Die Datenschutzgrundverordnung verfolgt einen risikobasierten Ansatz. Im Fokus steht die Wahrung der Grundrechte natürlicher Personen, bei der Risikoermittlung nach DSGVO gilt, dass die Einschätzung des Risikos für die betroffene Person im Zentrum steht. Die Risiken für die Organisation an sich spielen demgegenüber eine untergeordnete Rolle, fließen aber indirekt in die Betrachtung ein.
Personenbezogene Daten nach Art. 9 DSGVO
Personenbezogene Daten nach Art. 9 DSGVO bergen grundsätzlich ein bedeutend höhere Risikopotential für die betroffene Person. Entsprechend hoch ist der Anspruch an die Sicherheit der Verarbeitung anzusetzen. In der Regel wird bei einer umfangreichen Verarbeitung von Gesundheitsdaten eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich sein. Bei größeren Praxen und Kliniken ist das die Regel. Zu betrachten bei der Risikoabschätzung sind zwei Variablen, die Höhe des potentiellen Schadens für die betroffene Person und die Eintrittswahrscheinlichkeit eines Schadensereignisses.
Ermittlung des potentiellen Risikos
Der gesamte medizinische Informationsverbund ist in Bezug auf die Gewährleistungsziele der Vertraulichtkeit, Verfügbarkeit und Integrität zu untersuchen. Auch der Ausfall einzelner Komponenten kann je nach Relevanz im Informationsverbund erhebliche Schadenswirkungen entfalten. Für alle Elemente im Informationsverbund sind die Risikokennzahlen für die Gewährleistungsziele zu ermitteln. Dies wird in der Regel in Form einer qualifizierten Beurteilung durch die jeweiligen medizinischen Fachkräfte zu ermitteln sein.
Im Anschluss an die Ermittlung des potentiellen Schadens ist die Eintrittswahrscheinlichkeit eines Schadensereignisses zu ermitteln. Wir empfehlen die Eintrittswahrscheinlichkeit analog zu den Grundsätzen nach BSI IT-Grundschutz (siehe BSI Standard 200-3, Risikoermittlung auf der Basis von IT-Grundschutz) zu ermitteln. Grundsätzlich gilt, je höher der potentielle Schaden für die betroffene Person ausfallen kann, um so niedriger muss die Eintrittswahrscheinlichkeit eines Schadensereignisses sein. Die technisch-organisatorischen Maßnahmen des Datenschutzes sind entsprechend auszurichten.
Dokumentation
Die Ergebnisse der Risikoanalyse sind zu dokumentieren und gehören in die Dokumentation der Datenschutzfolgeabschätzung nach Art. 35 DSGVO. Der Verantwortliche sollte einen Zeitrahmen für die regelmäßige Überprüfung der Maßnahmen festlegen und die Wirksamkeit nach dem PDCA-Zyklus wiederholen. Die Dokumentation, an der alle wesentlichen Akteure, IT-Leitung, medizinische Leitung, verantwortliches Fachpersonal, beteiligt sein sollten, muss auf einem aktuellen Stand gehalten werden. Sie ermöglicht dem Verantwortlichen eine qualifizierte Entscheidung bezüglich notwendiger Investitionen in die Organisation.
Sicherheit der Lieferkette
In die Risikoanalyse sind zwingend auch die Auftragsverarbeiter einzubeziehen. Die Leistungen Dritter im Informationsverbund sind für alle medizinischen Einrichtungen unverzichtbar und müssen Bestandteil der Betrachtung sein. Bei der Erbringung von Leistungen durch Auftragsverarbeiter nach Art. 28 sind eine zureichende vertragliche Gestaltung und regelmäßige Überprüfung der eingesetzten Dienstleister verpflichtend.