Datenschutz- und IT-Sicherheitsaudit

Slides:

Advertisements

Ähnliche Präsentationen

DIENSTLEISTUNGEN Normung, Zertifizierung, QM

Advertisements

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )

Ing. Helena Čierna, PhD. & Ing. Peter Pohančaník

Datenschutz im IT-Grundschutz

Der Weg zu einer Collaboration Strategy

Franz Hörmann 1 International Standards on Auditing ISAs.

CAFM bei 3M ESPE Klaus Ringhoff 3M ESPE AG.

Sicherheit als Geschäftsmodell

O.I.T.A.F. Seminar 2009, Innsbruck, Ing. Ernst Rahnefeld1 DIE RICHTLINIE 2000/9 AUS DER SICHT EINES GUTACHTERS Zu beachtende Schwerpunkte für die Erstellung.

Die Elektronische Gesundheitskarte

Vorstellung der Diplomarbeit

Schwachstellenanalyse in Netzen

Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.

Folie 1 Das virtuelle Bildungsnetzwerk für Textilberufe © 2003 Alexandra Zuber Definition Audit Systematischer, unabhängiger und.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Einführung in die Ausbildung

Qualitätsmanagement in der Klinik ein kurzer Überblick

Vorlesungsreihe im Fach Gesundheitsökonomie: Gesundheitssysteme

Datenschutz? Unwissenheit schützt vor Strafe nicht!

TOBA-Premiere in Wuppertal

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Datenschutz in the small

Datenschutz Von Christian Dettmar.

Wie E-Health & ELGA unser Leben verändern APA E-Business-Community 25. Juli 2013 Susanne Herbek, ELGA GmbH.

Akkreditierung in den Geistes und Sozialwissenschaften- eine studentische Perspektive Stefan Bienefeld Vorsitzender von ESIB- the National Unions of Students.

Die Umsetzung der ISO/IEC 17020

Bewertung von Cloud-Anbietern aus Sicht eines Start-ups

Kinder- und Jugendgesundheit in Österreich

Weyer-Gruppe 1 Engineering – Kompetenz in Verfahrenstechnik, Sicherheit und Umweltschutz.

Versichertenkarte / eHealth

Informationsveranstaltung „Erweitertes Sicherheitskonzept für die Fachhochschule Dortmund“ am

Datenschutz und Datensicherheit

Zweck des Datenschutzgesetzes

UNIV.-KLINIK FÜR BLUTGRUPPENSEROLOGIE UND TRANSFUSIONSMEDIZIN, GRAZ UNIV.-KLINIK FÜR BLUTGRUPPENSEROLOGIE UND TRANSFUSIONSMEDIZIN, GRAZ RICHTLINIE 2002/98/EG.

RAG Rohöl-Aufsuchungs AG

Datenschutz als Grundrecht

Warum? Kooperationsfähigkeit Fachkompetenz Einsatzbereitschaft

Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU

Bankenaufsicht-Anforderungen an das Risikomanagement in Zeiten der Finanzkrise Jahrestagung der Erich-Gutenberg -Arbeitsgemeinschaft am und ,

Seminar „Standards, Normen und Best-Practice-Modelle für Entwicklung und Betrieb von Softwaresystemen“ (Wintersemester 2008/2009) Vorbesprechung + Themenvergabe:

Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, Dr. Bernd Schütze.

Datenschutz und Datensicherheit

SiG Vorgehensmodell und Schwerpunkte für den Finance-Bereich Version 0.1 Dienstag, , Achat Plaza Hotel in Offenbach Workshop Identity.

Datenschutz und Datensicherheit

Content Management System

Optimaler Service für Sie Kompetenznetzwerk für Hygiene

Logistik, Material- und Produktionswirtschaft 2006

GS1 Germany – Terminologieanpassung 2009

Qualitätsmanagement im Beratungsprozess

Datenverarbeitung, Informations- und Kommunikationstechniken

Bundesdatenschutzgesetz (BDSG)

DGQ – Regionalkreisveranstaltung ADP Employer Services GmbH Stuttgart

Datenschutz und Datensicherheit

Datenschutz im betrieblichen Kontext – Ein praxisorientierter Ansatz in einem multinationalem Unternehmen Bachelorarbeit MIS.

Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Rechtliche Rahmenfaktoren der Netzwerksicherheit

Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.

HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.

ISO in der betrieblichen Praxis

WP/StB Prof. Dr. Klaus-Peter Naumann

DatenschutzManagement mit Verinice

Datenschutz in der Praxis Datenschutz im Gesundheitsbereich Aufgaben des Datenschutzbeauftragten Andrea Gruber Direktion Technologie und Informatik Stv.

Datenschutz-Managementsysteme im Aufwind?

TEO - Tvornica Elektro Opreme Sarajevo Die Elektroausstattungs fabrik wurde 1976 als Unternehmen für die Herstellung von Niederspannungseinrichtungen.

Abteilung ST-ESS| Januar 2013 | © Robert Bosch GmbH Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe.

Betriebswirtschaftliche Projekte Management-Systeme Zertifizierungen ISO 9001, ISO 14001, ISO und weitere Sicherheit und Gesundheitsschutz am Arbeitsplatz.

Data Governance/Privacy/Security Dr. Gottfried Endel Hauptverband der Österreichischen Sozialversicherungsträger.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Am 25.Mai 2018 tritt die EU-DSGVO in Kraft

Präsentation transkript:

Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS-Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze

Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 Fragestellung M&M Definition(en) Audit und BDSG Normen Ergebnisse Vorteile Umsetzungen Diskussion / Fazit 54. GMDS-Jahrestagung Essen, 2009-09-09

Wie kann die Sicherheit der Fragestellung Daten – und insbesondere Gesundheitsdaten – sind auch für Unbefugte von Interesse Ohne Daten kann das “Geschäft” Gesundheitswesen nicht funktionieren Behandlung Nachweis der durchgeführten Behandlung Abrechnung… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion Wie kann die Sicherheit der Daten gewährleistet werden?

Definition(en) Daten sind Einzelangaben über Verhältnisse Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Erheben ist das Beschaffen von Daten Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten. Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter (Entsprechend BDSG) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Audit und BDSG 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen Seitdem, nun ja… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Normen ISO/IEC 27001 Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Kosteneffizientes Management von Sicherheitsrisiken Sicherstellung der Konformität mit Gesetzen und Regulatorien Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen Definition von Informationssicherheits-Managementtätigkeiten Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (Internationale Norm seit 15. Oktober 2005) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Ausland? USA Europa Österreich verpflichtend durch Sarbanes-Oxley Act (SOX, 2002) Health Insurance Portability and Accountability Act (HIPAA, 1996) Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA) Europa Directive 95/46/EC (1995, Umsetzung bis 1998) Deutschland = Datenschutzgesetze Österreich Gesundheitstelematikverordnung (GTelV) Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Procedere Organisation: Technik: Policies Prozesse sonstige Dokumente (Inventare, Pläne, Konzepte etc.) Technik: Physische Sicherheit Netzwerksicherheit Systemsicherheit Applikationssicherheit Wichtig: Untersuchungstiefe vor Beginn bestimmen Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Beispiel Risikoanalyse Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Beispiel Prozessanalyse 51% 79% 60% 38% 67% 53% 57% 75% 35% Operation Architecture Process Continuity management Privileges management Infrastructure management Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Vorteile Proaktives Vorgehen Entscheidungsgrundlage für Riskomanagement Soll- und Ist-Zustand wird dargelegt Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten Kosteneffizientes Risikomanagement wird ermöglicht To-Do-Liste mit Prioritätsniveau (Don‘t-Do-Liste) Darstellung für Partner und Kunden Sicherheit für die eigenen Mitarbeiter Nachweis im Schadensfall Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Umsetzungen Abbildung in der Wirklichkeit: Ist doch im Gesundheitswesen nicht nutzbar… Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

… wussten einige wohl nicht Krankenhaus Städtisches Klinikum Braunschweig gGmbH (BSI) Rechenzentren perdata FIDUCIA IT AG T-Systems Pharmakologie Bayer Health Care Versicherungen Gothaer Krankenversicherung AG Informationssystem-Hersteller ? Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

Fazit IT-Sicherheitsaudit » Nachteil«: erhöhte Transparenz Datensicherheit optimiert Gewährleistung für die anvertrauten Daten erhöht (Partner-, Kunden- und Mitarbeiterzufriedenheit ↑) Vermeidung unerwünschter Werbung » Nachteil«: erhöhte Transparenz Nicht alle wollen Transparenz Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion

100%ige Sicherheit kann es nicht geben Fazit Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion Cave: 100%ige Sicherheit kann es nicht geben

Diskussion / Fragen ? schuetze@medizin-informatik.org Fragestellung Definition(en) Audit & BDSG Normen Vorteile Umsetzungen Diskussion schuetze@medizin-informatik.org