Dienstleister im Gesundheitswesen unterliegen seit Jahren einer strengen Regulierung durch spezielle Gesetze wie z.B. Health Insurance Portability and Accountability Act (HIPAA) . Von allen Branchen weist das Gesundheitswesen seit elf Jahren die höchsten Gesamtkosten wegen Datenschutzverletzungen auf. Gemäß des Cost of a Data Breach Report 2021 von IBM und vom Ponemon Institute beliefen sich die Kosten für Datenschutzverletzungen im Jahr 2021 auf unglaubliche 9,23 Millionen US Dollar/Datenschutzverletzung – ein Anstieg von 29,5% gegenüber 2020.
Das Gesundheitswesen arbeitet mit unter die HIPAA Vorschriften fallenden Protected Health Information (PHI) (Geschützte Gesundheitsinformationen) Angaben. PHI bearbeitet die, sich auf die vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit einer Person sowie auf die Gesundheitsversorgung einer Person beziehende Informationen. Dazu gehören auch persönliche Informationen (Personally Identifiable Information PII) wie: Name, Adresse oder Sozialversicherungsnummer, die allein oder in Verbindung mit anderen Identifikatoren für die Offenlegung der Identität, der Krankengeschichte oder der getätigte Zahlungen einer Person benutzt werden können. Die personenbezogenen Daten sind auch durch allgemeinere Datenschutzgesetze wie die Allgemeine Datenschutzverordnung (DSGVO) der EU geschützt.
Zur Gewährleistung der Einhaltung von Vorschriften und zwecks der Vermeidung von Geldstrafen und weiteren Kosten, die mit Datenschutzverletzungen verbunden sind, wie z. B. Geschäftseinbußen und Rufschädigung, sind Dienstleister im Gesundheitswesen zu der Entwicklung einer umfassenden Datensicherheitsstrategie verpflichtet, wobei diese Strategie dem Schutz von sensiblen Informationen und dem Schutz vor externen und internen Bedrohungen dienen sollte Im Folgenden finden sie die Möglichkeiten im Detail
Umgang mit internen Bedrohungen
Der Gesundheitssektor hat mit einem besonders hohen Maß an Nachlässigkeit bei seinen Mitarbeitern zu kämpfen. 27% der Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen, einer der höchsten Prozentsätze in allen Branchen. Weitere 27% der böswilligen Vorfälle wurden von Mitarbeitern verursacht, die Opfer von Phishing- und Social-Engineering-Angriffen wurden oder selbst versucht haben Daten zu stehlen.
Dies ist problematisch, weil die meisten Gesundheitsdaten laut Gesetz die Räumlichkeiten einer Organisation ohne Verschlüsselung und ohne Übertragung über sichere und autorisierte Wege nicht verlassen dürfen. Dienstleister im Gesundheitswesen können zur Kontrolle der Bewegungen von Gesundheitsdaten und der Daten aus den eigenen Netzwerken auf Data Loss Prevention (DLP) Lösungen zurückgreifen.
DLP Lösungen wurden zum direkten Schutz sensibler Daten entwickelt und verwenden vordefinierte Profile und benutzerdefinierte Richtlinien, um die, unter Gesetze wie HIPAA und DSGVO fallende sensible Daten in Unternehmensnetzwerken zu verfolgen und zu kontrollieren. Mit leistungsstarken Möglichkeiten zur Inhaltskontrolle und, kontextbezogenen Scanmitteln können die DLP-Lösungen die Gesundheitsdaten in Dateien und E-Mails erkennen, bevor sie versendet werden, und ihre Übertragung über nicht autorisierte Kanäle blockieren.
Umgang mit sensiblen Daten in lokalen Speicherplätzen
Lokal auf Arbeitsrechnern gespeicherte Gesundheitsdaten sind auch angreifbar und dem Diebstahl ausgesetzt. Während der Arbeit werden häufig sensible Daten bearbeitet, gespeichert und heruntergeladen und die Mitarbeiter vergessen oft, diese Dateien nach der Bearbeitung zu löschen. Dies zu Folge ist die Datensicherheit und die Einhaltung der Vorschriften gefährdet, weil Gesetze wie HIPAA die Notwendigkeit betonen, den Datenzugriff auf ein Need-to-know-Prinzip zu beschränken.
Die DLP-Lösungen können nach lokalen und im gesamten Unternehmensnetzwerk gespeicherten sensiblen Daten scannen. Werden sie an nicht autorisierten Orten gefunden, können die Administratoren das Löschen oder Verschlüsseln veranlassen. Somit können Dienstleister im Gesundheitswesen sicherstellen, dass kein Mitarbeiter weiteren Zugang zu sensiblen Daten hat, bzw. nur zugreifen kann um seine Aufgaben zu erfüllen..
Kontrolle von Wechseldatenträger
Obwohl das Internet immer mehr zur bevorzugten Datenübertragungsplattform wird, verwenden viele Mitarbeiter nach wie vor Wechseldatenträger wie USB-Sticks oder externe Festplatten, um große Mengen an Informationen oder Dateien zu kopieren. Diese Geräte können aufgrund ihrer Größe leicht verloren gehen oder gestohlen werden. Schlimmer: in den letzten Jahren sind insbesondere USB-Geräte zu beliebten Werkzeugen für Malware-Angriffe geworden.
Dienstleister im Gesundheitswesen die diese Risiken bekämpfen wollen, können DLP-Lösungen zur Überwachung und Kontrolle der Nutzung von Peripheriegeräten und USB-Anschlüssen sowie Bluetooth-Verbindungen einsetzen. Sie können die Nutzung dieser Geräte entweder ganz unterbinden oder auf zugelassene Geräte beschränken. Auf diese Weise können Dienstleister im Gesundheitswesen nachverfolgen, welcher Mitarbeiter welches Gerät zu welchem Zeitpunkt benutzt, so dass verdächtige Aktivitäten im Netzwerk und möglicher Datendiebstahl leicht erkannt werden können. Einige DLP-Lösungen, wie Endpoint Protector bieten auch granulare Richtlinien, d. h. Unternehmen können verschiedene Stufen von Einschränkungen für Gruppen, Abteilungen, Geräten oder Einzelpersonen festlegen.
Zwecks der Gewährleistung der Datensicherheit können Gesundheitsorganisationen auch einen zusätzlichen Schritt wagen und eine erzwungene Verschlüsselungslösung verwenden. Auf diese Weise kann sichergestellt werden, dass alle auf einen USB-Stick kopierten Daten automatisch verschlüsselt werden und nur mit dem entsprechenden Passwort geöffnet werden können.