Informationssicherheit und technischer Datenschutz

Informationssicherheit im Krankenhaus

Branchenspezifischer Sicherheitsstandard (B3S)

Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.

Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.

Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.

Weiterhin wird eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG bereitgestellt. Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden. Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.

 

Informationssicherheit in Krankenhäusern (§75c SGB V)

Mit dem im Oktober 2020 erlassenen Patientendatenschutzgesetz (PDSG) und dem neu eingeführten § 75c SGB V sind ab dem 01.01.2022 gemäß § 75c SGB V alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Eine Arbeitsgruppe der DKG hat hierzu Umsetzungshinweise („Starter-Paket“) erarbeitet, die sich zunächst an die Geschäftsführung von Krankenhäusern richten.

Das Dokumentenpaket stellt Motivation und Zielstellung der Umsetzung eines systematischen Informationssicherheitsmanagements im Krankenhaus dar, beschreibt die aktuellen spezifischen Sicherheits-Gefährdungen und gibt einen kurzen Überblick über einschlägige gesetzliche Grundlagen und Fördermöglichkeiten.

Arbeitshilfen und Vorlagen unterstützen die organisatorische Integration von Informationssicherheit im Krankenhaus, eine initiale Gap-Analyse zur Bestandsaufnahme von bereits implementierten Informationssicherheitsmaßnahmen sowie den Ausbau eines Notfall- und Business-Continuity-Managements.

Wir stellen das Starter-Paket §75c SGB V nachfolgend zur Verfügung.

 

Teilen mit:

|