Pharmazeutische Unternehmen sind sowohl Produzenten als auch Sammler riesiger Mengen sensibler Daten, die nicht nur aus dem Verkauf pharmazeutischer Produkte, sondern auch aus deren Entwicklung stammen. Von der anfänglichen Forschung über die Patentanmeldung, die klinischen Forschungsphasen, die Vergabe von Lizenzen und den Herstellungsprozess hantieren Pharmaunternehmen mit riesigen Mengen hochsensibler, vertraulicher Daten, zu deren Schutz sie durch Datenschutzgesetze verpflichtet sind.
In der Europäischen Union zählt die Datenschutz Grundverordnung (DSGVO) Gesundheitsdaten zu den besonderen Datenkategorien, was bedeutet, dass sie ein höheres Schutzniveau erhalten als reguläre Kategorien sensibler Daten, wie z. B. persönlich identifizierbare Informationen (PII).
Die Verarbeitung dieser besonderen Kategorien sensibler Daten ist verboten, es sei denn, es werden Ausnahmekriterien erfüllt. Dazu gehört die ausdrückliche Einwilligung einer Person zur Verarbeitung der Daten, aber auch die Verarbeitung für gesundheitsbezogene Zwecke, wenn sie zum Wohle natürlicher Personen und der Gesellschaft als Ganzes erforderlich ist. Eine weitere Ausnahme erlaubt die Verarbeitung besonderer Datenkategorien, wenn wissenschaftliche Forschung betrieben wird, die sich in einem ethischen Rahmen bewegt und darauf abzielt, das kollektive Wissen und Wohlergehen der Gesellschaft zu vergrößern.
Während all diese Ausnahmen den Anschein erwecken, als könnten Pharmaunternehmen sensible Daten frei verarbeiten, ist dies in Wirklichkeit auf die Verarbeitung im Rahmen der Verwaltung von Dienstleistungen und Systemen der Gesundheits- oder Sozialfürsorge beschränkt, einschließlich der Verwaltung solcher Daten zum Zweck der Qualitätskontrolle. Diese Einschränkungen zielen darauf ab, Versuche einzuschränken, Big-Data-Analysetechniken zu nutzen, um Profile von Personen zu erstellen oder sie auf der Grundlage ihrer Gesundheitsdaten zu vermarkten.
In den Vereinigten Staaten gewährleistet der Health Insurance Portability and Accountability Act (HIPAA) den Datenschutz und die Sicherheit geschützter Gesundheitsinformationen (PHI) und gilt für elektronisch eingereichte Anträge. Damit fallen die meisten pharmazeutischen Unternehmen unter den Geltungsbereich des HIPAA und müssen dessen Regeln befolgen.
Das Versäumnis, sensible Daten zu schützen, kann zu hohen Bußgeldern führen, und Pharmaunternehmen müssen geeignet Datenschutzvorkehrungen treffen, um diese zu vermeiden. Gleichzeitig ist der Datenschutz unerlässlich, um das Vertrauen der Kunden und der an der klinischen Forschung beteiligten Personen zu erhalten.
Data Loss Prevention (DLP)-Lösungen sind ein wesentlicher Bestandteil der Werkzeuge, die Pharmaunternehmen einsetzen müssen, um sensible Daten zu schützen. Die DLP-Technologie zielt eher auf interne als auf externe Bedrohungen ab und hilft Pharmaunternehmen, Datenlecks und Datendiebstahl zu vermeiden, die durch Unachtsamkeit der Mitarbeiter oder böswillige Insider entstehen. Lassen Sie uns einen genaueren Blick auf einige der Möglichkeiten werfen, wie DLP zum Schutz pharmazeutischer Daten beiträgt.
Pharmazeutische Daten überwachen
Mit DLP-Lösungen können Pharmaunternehmen herausfinden, welche Arten von geschützten sensiblen Daten sie sammeln oder produzieren, wo sie gespeichert werden und wie sie in das und aus dem Unternehmensnetzwerk gelangen. Sie werden mit vordefinierten Richtlinien geliefert, die auf Gesetzen wie HIPAA und DSGVO basieren, die Compliance unterstützen und sicherstellen, dass die richtige Art von Daten gesucht und überwacht wird.
Mithilfe von Inhaltsfilterung und kontextbezogenem Scannen können DLP-Tools wie Endpoint Protector in Echtzeit nach sensiblen pharmazeutischen Daten in Hunderten von Dateitypen suchen, unabhängig davon, ob sie sich im Transit befinden oder lokal auf den Computern der Mitarbeiter gespeichert sind. Basierend auf den Suchergebnissen können Richtlinien eingerichtet werden, um Übertragungen nach Bedarf zu begrenzen oder zu blockieren.
Blockieren Sie die Übertragung von Pharmadaten
Der einfachste Weg, wie sensible pharmazeutische Daten durchsickern, ist über das Internet. Mitarbeiter senden Daten versehentlich an die falschen Empfänger oder nutzen unsichere Drittanbieterdienste wie Cloud-Speicher oder File-Sharing-Websites zur Datenübertragung. DLP-Lösungen blockieren nicht nur das Anhängen und Hochladen von Dateien, die sensible Pharmadaten enthalten, sondern können auch verhindern, dass Mitarbeiter sensible Daten per Copy-Paste oder manuell in E-Mails einfügen.
DLP-Tools protokollieren auch jeden Versuch, eine Richtlinie zu verletzen. So können Pharmaunternehmen die häufigsten Arten der Bedrohung der Datensicherheit identifizieren und sie später in Awareness Schulungen einbeziehen, um die Mitarbeiter über die besten Datensicherheitspraktiken zu informieren.
Verhindern Sie unbefugtes Speichern von Pharmadaten
Bei der Ausübung ihrer Tätigkeit speichern Mitarbeiter häufig sensible pharmazeutische Daten lokal auf ihren Festplatten und verstoßen damit direkt gegen Datenschutzbestimmungen wie DSGVO und HIPAA. Insbesondere im Hinblick auf die DSGVO kann es problematisch sein, wenn Daten an unbekannten Orten gespeichert werden. Die DSGVO erlaubt es, Daten nur so lange zu speichern, wie sie für den ursprünglichen Zweck, für den sie erhoben wurden, benötigt werden, und gewährt den betroffenen Personen in der EU die Möglichkeit, die Löschung ihrer Daten aus den Aufzeichnungen eines Unternehmens zu verlangen. Das unwissentliche Speichern von Kopien dieser Daten stellt aufgrund mangelnder Sorgfalt einen Verstoß gegen die Vorgabe dar.
Um dies zu verhindern, können Unternehmen mit DLP-Lösungen alle Computer in ihrem Unternehmensnetzwerk nach sensiblen pharmazeutischen Daten durchsuchen und, wenn sie an nicht autorisierten Orten gefunden werden, Abhilfemaßnahmen ergreifen, wie das Löschen oder Verschlüsseln dieser Dateien.
Kontrollieren Sie die Übertragung von Pharmadaten auf Wechselmedien
Eine weitere Möglichkeit, wie pharmazeutische Daten leicht verloren gehen oder gestohlen werden können, sind Wechseldatenträger wie USB-Sticks oder externe Festplatten. Für solche Vorfälle ist zwar ein physischer Zugriff auf ein Gerät erforderlich, aber insbesondere USB-Sticks werden von Mitarbeitern häufig zum Kopieren von Dateien verwendet, an denen sie möglicherweise aus der Ferne arbeiten oder wenn sie zu Meetings oder Veranstaltungen außerhalb des Unternehmens reisen.
Um sicherzustellen, dass sensible Pharmadaten nicht außerhalb des Arbeitscomputers übertragen werden, können DLP-Lösungen eingesetzt werden, um die Nutzung von Peripherie- und USB-Ports, aber auch die Verbindung von Geräten über Bluetooth zu blockieren. Alternativ können Pharmaunternehmen auch die Nutzung auf vertrauenswürdige Geräte beschränken, die beispielsweise vom Unternehmen ausgegeben werden.