Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Datensicherheit in der Gesundheitsbranche in den USA
Tuesday, October 29, 2019

Sicherheit von Gesundheitsdaten in den USA

Das Gesundheitssystem hinkte in den USA in Sachen Cybersicherheit lange Zeit hinterher. In den letzten 20 Jahren ist jedoch viel passiert: Neue Gesetze und höhere Budgets haben die Gesundheitsbranche nachrüsten und in neue Technologien investieren lassen. Kliniken und Arztpraxen werden immer besser im Umgang mit personenbezogenen Daten und können Datendiebstähle zunehmend vermeiden. Aber wie sieht die Datenverarbeitung im Gesundheitswesen in den USA genau aus? Wie wird die Datenverarbeitung geregelt? Und vor allem, wie sicher sind die sensiblen Daten, die in einer Praxis oder einem Krankenhaus erhoben werden?

Was ist das HIPAA/HITECH-Gesetz?

Der so genannte Health Insurance Portability and Accountability Act wurde 1996 während der Amtszeit von Präsident Bill Clinton verabschiedet. Das Gesetz schreibt Regeln für den Umgang mit personenbezogenen Daten vor, die von allen Unternehmen des Gesundheitswesens einzuhalten sind. Sie bilden den Grundstein für die sichere und vertrauliche Verarbeitung personenbezogener Daten in der elektronischen Patientenakte (EPA) und im Gesundheitswesen allgemein. In den USA ist es jedoch nicht zwingend erforderlich, Gesundheitsdaten durch Verschlüsselung zu schützen, sondern nur empfohlen. Dies ist ein Problem, denn eine starke Verschlüsselung könnte viele Fälle von Cyberkriminalität im Gesundheitswesen verhindern.

Im Jahr 2009 ist der Health Information Technology for Economic and Clinical Health Act (HITECH-Gesetz) in Kraft getreten. Er fördert die Einführung von Technologien zur Vereinfachung der Verarbeitung von Patientendaten. Dazu gehört eine elektronische Patientenakte (EPA), die heute in Amerika weit verbreitet ist.

Welche Daten werden in einer elektronischen Patientenakte erfasst?

Bei den verarbeiteten Daten handelt es sich um eine so genannte „besondere Kategorie von personenbezogenen Daten“. Diese Art von Daten gilt als wesentlich anfälliger für Cyberkriminalität, da sie sensible Informationen über das körperliche und geistige Wohlbefinden einer Person enthalten. Wenn diese Daten in die falschen Hände geraten, können die Auswirkungen für den Betroffenen äußerst schädlich sein. Aus diesem Grund sind Gesundheitsdaten für Hacker sehr interessant und sollten angemessen geschützt werden.

Aus diesem Grund wurden Normen festgelegt, die von den Ärzten eingehalten werden müssen, um eine koordinierte medizinische Versorgung und den Schutz der Daten zu gewährleisten. Diese Normen legen im Detail fest, wie die Organisation, Sicherheit und Wartung eines EPA aussehen soll.

Zusammenfassend besteht der Inhalt einer Datei aus allen Informationen über das körperliche und geistige Wohlbefinden eines Patienten, z.B. Medikamentenlisten, Allergien, Anamnese, Behandlungspläne mit Diagnosen, oder Impfungen.

Der Vorteil einer persönlichen elektronischen Patientenakte liegt natürlich in der einfachen Handhabung und Transparenz für den Arzt. Akten, Diagnosen, Befunde und andere Informationen müssen nicht mehr von Praxis zu Praxis geschickt werden und vereinfachen die Behandlung eines Patienten enorm.

Dennoch kann diese Transparenz mit Risiken für die Privatsphäre der Patientendaten verbunden sein. Es gibt Informationen in diesen Dateien, die Sie nur mit Ihrem Arzt und ein paar nahen Personen besprechen möchten. Und leider kommen doch immer wieder Fälle von erfolgreichem Datendiebstahl in der der Gesundheitsbranche ans Licht, die diese Daten für Dritte offenlegen.

Warum Gesundheitsdaten für Hacker so interessant sind

„Wer sollte sich für meine Daten interessieren?“ Dies ist leider immer noch eine weit verbreitete Reaktion von Menschen, die unterschätzen, wie wertvoll Gesundheitsdaten sind. Laut dem HIPAA Journal fielen zwischen 2009 und 2018 fast 190 Millionen Datensätze mit personenbezogenen Gesundheitsdaten in die Hände von Dritten. Das entspricht fast 60% der US-Bevölkerung. Der bisher größte Datendiebstahl fand 2015 bei Anthem Inc statt, wo fast 80 Millionen Datensätze über einen Zeitraum von mehreren Monaten von Hackern gestohlen wurden.

Insbesondere in Unternehmen, die mit biometrischen oder gesundheitlichen Daten - und damit mit speziellen Kategorien von personenbezogenen Daten nach Art. 9 GDPR - es wird nach Ansicht des deutschen Rechtsanwalt und Datenschutzexperten Wolfgang Schmid empfohlen, besondere Vorsichtsmaßnahmen zu ergreifen, da der Verantwortliche verpflichtet ist, spezifische Maßnahmen zur Wahrung der Interessen des Betroffenen aufrechtzuerhalten.

Im Falle eines Hacks werden die Daten in der Regel verkauft. Eine im Jahr 2013 durchgeführte Studie zeigt, dass auch anonyme Gesundheitsdaten, wenn sie mit anderen Datensätzen kombiniert werden, Rückschlüsse auf eine Person zulassen und somit eindeutig identifiziert werden können.

Wie kann Boxcryptor helfen?

Boxcryptor ist eine einfache, aber äußerst sichere Methode zur Verschlüsselung und damit zum Schutz von Daten, die in der Cloud, auf einem NAS, auf Festplatten oder lokal gespeichert sind. Die Software ist sowohl DS-GVO-konform als auch mit AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit implementiert. Da es bis heute keinen praktikablen Angriff auf AES gibt, ist es der bevorzugte Verschlüsselungsstandard für Regierungen, Banken und Hochsicherheitssysteme auf der ganzen Welt.

Beitrag teilen

Die Cloud in der Gesundheitsbranche: Kostenloses Whitepaper

In unserem kostenlosen Whitepaper erfahren Sie, warum die Nutzung einer sicher verschlüsselten Cloud die Datensicherheit in Ihrer Arztpraxis deutlich erhöht und wie gleichzeitig Kosten gespart werden können.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.