Zur Navigation springen Zur Suche springen Zur Inhaltsbereich springen Zur Fußbereich springen

Produktsicherheit garantiert

IT-Sicherheit und Datenschutz im Krankenhaus

BEWATEC IT-Sicherheit und Datenschutz | Schlosssymbol mit Netzgrafik vor BinÀrcode.

Stehen bei uns an erster Stelle

Sichere Patientendaten mit BEWATEC.ConnectedCare

Die Sicherheit von Patienten- und Gesundheitsdaten ist fĂŒr uns keine Frage der Priorisierung. Deshalb bilden höchster Datenschutz und maximale IT-Sicherheit die Basis unserer Software. So sorgen wir fĂŒr sichere digitale Gesundheitsdienste, die allen internen und externen Sicherheitsanforderungen eines Krankenhauses entsprechen.

lokale Datensicherung: Bildschirm mit Ordner und blauem Standortzeichen

Lokale Datenspeicherung

Patientendaten werden ausschließlich im Krankenhaus gespeichert

Sichere Patientendaten: Schloss mit Person und blauem Haken

DSGVO-konform

Datenverarbeitung unter Einhaltung gesetzlicher Bestimmungen

Blaue Rosette mit Haken

100% in Deutschland

Datenverarbeitung und -speicherung auf Servern in Deutschland

minimale Datenhaltung: Patientenakte mit minimierenden Pfeilen

Minimale Datenhaltung

durch direkte Kommunikation von Patient:innen und Diensteanbietern

Unser Auftrag

Informationssicherheit fĂŒr KrankenhĂ€user und Patienten

Als Softwareanbieter fĂŒr KrankenhĂ€user verarbeiten wir sensible Patientendaten. Deshalb haben Datenschutz und Informationssicherheit oberste PrioritĂ€t bei der Entwicklung von BEWATEC.ConnectedCare. Unsere Sicherheits- und Compliance-Teams arbeiten stetig am Schutz der Plattform und entwickeln die Sicherheitsmaßnahmen immer weiter.

ISO Normen, BSI-Standards und B3S fĂŒr KrankenhĂ€user

Die von uns eingesetzten Techniken orientieren sich ausschließlich an weltweit anerkannten, offiziellen Zertifizierungen (z.B. ISO 27001) sowie Empfehlungen von offiziellen Institutionen wie dem BSI.

  • ISO 27001 konformes Informationssicherheitsmanagement
  • Orientierung an BSI-Standards 200-1, 200-2, 200-3 
  • BSI TR-02102 Kryptographische Verfahren 
  • B3S-Standard fĂŒr KRITIS (hier KrankenhĂ€user)

Immer State of the Art: Sicherheit und Datenschutz “out-of-the-box”

Höchste Sicherheit ist bei BEWATEC Lösungen standardmĂ€ĂŸig voreingestellt. Das Design der Software-Architektur berĂŒcksichtigt die Paradigmen:

  • security-by-design
  • privacy-by-design
  • privacy-by-default

Begriffe unklar? In unserem Digital Health Glossar bringen wir Fachbegriffe der Branche auf den Punkt.

Auf der sicheren Seite – mit Pentests und neuester Technologie

FĂŒr einen optimalen Schutz setzen wir bei der Entwicklung nur modernste Technologien ein. Dies beginnt bei der Auswahl von Diensteanbietern, z. B. OpenID Connect fĂŒr eine sichere Authentifizierung. Und endet bei extern durchgefĂŒhrten Schwachstellenanalysen mittels Pentests.

 

Sprechen Sie uns an

FAQ

IT-Sicherheit und Datenschutz

Datenschutz und Informationssicherheit ist Unternehmensziel von BEWATEC und wird durch ein eigenes Sicherheitsteam verfolgt und implementiert. Alle Daten werden nur in DSGVO-konformen Rechenzentren gespeichert. Es werden nur DSGVO-konforme Partner eingesetzt, welche insbesondere bei kritischen Diensten mit Zertifizierungen (z. B. ISO27001, SOC2) eine sichere Datenverwaltung nachweisen mĂŒssen.

Datenschutz sowie Informationssicherheit sind Unternehmensziele und werden durch geschultes Fachpersonal, insbesondere ein internes IT-Sicherheitsteam und Compliance-Spezialisten, garantiert (vgl. auch Art. 37 Abs. 5 DSGVO). Dieses ĂŒberprĂŒft regelmĂ€ĂŸig die Anforderungen, implementiert angemessene Maßnahmen und steht in regelmĂ€ĂŸigem Kontakt mit dem Datenschutzbeauftragten. Weiterhin wird Informationssicherheit möglichst frĂŒh im Softwareentwicklungszyklus berĂŒcksichtigt („shift-left-security“). Dazu stimmt sich das IT-Sicherheitsteam mit dem Produktteam ab (z. B. Priorisierung von neuen Funktionen/Korrekturen) und interagiert mit den Entwicklerteams (z. B. Teilnahme an Meetings fĂŒr sicherheitsrelevantes Feedback, Definition von Akzeptanzkriterien, Begleitung der Entwicklung). GrundsĂ€tzlich realisiert die Softwarearchitektur die AnsĂ€tze „security-by-design“ (standardmĂ€ĂŸig höchste Sicherheitseinstellungen), „privacy-by-design“ (standardmĂ€ĂŸig technische Datenschutzmaßnahmen und Minimierung der Datenverarbeitung) und „privacy-by-default“ (standardmĂ€ĂŸig höchste Datenschutzeinstellungen). Eine direkte Maßnahme ist die dezentrale Datenhaltung, sodass insbesondere alle sensiblen, personenbezogenen oder Patientendaten in KrankenhĂ€usern verbleiben. Weiterhin werden regelmĂ€ĂŸig Sicherheitsevaluierungen („Penetrationstests“) der BEWATEC.ConnectedCare Plattform durchgefĂŒhrt um einen sicheren Betrieb zu gewĂ€hrleisten.

FĂŒr die Datenhaltung wird ein dezentraler Ansatz verfolgt, sodass Daten nur dort gespeichert werden, wo sie wirklich benötigt und verarbeitet werden (z. B. Patientendaten im Krankenhaus, Authentifizierungsdaten beim IdentitĂ€tsdienstleister). Gleichzeitig werden bei jedem Akteur nur minimalste Daten verwaltet, d. h. solche die unmittelbar fĂŒr die DiensterfĂŒllung notwendig sind und falls möglich unmittelbar nach DiensterfĂŒllung gelöscht werden. Auch das Zugriffskontrollsystem folgt dem dezentralen Ansatz: Der Zugriff wird feingranular durch das Zugriffskontrollsystem des IdentitĂ€tsdienstleisters gesteuert. FĂŒr jedes „Ziel“ wird die Kontrolle gesondert geregelt, technisch realisiert durch dedizierte „access tokens“ des genutzten OAuth2 Standards mit jeweils eigenen Rechtevergaben.

Die von BEWATEC betriebenen Server der BEWATEC.ConnectedCare Plattform speichern nur minimale Daten, um Kommunikationsverbindungen zwischen Patient:in und dem ihm / ihr zugeordneten Krankenhaus zu ermöglichen, insbesondere werden keine „besondere Datenkategorien“ gem. Art. 9 DSGVO gespeichert. Konkret wird nur eine pseudonymisierte Krankenhaus-ID und pseudonymisierte ID des IdentitĂ€tsdienstleisters Auth0 gespeichert (welcher Nutzerauthentifizierung durchfĂŒhrt). Bei der Datenspeicherung wird ein dezentraler Ansatz verfolgt: Daten bleiben nur dort, wo sie benötigt werden, z. B. Patientendaten im Krankenhaus, Authentisierungsdaten beim IdentitĂ€tsdienstleister Auth0. Patientendaten sind nur lokal im Krankenhausnetzwerk verfĂŒgbar (eine InternetĂŒbertragung findet nicht statt). Dazu stellt BEWATEC.ConnectedCare eine Schnittstelle zum Krankenhaus-Informationssystem (KIS) zur VerfĂŒgung, das KIS-Interface (KIS-IF), was das KIS und Nutzer im lokalen Krankenhausnetzwerk verbindet. Es stellt die zukunftsorientierte FHIR-Schnittstelle bereit (ist aber auch kompatibel zum gĂ€ngigen Format HL7 2.x/3.x) und ist selbstverstĂ€ndlich DSGVO-konform. BEWATEC.ConnectedCare hat keinen direkten Zugriff auf das KIS-, das Krankenhaus behĂ€lt volle Kontrolle. 

Zur GewĂ€hrleistung der Datensicherheit werden nur Algorithmen und SchlĂŒssellĂ€ngen bzgl. Kryptografie & Anonymisierung eingesetzt, welche vom BSI (Bundesamt fĂŒr Sicherheit in der Informationstechnik) empfohlen werden.  Dies umfasst unter anderem: 

  • Symmetrische und asymmetrische Kryptografie 
  • Digitale Signaturen 
  • Hashing-Funktionen & kryptografische Hash-Funktion (HMAC) 
  • TLS Ciphersuiten zur Sicherung von Kommunikationsbeziehungen 

Die genutzten Algorithmen werden regelmĂ€ĂŸig ĂŒberprĂŒft und den Empfehlungen angepasst.  Daneben gibt es ein granular ausgearbeitetes Konzept zum Datenschutz und zur Sicherheit was vom Authentifizierungsmanagement, ĂŒber Prinzipien zu einer minimalen Datenhaltung bis hin zu physischen und organisatorischen Sicherheitsaspekten.

BEWATEC arbeitet eng mit den KrankenhĂ€usern zusammen, um das Datenschutzniveau unter BerĂŒcksichtigung der anwendbaren Gesetze aus dem (jeweiligen) Bundesland zu implementieren. Dabei betreiben wir unsere Lösungen / Services erstmalig nach erfolgreicher Abstimmung und Freigabe mit den Datenschutzbeauftragten der Kliniken.  

In diesem Zuge werden alle Verarbeitungen von Informationen zu 100% transparent gehalten und durch die kontinuierliche Verbesserung der eingesetzten Lösung, die Vorgaben und Hinweise externer Stellen, wie dem Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI), umgesetzt. 

InteroperabilitÀt dient dazu, trotz der in Kliniken befindlichen HeterogenitÀt von unterschiedlichsten Systemen einen strukturierten Datenaustausch zu ermöglichen. Die Etablierung von gemeinsamen Standards stellt eine sichere sowie zukunftsorientierte Kommunikation der diversen klinischen Lösungsanbieter sicher und ermöglicht langfristig ein Zusammenspiel digitaler Anwendungen.

Unsere Kunden (KrankenhĂ€user, Kliniken) sind, nach Gliederung des Bundes, Betreiber sogenannter kritischer Infrastrukturen. Sie unterliegen somit zusĂ€tzlichen Anforderungen, um die Versorgung jederzeit in vollem Umfang gewĂ€hrleisten zu können. Als verantwortlicher Partner unterstĂŒtzen wir unsere Kunden dabei und optimieren unsere Leistungen / Services angelehnt an branchenspezifische Standards, wie dem B3S. Damit geben wir unseren Kunden die Sicherheit, eine vertrauensvolle Basis zu schaffen, nicht nur, um unsere Leistungen / Services in bestmöglicher QualitĂ€t zu erbringen, vielmehr auch um unsere Kunden bei Fragen hinsichtlich der IT-Sicherheit zu unterstĂŒtzen.

Der Connection Code ist eine Methode zum Schutz Ihrer Daten und realisiert eine "Zwei-Faktor-Authentifizierung" (als "Besitzfaktor" zusĂ€tzlich zu Login und Passwort welche als “Wissensfaktor” gelten).  

Erst nach ÜberprĂŒfung der IdentitĂ€t wird ein Connection Code ausgedruckt ĂŒbergeben. Eine Eingabe schaltet die Abfrage von Daten aus dem Krankenhausinformationssystem frei (z. B. Name, Raum-Nr.).

BEWATEC.ConnectedCare speichert Daten zu 100% in Deutschland. Die Plattform nutzt AWS mit Rechen­zent­ren in Deutsch­land (Frankfurt am Main). Personenbezogene Daten werden nicht ins Ausland und insbesondere nicht in das nicht-europĂ€ische Ausland ĂŒbertragen. Die Rechenzentren entsprechen den DSGVO-Vorgaben und verfĂŒgen ĂŒber verschiedene Zertifizierungen hinsichtlich Informationssicherheit.    

Patientendaten werden hingegen nicht einmal bei BEWATEC.ConnectedCare, sondern nur lokal im Krankenhaus gespeichert. BEWATEC.ConnectedCare stellt fĂŒr den Datenzugriff eine Kommunikationsschnittstelle zum Krankenhausinformationssystem (KIS) zur Ver­fĂŒÂ­gung: das KIS-Interface, welches durch weitere PrĂŒfungen die Sicherheit garantiert. Das KIS-Interface ist optional und nicht fĂŒr jedes Krankenhaus eingebunden. 

Datenschutz sowie Informationssicherheit sind elementare Ziele von BEWATEC und werden durch geschultes Fachpersonal, insbesondere ein internes IT-Sicherheitsteam und Compliance-Spezialist:innen, garantiert (vgl. Art. 37 Abs. 5 DSGVO). Diese Instanzen ĂŒberprĂŒfen regelmĂ€ĂŸig die Anforderungen, implementieren angemes­se­ne Maßnahmen und stehen in stĂ€ndigem Kontakt mit dem Datenschutz­be­auf­tragten.

Ja, alle von BEWATEC.ConnectedCare verwalteten persönliche Daten werden verschlĂŒsselt, dies betrifft auch alle Kommunikationsverbindungen. Dazu werden nur VerschlĂŒsselungsalgorithmen und SchlĂŒssellĂ€ngen verwendet die vom Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) empfohlen werden. 

Es ist anzumerken, dass BEWATEC das Prinzip der Datenminimierung umsetzt, es werden also nur minimale, zwingend fĂŒr den Betrieb der Plattform benötigte Daten verwaltet. Die BEWATEC Server speichern beispielsweise nur Metadaten, um direkte Kommunikationen zwischen Patient:in und dem Krankenhaus zu ermöglichen. 

Nein, im Rahmen der Einladung zu BEWATEC.ConnectedCare können auch anonyme Login-Daten vorbereitet werden. Dazu wird eine anonyme E-Mail generiert, welche nur als Login dient. E-Mails können damit nicht versandt oder empfangen werden, sodass das Ändern / ZurĂŒcksetzen des Passworts ĂŒber das Personal des Krankenhauses erfolgen muss. 

In Verbindung mit den BEWATEC Tablets können weitere Authentifizierungsmöglichkeiten eingesetzt werden:

  • Chipkarten: Klassisch mit der I2C oder mit einer RFID Chipkarte, die ins BEWATEC Tablet gesteckt wird
  • Manuelle Eingabe: FĂŒr die Anmeldung kann z. B. die Fallnummer mit Geburtsdatum am Tablet eingegeben werden
  • Bar- oder QR-Code: Scan von Bar- oder QR-Code ĂŒber die im Tablet verfĂŒgbare Webcam

Datenhaltung und Authentifizierung sind dezentral organisiert. D. h. ein externer Dienstleister fĂŒhrt die Authentifizierung durch und speichert Zugangsdaten. Er verfĂŒgt selbstverstĂ€ndlich ĂŒber angemessene Sicherheitszertifizierungen. BEWATEC.ConnectedCare verwaltet diverse Metadaten, um direkte Kommunikationsverbindungen zwischen Patient:in und Krankenhaus zu ermöglichen. Das Krankenhaus selbst speichert Patientendaten. 

Dieser Ansatz schĂŒtzt Daten durch einen minimalen und dezentralen Ansatz zur Datenhaltung. Dement­sprechend wird auch ein dezentral orientiertes Zugriffs­kontroll­system genutzt, da die Daten nicht nur an unterschiedlichen Orten gespeichert werden, sondern auch unterschiedlich schĂŒtzenswert sind. 

Ihr Kontakt zu uns

Sprechen Sie uns an!

Sie möchten mehr zum Datenschutz und zur IT-Sicherheit der BEWATEC.ConnectedCare Plattform erfahren? Nehmen Sie direkt Kontakt mit unseren Experten auf.

BEWATEC, Tobias Mayer, Security Expert

Dr. Tobias Mayer

Security Expert

E-Mail

security[@]bewatec[.]com
BEWATEC, Jens Pahl, Head of Compliance

Jens Pahl

Head of Compliance

E-Mail

compliance[@]bewatec[.]com