Im Fokus: Großbritannien und der Datenschutz - aus Fehlern gelernt
In Großbritannien beschäftigen wir uns mit dem Datenschutz. Die Briten haben eine landesweite Cyber-Security-Strategie initiiert.
"Uns fehlt eine übergeordnete Security-Strategie für das ganze Gesundheitswesen“
Dr. Christian Ullrich im Interview über die IT-Sicherheitsstrategien in Deutschland
Das deutsche Gesundheitswesen unterscheidet sich deutlich vom britischen National Health Service. Warum lohnt sich dennoch ein Vergleich?
Es lohnt sich vor allem ein Blick auf Datennutzung und Datenschutz. Der NHS hat uns einiges voraus, was große Datenprojekte angeht. Auch wenn nicht immer alles glatt gelaufen ist, so haben die Briten daraus gelernt. Der NHS verfügt über ein eigenes Cyber Security Operations Centre, das verdächtige Aktivitäten in Echtzeit überwacht, auf Sicherheitsvorfälle reagiert und Beratung sowie Unterstützung in der Informationssicherheit anbietet.
Cybersicherheit ist auch bei uns ein zentraler Faktor. Wie weit sind wir in Deutschland?
Wir haben noch einen langen Weg zu gehen, in allen Sektoren des Gesundheitssystems. Bei den Krankenkassen machen wir erste Schritte mit dem Digitalgesetz und den darin verabschiedeten Regelungen. Bisher galten nur sehr große Krankenkassen als kritische Infrastruktur, die Auflagen in Richtung IT-Sicherheit zu erfüllen haben. Ab 2024 gelten diese Regelungen bereits für Kassen mit 500.000 Versicherten und mehr. Mit dem Digitalgesetz werden zudem auch Vorgaben für kleine Krankenkassen gemacht. Diese sind zwar weniger umfangreich, aber immerhin.
Und in den anderen Sektoren?
Krankenhäuser, Arztpraxen, Apotheken und viele andere Leistungserbringende arbeiten ebenfalls digital. In Großbritannien soll bis 2030 eine übergeordnete Security-Strategie definiert werden. Auch wir brauchen ein breit angelegtes Konzept – dafür müssen Rahmenbedingungen in der Politik geschaffen werden. Wir brauchen Systeme und Datenströme, die unabhängig voneinander funktionieren. Dann wäre bei einem Ausfall der IT nicht gleich die gesamte Infrastruktur betroffen. Das Wichtigste dabei: Die Versorgung der Menschen muss sichergestellt sein. Und wir brauchen auch im Kleinen – bei jedem Leistungserbringenden, jeder Krankenkasse, jeder Apotheke – das Bewusstsein und das Wissen darüber, wie wichtig IT-Security ist. Nicht jede Ärztin oder jeder Arzt kann IT-Experte sein. Aber die Verantwortlichkeiten und Prozesse für die Sicherheitsinfrastruktur müssen klar geregelt sein.
Kann es denn vollkommene Sicherheit geben?
Es gibt jedenfalls keine Alternative dazu, sich bestmöglich für den Ernstfall vorzubereiten. Kleinere, kürzere Ausfälle hat das Gesundheitssystem bereits erlebt und auch überstanden. Auf die Eventualität einer groß angelegten Betriebsunterbrechung müssen wir uns noch besser vorbereiten. Wann dürfen die IT-Systeme wieder hochgefahren werden? Wie gehen wir mit den Folgen um, zum Beispiel, wenn Meldefristen betroffen sind? Klar ist: Betriebsunterbrechungen sollten möglichst kurz sein. Die Versorgung muss auch unabhängig davon sichergestellt sein. Und die Bürokratie rund um Notfallprozesse muss so gestaltet sein, dass sie zur Lösung beiträgt. Auch das Risikomanagement und die bereits angeführte Trennung der Systeme und Datenströme müssen wir gesetzlich regeln. Uns Krankenkassen sehe ich hier unter anderem in einer tragenden Rolle, weil wir die Zahlungsströme verantworten und damit die Handlungsfähigkeit der einzelnen Akteure sicherstellen.
Die hier zur Verfügung gestellten Inhalte dürfen, unter Angabe der Quelle SBK Siemens-Betriebskrankenkasse, veröffentlicht werden.
Ich bin Ihre persönliche Ansprechpartnerin und freue mich auf Ihre Presseanfragen.
Tel.:
Mobil:
E-Mail: