustand wird dargelegt –Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten –Kosteneffizientes Risikomanagement wird ermöglicht –To-Do-Liste mit Prioritätsniveau –(Dont-Do-Liste) Darstellung für Partner und Kunden Sicherheit für die eigenen Mitarbeiter Nachweis im Schadensfall Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

12 Umsetzungen Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion Abbildung in der Wirklichkeit: Ist doch im Gesundheitswesen nicht nutzbar…

13 … wussten einige wohl nicht Krankenhaus –Städtisches Klinikum Braunschweig gGmbH (BSI) Rechenzentren –perdata –FIDUCIA IT AG –T-Systems Pharmakologie –Bayer Health Care Versicherungen –Gothaer Krankenversicherung AG Informationssystem-Hersteller –? Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

14 Fazit IT-Sicherheitsaudit –Datensicherheit optimiert –Gewährleistung für die anvertrauten Daten erhöht (Partner-, Kunden- und Mitarbeiterzufriedenheit ) –Vermeidung unerwünschter Werbung » Nachteil«: erhöhte Transparenz –Nicht alle wollen Transparenz Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

15 Fazit Cave: 100%ige Sicherheit kann es nicht geben Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

16 Diskussion / Fragen ? Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion


Herunterladen ppt "Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen Dr. Bernd Schütze 54. GMDS- Jahrestagung Essen, 2009-09-09."

Ähnliche Präsentationen


Google-Anzeigen