IT Compliance im Gesundheitswesen – ohne Risiken und Nebenwirkungen

Email Archivierung erleichtert Data Governance und Einhaltung der EU-DSGVO

Die rasant voranschreitende Digitalisierung und Vernetzung durchdringt nahezu alle Bereiche im Gesundheitswesen. Die Möglichkeiten moderner Kommunikationstechnologien und Geräte, wie Tablets oder Smartphones, haben in den letzten Jahren nicht nur die Mobilität der Ärzte und Mitarbeiter in den Kliniken gesteigert, sondern führen auch zu immensen Datenmengen. Ein durchschnittliches Krankenhaus erzeugt jährlich mehrere Millionen Einzeldokumente, von denen sich ein großer Anteil in der klassischen Patientenakte befindet. Und die wiederum müssen  in der Regel über einen Zeitraum von 30 Jahren aufbewahrt werden. Insbesondere die vielen behandlungsbezogenen Unterlagen, die alle personenbezogenen Informationen eines Patienten beinhalten, sorgen dafür, dass das Gesundheitswesen  im Hinblick auf Datenschutz und Archivierungspflichten  zu den am strengsten regulierten Branchen in Deutschland zählt. Geregelt werden dabei nicht nur Fragen zum Umgang, zur Verarbeitung und zum Schutz der Daten durch Gesetze, wie das IT-Sicherheitsgesetz, das  eHealth-Gesetz oder die in  2018 neu in Kraft tretende  EU-Datenschutzgrundverordnung (DSGVO), sondern auch die Aufbewahrungspflichten und –fristen, die der Gesetzgeber mit dem  DKG-Leitfaden genauestens  vorgibt. Die aufzubewahrenden  Dokumente  werden hierbei  grob  in zwei Gruppen unterteilt : in behandlungsbezogene Dokumente, die in der Regel in dem Krankenhaus-Informationssystem (KIS) gespeichert, verwaltet und archiviert werden und in verwaltungsbezogene Dokumente, zu denen u.a. auch E-Mails zählen.  Doch liegen die behandlungsbezogenen Daten ausschließlich im Krankenhaus-Informationssystem (KIS) oder befindet sich nicht ein beachtlicher Teil in Emails oder Messengerdiensten?

Unterschätzte Gefahr – Austausch von Patientendaten via Smartphone und Apps

Ein Austausch von sensiblen Patientendaten, wie Röntgenbilder oder OP-Berichte, über Messenger-Dienste, wie beispielweise WhatsApp oder über Email-Konten, scheint eine ebenso gängige wie gefährliche Praxis im Ärzte –Alltag zu sein. Einer Studie vom Imperial College Healthcare NHS Trust über die Verhaltensweise von britischen Ärzten zufolge haben sich bereits sage und schreibe zwei Drittel der britischen Ärzte schon einmal per Messaging-Dienst mit einem Kollegen über Patienten in irgendeiner Form ausgetauscht, sei es über konkrete Symptome oder über Behandlungsmethoden. Zudem seien bei fast der Hälfte der gesendeten Nachrichten sogar Bild-Messaging-Dienste genutzt worden, um damit zusätzlich zu den Informationen beispielsweise noch abfotografierte Röntgenaufnahmen weiterzuleiten. Solche Vorgehensweisen sind nicht nur höchst bedenklich in Bezug auf Datenschutzrichtlinien, sondern verdeutlichen auch, dass das Thema Email-Archivierung ein Mosaikstein in dem großen Gesamtbild des Umgangs mit Daten im Gesundheitsbereich ist. Kaum ein IT-Leiter eines Krankenhauses wird angesichts dieser Fakten garantieren können, dass sich die in dem in dem DKG-Leitfaden aufgeführten Dokumente ausschließlich in dem Krankenhaus-Informationssystem (KIS) und nicht in E-Mails befinden.

E-Mail Archivierung erleichtert Data – Governance

Was aber bedeutet es konkret, wenn sich viele der zu archivierenden Unterlagen nicht nur im KIS-, sondern auch in E-Mails befinden? Zunächst einmal verändert sich neben der Archivierungspflicht vor allem die Aufbewahrungsfrist dieser E-Mails von 10 auf 30 Jahre. Gedanken machen sollte man aber in erster Linie über den Einsatz einer professionellen E-Mail Archivierungslösung, denn selbst, wenn die Unterlagen auf dem Mailserver nicht verloren gehen bzw. in Backups noch vorhanden sein sollten, hat das mit Archivierung nichts zu tun – es wird weder zum frühestmöglichen Zeitpunkt, noch manipulationssicher und somit weder rechts – noch revisionssicher gespeichert. Zudem sind Inhalte auch nicht innerhalb kurzer Zeit und ohne großen Aufwand wiederauffindbar. Ohne den Einsatz einer E-Mail Archivierungslösung verfügen viele Unternehmen über wenig Kontrolle. Die Fragen danach, wo die  E-Mails abgelegt sind, oder ob weitere lokale Kopien existieren, können nur schwer beantwortet werden.  Auch das „Recht auf Löschen“, verankert in Artikel 17 der neuen EU-DSGVO, von E-Mails aus lokalen Speichern  oder unterschiedlichen PCs, kann ohne professionelle Archivierungslösung oftmals nur unzureichend oder nur bedingt umgesetzt werden.

Mailarchivierung ein notwendiges und kostspieliges Übel?

Obwohl eine Archivierung nachweislich sehr hilfreich ist für die Durchsetzung der regulatorischen Vorgaben,  empfinden die meisten Organisationen dies trotzdem als leidiges und trockenes Thema, welches man gerne aufschiebt. Wie so oft spielt hierbei das Thema Geld eine entscheidende Rolle, denn eine Mailarchivierung „on premise“ kann schnell sehr kostspielig werden. Man benötigt eine, je nach Firmenrichtlinie teils kostenpflichtige Datenbank, wie beispielsweise MSSQL, und große Mengen an Speicher, denn bei Aufbewahrungsfristen von 30 Jahren kommt schnell einiges an zu archivierenden Inhalten zusammen.  Und da im Fall eines Audits eine schnelle Suche über großen Datenmengen möglich sein sollte, muss der Archivserver mit RAM und Cores ausgestattet und über großzügig  ausgelegten Speicher verfügen. Hinzukommt, dass  eine „on premise“ Installation immer mit einem gewissen Verwaltungsaufwand einhergeht und die Komplexität, angesichts wachsender mobilen Gerätelandschaft sowie einer stetig steigenden Anzahl unterschiedlicher Medien, zunimmt. Ein Administrator sollte sich mit der Software gut auskennen und neben der Konfiguration auch verstehen, wie man Updates und Upgrades selbst eingespielt, damit keine Sicherheitslücken und damit ggfs. gefährlichen Einfallstore für Cyberkriminelle entstehen. Kurz gesagt: Ein notwendiges Übel, für das man auch noch viel Geld ausgeben muss.

Mailarchivierung in der Cloud – jetzt auch für den Healthcare –Sektor

Eine Auslagerung der Mailarchivierung in die Cloud bringt hingegen viele Vorteile – Unternehmen können so die rechtlichen Anforderungen an die Archivierung ihrer E-Mails dauerhaft einhalten und zugleich von Kostensenkung und Arbeitserleichterung profitieren.
Der Kunde zahlt monatlich auf Userbasis und erhält dafür sämtliche Leistungen, von Hardware über Installationsservice bis zur Systemverwaltung und -Wartung, direkt von dem Hersteller. Wenn man eine skalierbare Software zur Archivierung nutzt, ist zudem in der Regel auch der Cloud-Hoster frei wählbar. Oftmals kann man sich zwischen Azure DE Cloud, AWS oder einem privaten Hoster entscheiden. Alles, was man also braucht, ist der Wille zur Archivierung und eine stabile und schnelle Internetleitung, damit der Datenzugriff später auch schnell und flüssig läuft.

Gerade aber für Unternehmen in der Gesundheitsbranche gestaltete sich eine Auslagerung der Mailarchivierung in die Cloud bislang aufgrund der besonderen Richtlinien sehr schwierig. So war die bisher eng geschnittene Geheimhaltungspflicht sicherlich ein wesentlicher Faktor dafür, weshalb Mailarchivierung in der Cloud bislang im Gesundheitswesen sehr gebremst war.  Diese stringente Geheimhaltungspflicht hat der Bundestag  mit seiner im Juni 2017 verabschiedeten Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen nun endlich gelockert. Dieser Gesetzesbeschluss betrifft im Kern ein längst überfälliges und bereits lange gefordertes Reformvorhaben. Gemäß des neuen Gesetzes  können  nun insbesondere Versicherungs- und Krankenhausgesellschaften eine wirtschaftlich sinnvolle Möglichkeit der Datenverarbeitung, einschließlich IT-Outsourcing, umsetzen und zeitgemäße Möglichkeiten der Datenspeicherung, wie Cloud-Lösungen, in Anspruch nehmen. Die Akten- und Datenarchivierung, explizit im Gesetz benannt, darf demnach künftig an Dienstleister auch ohne Einwilligung des Patienten, Mandanten oder Versicherungsnehmers, ausgelagert werden. Dies ermöglicht Krankenhäusern jetzt endlich auch von  zeitgemäßen Lösungen wie einer Mailarchivierung in der Cloud zu profitieren.

Share this post:
Tweet about this on TwitterShare on FacebookShare on LinkedInGoogle+

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.