Sicherheit von Gesundheitsdaten in den USA
Das Gesundheitssystem hinkte in den USA in Sachen Cybersicherheit lange Zeit hinterher. In den letzten 20 Jahren ist jedoch viel passiert: Neue Gesetze und höhere Budgets haben die Gesundheitsbranche nachrüsten und in neue Technologien investieren lassen. Kliniken und Arztpraxen werden immer besser im Umgang mit personenbezogenen Daten und können Datendiebstähle zunehmend vermeiden. Aber wie sieht die Datenverarbeitung im Gesundheitswesen in den USA genau aus? Wie wird die Datenverarbeitung geregelt? Und vor allem, wie sicher sind die sensiblen Daten, die in einer Praxis oder einem Krankenhaus erhoben werden?
Was ist das HIPAA/HITECH-Gesetz?
Der sogenannte Health Insurance Portability and Accountability Act wurde 1996 während der Amtszeit von Präsident Bill Clinton verabschiedet. Das Gesetz schreibt Regeln für den Umgang mit personenbezogenen Daten vor, die von zahlreichen Beteiligten des Gesundheitswesens einzuhalten sind. So gilt das Gesetz für Ärzte, Apotheken und Krankenhäuser, Krankenversicherungen und staatliche Gesundheitsprogramme sowie Abrechnungsstellen für das Gesundheitswesen. Sie bilden den Grundstein für die sichere und vertrauliche Verarbeitung personenbezogener Daten in der elektronischen Patientenakte (ePA) und im Gesundheitswesen allgemein.
Im Jahr 2009 ist zusätzlich der Health Information Technology for Economic and Clinical Health Act (HITECH-Gesetz) in Kraft getreten. Er fördert die Einführung von Technologien zur Vereinfachung der Verarbeitung von Patientendaten. Dazu gehört eine elektronische Patientenakte (ePA), die heute in Amerika weit verbreitet ist.
Welche Daten werden in einer elektronischen Patientenakte erfasst?
Bei den verarbeiteten Daten handelt es sich um eine sogenannte „besondere Kategorie von personenbezogenen Daten“. Diese Art von Daten gilt als wesentlich anfälliger für Cyberkriminalität, da sie sensible Informationen über das körperliche und geistige Wohlbefinden einer Person enthalten. Wenn diese Daten in die falschen Hände geraten, können die Auswirkungen für den Betroffenen äußerst schädlich sein. Dementsprechend sind Gesundheitsdaten für Hacker sehr interessant und sollten angemessen geschützt werden. Diese schützenswerten analogen und digitalen personenbezogenen Gesundheitsdaten werden Protected Health Information, kurz PHI und ePHI, genannt.
Aus diesem Grund wurden Normen festgelegt, die von den Ärzten eingehalten werden müssen, um eine koordinierte medizinische Versorgung und den Schutz der Daten zu gewährleisten. Diese Normen legen im Detail fest, wie die Organisation, Sicherheit und Wartung einer ePA aussehen soll.
Zusammenfassend besteht der Inhalt einer Datei aus allen Informationen über das körperliche und geistige Wohlbefinden eines Patienten, z. B. Medikamentenlisten, Allergien, Anamnese, Behandlungspläne mit Diagnosen, oder Impfungen.
Der Vorteil einer persönlichen elektronischen Patientenakte liegt in der einfachen Handhabung und Transparenz für den Arzt. Akten, Diagnosen, Befunde und andere Informationen müssen nicht mehr von Praxis zu Praxis geschickt werden und vereinfachen die Behandlung eines Patienten enorm.
Dennoch kann diese Transparenz mit Risiken für die Privatsphäre der Patientendaten verbunden sein. Es gibt Informationen in diesen Dateien, die Sie nur mit Ihrem Arzt und ein paar nahen Personen besprechen möchten. Und leider kommen doch immer wieder Fälle von erfolgreichem Datendiebstahl in der der Gesundheitsbranche ans Licht, die diese Daten für Dritte offenlegen.
Warum Gesundheitsdaten für Hacker so interessant sind
„Wer sollte sich für meine Daten interessieren?“ Dies ist leider immer noch eine weitverbreitete Reaktion von Menschen, die unterschätzen, wie wertvoll Gesundheitsdaten sind.
Laut einem Bericht des Cloud-Sicherheitsunternehmens Bitglass gab es in den USA im Jahr 2020 fast 600 Datenschutzverletzungen im Gesundheitswesen – 55 % mehr als im Vorjahr.
Nicht nur die Zahl der Datenschutzverletzungen ist im vergangenen Jahr sprunghaft angestiegen, auch die durchschnittlichen Kosten pro Datenschutzverletzung sind um 10,5 % gestiegen. Insgesamt waren 26 Millionen Personen betroffen, also fast jeder zehnte US-Amerikaner. Hackerangriffe und IT-Vorfälle führten zu 67,3 % aller Datenschutzverletzungen im Gesundheitswesen. Unbefugte Offenlegung führte zu 21,5 % der Verstöße, während der Verlust oder Diebstahl von Geräten nur für 8,7 % der Verstöße verantwortlich war. Quelle: Healthcare Breach Report 2021
Im Jahr 2020 verschafften sich Hacker Zugang zu den Datenbanken von zwei großen Gesundheitssystemen, UPMC und Nebraska Medicine. Diese Verletzungen betrafen Gesundheitsinformationen wie Sozialversicherungsnummern, Geburtsdaten, Bank- oder Finanzkontonummern, Versicherungsinformationen sowie Informationen zu Diagnosen, Behandlungen und Medikamenten von mehr als 250.000 Personen.
Insbesondere in Unternehmen, die mit biometrischen oder gesundheitlichen Daten – und damit mit speziellen Kategorien von personenbezogenen Daten – arbeiten, wird nach Ansicht des deutschen Rechtsanwalts und Datenschutzexperten Wolfgang Schmid empfohlen, besondere Vorsichtsmaßnahmen zu ergreifen. Denn der Verantwortliche ist verpflichtet, spezifische Maßnahmen zur Wahrung der Interessen des Betroffenen aufrechtzuerhalten.
Im Falle eines Hacks werden die Daten in der Regel verkauft. Auch anonyme Gesundheitsdaten, wenn sie mit anderen Datensätzen kombiniert werden, lassen Rückschlüsse auf eine Person zu und können somit eindeutig identifiziert werden.
HIPAA und die Verschlüsselung von Daten
Werden Daten sowohl am Speicherort als auch bei Übertragung verschlüsselt, wird sichergestellt, dass unberechtigte Dritte anstelle der vertraulichen Patienteninformationen nur unlesbare, unentzifferbare und im Falle eines Diebstals für den Angreifer unbrauchbare Daten erhalten. In den USA ist es jedoch nicht zwingend erforderlich, Gesundheitsdaten durch Verschlüsselung zu schützen, sondern wird nur empfohlen. Dies ist ein Problem, denn eine starke Verschlüsselung hätte viele der aktuellen Fälle von Cyberkriminalität im Gesundheitswesen verhindern können.
Durch Verschlüsselung werden Daten in ein unlesbares Format, den so genannten Chiffretext, umgewandelt. Nur mit einem Sicherheitsschlüssel, der die verschlüsselten Daten wieder in ihr ursprüngliches Format umwandelt, können die Informationen entschlüsselt werden. Wenn ein Laptop, Smartphone oder USB-Stick, auf dem verschlüsselte Daten liegen, verloren geht oder gestohlen wird, führt dies nicht zu einer HIPAA-Verletzung. Denn sind die Daten verschlüsselt und die unberechtigte Person verfügt nicht über den entsprechenden Schlüssel, werden Patientendaten nicht preisgegeben.
Wie kann Boxcryptor helfen?
Boxcryptor ist eine einfache, aber äußerst sichere Methode zur Verschlüsselung und damit zum Schutz von Daten, die in der Cloud, auf einem NAS oder File Server, auf Festplatten oder lokal gespeichert sind. Die Software bietet Unternehmen aus dem Gesundheitssektor eine einfache Möglichkeit, Daten durch Ende-zu-Ende-Verschlüsselung zu schützen. Dadurch werden PHI nach HIPAA vor Unberechtigten geschützt. Boxcryptor verwendet eine AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit. Da es bis heute keinen praktikablen Angriff auf AES gibt, ist dies der bevorzugte Verschlüsselungsstandard für Regierungen, Banken und Hochsicherheitssysteme auf der ganzen Welt. Hier finden Sie weitere Informationen zu Boxcryptor und Cloud-Sicherheit für die Gesundheitsbranche.