Patientendaten-Schutz-Gesetz (PDSG)

Das Patientendaten-Schutz-Gesetz (PDSG) trat am 20.10.2020 in Kraft, und soll für mehr Informationssicherheit in Krankenhäusern sorgen. Durch die Patientendatenschutzgesetzlichen Regelungen sind die Anforderungen an die Sicherheit in Krankenhäusern höher geworden. Die angestrebten Effekte bedeuten am Ende mehr Sicherheit und Schutz für die Daten von Patienten.

Patienten-Daten-Schutzgesetz gilt nicht nur für KRITIS Einrichtungen

Bis zum Inkrafttreten des Patientendaten-Schutz-Gesetzes galten die verschärften Regeln nur für Kliniken und große Krankenhäuser, wenn sie unter die KRITIS-Verordnung fielen.

Wegen der vermehrten Anzahl von Sicherheitsvorfällen in der voranschreitenden  Digitalisierung steigen nun auch die Anforderungen an die anderen (nicht KRITIS) Krankenhäuser.

Auch kleinere Krankenhäuser sind in der Pflicht ausreichende IT-Sicherheits-Maßnahmen zu ergreifen.

Informationssicherheit ist im Patientendatenschutzgesetz Pflicht

Zum 01.01.2022 sind ALLE Krankenhäuser nach Patientendaten-Schutz Gesetz (PDSG) verpflichtet, angemessene technische und organisatorische Maßnahmen für mehr Sicherheit umzusetzen (https://www.gesetze-im-internet.de/sgb_5/__75c.html). 

Gesetzlich kommt damit die Verpflichtung

„angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen […] Krankenhäuser können die Verpflichtungen […] erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden“.

zum Tragen.

Um den Wortlaut des Gesetzes einmal zu vereinfachen bzw. kurz gesagt:

ein Managementsystem für Informationssicherheit (ISMS) ist ein MUSS. 

Durch die Änderungen sind nun eben nicht mehr nur Krankenhäuser betroffen, die zu den kritischen Infrastrukturen gehören (KRITIS), sondern auch alle anderen. Abgesehen vom umgesetzten Managementsystem selbst benötigen die verpflichteten Krankenhäuser und Kliniken auch einen Nachweis darüber – diesen müssen sie selbst erbringen.

Es besteht also eine Nachweispflicht der Umsetzung.

Branchenspezifischer Sicherheitsstandard B3S

Speziell für die medizinische Versorgung (im Krankenhaus), oder Gesundheitsversorgung im Krankenhaus wurde ein branchenspezfischer Sicherheitsstandard (B3S) von der Deutschen Krankenhausgesellschaft (DKG e.V.) entwickelt. Dieser B3S wurde seitens des Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und freigegeben. Erfahren Sie mehr zum B3S >

Krankenhauszukunftsgesetz (KHZG) und Födermöglichkeiten

Im engen Zusammenhang mit den neuen gesetzlichen Vorgaben zur Informationssicherheit von Krankenhäusern aus dem Patientendaten-Schutz-Gesetz steht auch das Krankenhauszukunftsgesetz (KHZG).

Auch darin ist die Informationssicherheit ein sehr relevanter Bestandteil – beide Gesetze (PDSG und KHZG) gehen Hand in Hand.

Das KHZG geht mit einer staatlichen Förderung dem Krankenhauszukunftsfonds (KHZF) einher. Krankenhäusern wird es damit ermöglicht, unter bestimmten Voraussetzungen Fördergelder zu beantragen. Diese sollen für den Aufbau der digitalen Strukturen und auch der Informationssicherheit verwendet werden – ganz im Sinne des Patientendatenschutzgesetzes. Es handelt sich hierbei also um ein Investitionsprogramm zur Digitalisierung von Krankenhäusern.

Aufgaben aus dem Patientendaten-Schutz-Gesetz (PDSG)

Das Patientendaten-Schutz-Gesetz (PDSG) sieht zahlreiche Aufgaben für Krankenhäuser vor:

  • Implementierung von angemessenen organisatorischen und technischen Vorkehrungen / Maßnahmen
  • Prüfung und Anpassung der informationstechnischen Systeme spätestens alle zwei Jahre

Es liegt auf der Hand: Aus dem Patientendatenschutzgesetz folgt die Einführung eines ISMS mit Risikobewertung und Dokumentation als Nachweise. 

Unterstützung bei Patientendatenschutzgesetz und ISMS

Die Anforderungen aus dem Patientendaten-Schutz-Gesetz sind besonders für kleine Krankenhäuser und Kliniken hoch. Mit dem vorhandenen Personal ist das meist neben dem Tagesgeschäft kaum zu bewältigen. Haben Sie sich bisher nicht, oder nur nebenbei mit Managementsystemen, und dazu zählt auch ein ISMS, beschäftigt, wird die Umsetzung nebenbei eher schwierig.

Wir könne Ihnen genau dabei helfen: Sie kümmern sich weiterhin um die Informationssicherheit, während wir Sie bei der Erfüllung der gesetzlichen Vorgaben beraten.

Bestellen Sie uns als ihren externen Informationssicherheitsbeauftragten, so dass wir die notwendigen Aufgaben übernehmen können. Sie erhalten regelmäßiges Feedback und eine Umsetzungsstrategie.

Auch wenn Sie Fördergelder beantragen möchten, können wir Sie dabei unterstützen: wir verfügen über die Berechtigung im Rahmen des KHZF Projekte zu entwickeln und umzusetzen (http://www.gesetze-im-internet.de/khsfv/__21.html).