3 Fragen an den GDPR-Experten

Wir haben dem IT Risk Assurance & Advisory Services von Grant Thornton Denmark, Martin Brogaard Nielsen, drei Fragen gestellt. Er erläutert, was für öffentliche IT-Systeme besonders relevant ist.

1. Wie kann man IT-Sicherheit im Gesundheitswesen sicherstellen?

"Das Gesundheitswesen ist eine Branche, die durch Gesetze und Normen regelt, wie sensible Informationen von uns allen verarbeitet, gespeichert und wofür sie verwendet werden dürfen. Ich weiß zwar, dass alle Akteure der Gesundheitsindustrie sehr auf den Schutz von Gesundheitsdaten bedacht sind, aber die IT-Sicherheit insgesamt muss kontinuierlich verbessert werden. Als Auditoren nehmen wir das besonders ernst. Hohe Anforderungen stellen wir dabei nicht nur an die Unternehmen, die wir prüfen, sondern auch an deren Lieferanten und Dienstleister.“

2. Was belegt die ISAE 3000 bzw. ISAE 3402-Zertifizierung?

"Beide Zertifizierungen fungieren als Gütesiegel. Sie belegen, dass ein unabhängiger Audit durchgeführt wurde. Auditiert wird beispielsweise, wie ein Anbieter im Gesundheitswesen die Datenverarbeitungsbestimmungen der GDPR einhält oder ob die Grundsätze der ISO 27001 befolgt werden. Ein unabhängiger Prüfer hat also sichergestellt, dass das Unternehmen eine Reihe von Besuchen hatte, bei denen die Strategien und Verfahren überprüft und eine Reihe von Stichproben genommen wurden, um zu sehen, ob die Dinge tatsächlich wie festgelegt ablaufen. Eine Sache ist, was in einem Vertrag zwischen z. B. einem Gesundheitszentrum und einem Lieferanten steht, eine andere Sache ist, ob der Lieferant tatsächlich einen Notfallplan für den Fall einer Datenverletzung bereithält, die Systemprotokolle überwacht, kontrolliert, wer Zugang zu den Daten hat usw."

3. Wir müssen davon ausgehen, dass sich sowohl die Bedrohungslage als auch die Anforderungen an die IT-Sicherheit ständig ändern werden. Wie können ISAE-Prozesse dazu beitragen, die IT-Sicherheit in Zukunft zu gewährleisten?

"GDPR, ISO-Normen und damit verbundene ISAE-Erklärungen sind keine Garantie dafür, dass Fehler, Datenverluste, Hackerangriffe usw. nicht auftreten, aber sie sind der Beweis dafür, dass es strukturierte Arbeitsabläufe gibt; dass es einen Beweis dafür gibt, dass eine Organisation tatsächlich über dokumentierte Prozesse verfügt, um die Rechtsvorschriften und Standards einzuhalten, die sie als Akteur im Gesundheitswesen einhalten müssen.

Die Zukunft wird zweifellos weitere und größere Risiken im Zusammenhang mit dem Cyberspace mit sich bringen, und wir werden erleben, dass das Gesundheitswesen als Branche immer stärker reguliert wird. Der Nachweis, dass die Arbeitsprozesse und damit das geforderte und erwünschte Sicherheitsniveau unterm Strich stehen, ist daher ein Gebot der Stunde."