IT-Sicherheit und Datenschutz im Krankenhaus

Datenschutz und Informationssicherheit ist Unternehmensziel von ConnectedCare und wird durch ein eigenes Sicherheitsteam verfolgt und implementiert. Alle Daten werden nur in DSGVO-konformen Rechenzentren gespeichert. Es werden nur DSGVO-konforme Partner eingesetzt, welche insbesondere bei kritischen Diensten mit Zertifizierungen (z. B. ISO27001, SOC2) eine sichere Datenverwaltung nachweisen müssen.

Datenschutz sowie Informationssicherheit sind Unternehmensziele und werden durch geschultes Fachpersonal, insbesondere ein internes IT-Sicherheitsteam und Compliance-Spezialisten, garantiert (vgl. auch Art. 37 Abs. 5 DSGVO). Dieses überprüft regelmäßig die Anforderungen, implementiert angemessene Maßnahmen und steht in regelmäßigem Kontakt mit dem Datenschutzbeauftragten. Weiterhin wird Informationssicherheit möglichst früh im Softwareentwicklungszyklus berücksichtigt („shift-left-security“). Dazu stimmt sich das IT-Sicherheitsteam mit dem Produktteam ab (z. B. Priorisierung von neuen Funktionen/Korrekturen) und interagiert mit den Entwicklerteams (z. B. Teilnahme an Meetings für sicherheitsrelevantes Feedback, Definition von Akzeptanzkriterien, Begleitung der Entwicklung). Grundsätzlich realisiert die Softwarearchitektur die Ansätze „security-by-design“ (standardmäßig höchste Sicherheitseinstellungen), „privacy-by-design“ (standardmäßig technische Datenschutzmaßnahmen und Minimierung der Datenverarbeitung) und „privacy-by-default“ (standardmäßig höchste Datenschutzeinstellungen). Eine direkte Maßnahme ist die dezentrale Datenhaltung, sodass insbesondere alle sensiblen, personenbezogenen oder Patientendaten in Krankenhäusern verbleiben. Weiterhin werden regelmäßig Sicherheitsevaluierungen („Penetrationstests“) der ConnectedCare Plattform durchgeführt um einen sicheren Betrieb zu gewährleisten.

Für die Datenhaltung wird ein dezentraler Ansatz verfolgt, sodass Daten nur dort gespeichert werden, wo sie wirklich benötigt und verarbeitet werden (z. B. Patientendaten im Krankenhaus, Authentifizierungsdaten beim Identitätsdienstleister). Gleichzeitig werden bei jedem Akteur nur minimalste Daten verwaltet, d. h. solche die unmittelbar für die Diensterfüllung notwendig sind und falls möglich unmittelbar nach Diensterfüllung gelöscht werden. Auch das Zugriffskontrollsystem folgt dem dezentralen Ansatz: Der Zugriff wird feingranular durch das Zugriffskontrollsystem des Identitätsdienstleisters gesteuert. Für jedes „Ziel“ wird die Kontrolle gesondert geregelt, technisch realisiert durch dedizierte „access tokens“ des genutzten OAuth2 Standards mit jeweils eigenen Rechtevergaben.

Die von ConnectedCare betriebenen Server der ConnectedCare Plattform speichern nur minimale Daten, um Kommunikationsverbindungen zwischen Patient:in und dem ihm / ihr zugeordneten Krankenhaus zu ermöglichen, insbesondere werden keine „besondere Datenkategorien“ gem. Art. 9 DSGVO gespeichert. Konkret wird nur eine pseudonymisierte Krankenhaus-ID und pseudonymisierte ID des Identitätsdienstleisters Auth0 gespeichert (welcher Nutzerauthentifizierung durchführt). Bei der Datenspeicherung wird ein dezentraler Ansatz verfolgt: Daten bleiben nur dort, wo sie benötigt werden, z. B. Patientendaten im Krankenhaus, Authentisierungsdaten beim Identitätsdienstleister Auth0. Patientendaten sind nur lokal im Krankenhausnetzwerk verfügbar (eine Internetübertragung findet nicht statt). Dazu stellt ConnectedCare eine Schnittstelle zum Krankenhaus-Informationssystem (KIS) zur Verfügung, das KIS-Interface (KIS-IF), was das KIS und Nutzer im lokalen Krankenhausnetzwerk verbindet. Es stellt die zukunftsorientierte FHIR-Schnittstelle bereit (ist aber auch kompatibel zum gängigen Format HL7 2.x/3.x) und ist selbstverständlich DSGVO-konform. ConnectedCare hat keinen direkten Zugriff auf das KIS-, das Krankenhaus behält volle Kontrolle. 

Zur Gewährleistung der Datensicherheit werden nur Algorithmen und Schlüssellängen bzgl. Kryptografie & Anonymisierung eingesetzt, welche vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlen werden.  Dies umfasst unter anderem: 

• Symmetrische und asymmetrische Kryptografie 
• Digitale Signaturen 
• Hashing-Funktionen & kryptografische Hash-Funktion (HMAC) 
• TLS Ciphersuiten zur Sicherung von Kommunikationsbeziehungen 

Die genutzten Algorithmen werden regelmäßig überprüft und den Empfehlungen angepasst. Daneben gibt es ein granular ausgearbeitetes Konzept zum Datenschutz und zur Sicherheit was vom Authentifizierungsmanagement, über Prinzipien zu einer minimalen Datenhaltung bis hin zu physischen und organisatorischen Sicherheitsaspekten.

ConnectedCare arbeitet eng mit den Krankenhäusern zusammen, um das Datenschutzniveau unter Berücksichtigung der anwendbaren Gesetze aus dem (jeweiligen) Bundesland zu implementieren. Dabei betreiben wir unsere Lösungen / Services erstmalig nach erfolgreicher Abstimmung und Freigabe mit den Datenschutzbeauftragten der Kliniken.  

In diesem Zuge werden alle Verarbeitungen von Informationen zu 100% transparent gehalten und durch die kontinuierliche Verbesserung der eingesetzten Lösung, die Vorgaben und Hinweise externer Stellen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), umgesetzt. 

Interoperabilität dient dazu, trotz der in Kliniken befindlichen Heterogenität von unterschiedlichsten Systemen einen strukturierten Datenaustausch zu ermöglichen. Die Etablierung von gemeinsamen Standards stellt eine sichere sowie zukunftsorientierte Kommunikation der diversen klinischen Lösungsanbieter sicher und ermöglicht langfristig ein Zusammenspiel digitaler Anwendungen.

Unsere Kunden (Krankenhäuser, Kliniken) sind, nach Gliederung des Bundes, Betreiber sogenannter kritischer Infrastrukturen. Sie unterliegen somit zusätzlichen Anforderungen, um die Versorgung jederzeit in vollem Umfang gewährleisten zu können. Als verantwortlicher Partner unterstützen wir unsere Kunden dabei und optimieren unsere Leistungen / Services angelehnt an branchenspezifische Standards, wie dem B3S. Damit geben wir unseren Kunden die Sicherheit, eine vertrauensvolle Basis zu schaffen, nicht nur, um unsere Leistungen / Services in bestmöglicher Qualität zu erbringen, vielmehr auch um unsere Kunden bei Fragen hinsichtlich der IT-Sicherheit zu unterstützen.

Der Connection Code ist eine Methode zum Schutz Ihrer Daten und realisiert eine "Zwei-Faktor-Authentifizierung" (als "Besitzfaktor" zusätzlich zu Login und Passwort welche als “Wissensfaktor” gelten).  

Erst nach Überprüfung der Identität wird ein Connection Code ausgedruckt übergeben. Eine Eingabe schaltet die Abfrage von Daten aus dem Krankenhausinformationssystem frei (z. B. Name, Raum-Nr.).

ConnectedCare speichert Daten zu 100% in Deutschland. Die Plattform nutzt AWS mit Rechen­zent­ren in Deutsch­land (Frankfurt am Main). Personenbezogene Daten werden nicht ins Ausland und insbesondere nicht in das nicht-europäische Ausland übertragen. Die Rechenzentren entsprechen den DSGVO-Vorgaben und verfügen über verschiedene Zertifizierungen hinsichtlich Informationssicherheit.    

Patientendaten werden hingegen nicht einmal bei ConnectedCare, sondern nur lokal im Krankenhaus gespeichert. ConnectedCare stellt für den Datenzugriff eine Kommunikationsschnittstelle zum Krankenhausinformationssystem (KIS) zur Ver­fü­gung: das KIS-Interface, welches durch weitere Prüfungen die Sicherheit garantiert. Das KIS-Interface ist optional und nicht für jedes Krankenhaus eingebunden. 

Datenschutz sowie Informationssicherheit sind elementare Ziele von ConnectedCare und werden durch geschultes Fachpersonal, insbesondere ein internes IT-Sicherheitsteam und Compliance-Spezialist:innen, garantiert (vgl. Art. 37 Abs. 5 DSGVO). Diese Instanzen überprüfen regelmäßig die Anforderungen, implementieren angemes­se­ne Maßnahmen und stehen in ständigem Kontakt mit dem Datenschutz­be­auf­tragten.

Ja, alle von ConnectedCare verwalteten persönliche Daten werden verschlüsselt, dies betrifft auch alle Kommunikationsverbindungen. Dazu werden nur Verschlüsselungsalgorithmen und Schlüssellängen verwendet die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen werden. 

Es ist anzumerken, dass ConnectedCare das Prinzip der Datenminimierung umsetzt, es werden also nur minimale, zwingend für den Betrieb der Plattform benötigte Daten verwaltet. Die ConnectedCare Server speichern beispielsweise nur Metadaten, um direkte Kommunikationen zwischen Patient:in und dem Krankenhaus zu ermöglichen. 

Nein, im Rahmen der Einladung zu ConnectedCare können auch anonyme Login-Daten vorbereitet werden. Dazu wird eine anonyme E-Mail generiert, welche nur als Login dient. E-Mails können damit nicht versandt oder empfangen werden, sodass das Ändern / Zurücksetzen des Passworts über das Personal des Krankenhauses erfolgen muss. 

In Verbindung mit den ConnectedCare Tablets können weitere Authentifizierungsmöglichkeiten eingesetzt werden:

• Chipkarten: Klassisch mit der I2C oder mit einer RFID Chipkarte, die ins ConnectedCare Tablet gesteckt wird
• Manuelle Eingabe: Für die Anmeldung kann z. B. die Fallnummer mit Geburtsdatum am Tablet eingegeben werden
• Bar- oder QR-Code: Scan von Bar- oder QR-Code über die im Tablet verfügbare Webcam

Datenhaltung und Authentifizierung sind dezentral organisiert. D. h. ein externer Dienstleister führt die Authentifizierung durch und speichert Zugangsdaten. Er verfügt selbstverständlich über angemessene Sicherheitszertifizierungen. ConnectedCare verwaltet diverse Metadaten, um direkte Kommunikationsverbindungen zwischen Patient:in und Krankenhaus zu ermöglichen. Das Krankenhaus selbst speichert Patientendaten. 

Dieser Ansatz schützt Daten durch einen minimalen und dezentralen Ansatz zur Datenhaltung. Dement­sprechend wird auch ein dezentral orientiertes Zugriffs­kontroll­system genutzt, da die Daten nicht nur an unterschiedlichen Orten gespeichert werden, sondern auch unterschiedlich schützenswert sind.