Neue Datenräume für Medtech erschließen? Aber sicher
Die Europäische Union plant, einen virtuellen Datenraum für den eigenen Gesundheitssektor einzuführen – ein Thema, das nicht überall gut ankommt. Denn je weiter und mehr Daten fließen, desto höher wird das Risiko inkonsistenter Sicherheitsmaßnahmen. Wie sich Unternehmen schon heute entsprechend cybersicher aufstellen, erklärt Tresorit-CEO István Lám.
Die geplante Verordnung sowie ihre Umsetzung zur Einrichtung des „European Health Data Space“ (EHDS) ist ein Meilenstein europaweiter Forschungs- und Entwicklungsbemühungen. Die kurz- und mittelfristigen Pläne der Europäischen Union (EU) sowie deren langfristiges Ziel der „Health Union“ bieten für Medizinproduktehersteller Vorteile wie verkürzte Prozesse, einfachere Zusammenarbeit über Landesgrenzen hinweg und schnellere Markteinführungen.
Medtech-Unternehmen arbeiten tagtäglich mit anderen Organisationen zusammen und müssen oft große Datenmengen übertragen. Sei es das Universitätsklinikum oder der Zulieferer, alle ergreifen per regulatorischer Anforderung Sicherheitsmaßnahmen. Doch welche Sicherheits- und Verschlüsselungssysteme für den Umgang mit Daten zum Einsatz kommen, kann von Standort zu Standort variieren. Die Unterschiede können insbesondere die Datenflüsse verkomplizieren und Prozesse unnötig in die Länge ziehen. Nicht selten entstehen Sicherheitslücken. Ein virtueller Datenraum mit einheitlichen Verschlüsselungs-, Anonymisierungs- und Pseudonymisierungsstandards – je nach Datum – könnte vor allem über Firmen- und Landesgrenzen hinweg helfen.
Zusätzlich eröffnet die geplante „sekundäre Nutzung“ der Patienten- und Gesundheitsdaten bisher ungenutztes Potenzial für Unternehmen. Denn auch diese Daten sollen nach dem Verordnungsplan Forschung und Entwicklung zur Verfügung stehen. Wenn die Medizintechnik hierzulande adäquaten Zugang zu einer solchen Masse an Gesundheitsforschungsdaten hätte, stünde dem Innovationsschub nicht mehr viel im Weg. Technologien und Therapien könnten nach Auswertung der Daten noch besser den Bedürfnissen der Patienten und Mediziner entsprechen – Stichwort Präzisionsmedizin.
Großes Potenzial – auch für Risiken
Doch die Pläne der Europäischen Union für den virtuellen Datenraum bergen auch hohe Risiken – daher muss der Datenschutz bei der geplanten Umsetzung Vorrang haben. Kritik an den Plänen gibt es zur Genüge. Ganz vorneweg steht die Befürchtung, dass Patienten anhand der gespeicherten Daten zu leicht identifiziert werden könnten, selbst wenn diese anonymisiert sind. Gleichzeitig steigt mit der Menge an gespeicherten Daten das Risiko für Diebstahl und ungewollte Offenlegung. Die Zahl der Cyberattacken auf kritische Infrastruktur ist ebenfalls in den vergangenen Jahren gestiegen.
Unterlagen im Gesundheitssystem – sowohl Patienten- als auch Maschinendaten – zählen zu beliebten Zielen von Angreifern. Landen Patientenakten auf dem Schwarzmarkt, haben sie oft den zehnfachen Wert von Kreditkartendaten. Sei es durch Erpressung, Schadensersatzforderungen von Betroffenen oder den Diebstahl wertvoller Unternehmensinformationen, Verlust und Offenlegung von Daten können schnell kostenintensiv werden. Daher ist es bereits jetzt – noch vor der Einführung des (offiziellen) virtuellen Datenraums – unerlässlich, sich mit dem bestmöglichen Schutz von Daten auseinanderzusetzen. Vor allem kleine und mittelständische Unternehmen können durch mangelnden Datenschutz Wettbewerbsnachteile oder gar existenzgefährdende Rufschädigungen und Verluste erfahren. Es braucht jetzt Lösungen, die sicher, benutzerfreundlich und skalierbar für die jeweiligen Bedürfnisse der Firma sind.
Merkmale sicherer Cloud-Kollaboration
Allem voran müssen Organisationen sicherstellen, dass die zu verarbeitenden Daten so sicher wie möglich sind, ob in der Werkshalle oder auf dem Diensthandy. Die sicherste Form der Datensicherung und -übertragung stellt aktuell die Ende-zu-Ende-Verschlüsselung dar. In privaten Messenger-Apps bereits der Standard, bildet sie auch im Geschäftskontext ein sicheres Grundprinzip für sichere Datenverarbeitungen. Damit lässt sich garantieren, dass nur Berechtigte Zugriff erhalten. Aufgrund der Vielzahl verwendeter Betriebssysteme und Abläufe für Datensicherheit muss auch entlang der gesamten Kooperationskette die konsequente Verschlüsselung garantiert sein. Ob per E-Mail, geteiltem Link oder Dateianforderung, alles unterliegt bestenfalls demselben Standard.
Ein weiteres wichtiges Prinzip ist die Einbindung der Mitarbeiter. Sensibilisierung für Datenschutzanforderungen, das Aufsetzen nutzerfreundlicher Systeme und die schnelle Bereitstellung entsprechender Werkzeuge fördern konforme IT-Nutzung. Außerdem fördert eine solche Herangehensweise die Akzeptanz unternehmenseigener Sicherheitsvorschriften. „Privacy by design“ gilt nicht nur für cyberphysische Systeme, sondern auch für das Onboarding neuer Mitarbeiter oder die Wahl des E-Mail-Providers.
Ein klares Rechtemanagement entlastet Nutzer zudem, indem sie weniger sicherheitsrelevante Entscheidungen treffen müssen und mehr Zeit für ihre Kernaufgaben haben. Wenn jeder Datenaustausch, jedwede Art von Kommunikation mit Ende-zu-Ende-Verschlüsselung passiert, müssen Mitarbeiter nicht abwägen, was sie im Detail besonders vorsichtig angehen müssen. Das minimiert das Risiko einer wuchernden Schatten-IT, mit der Anwender im Zweifelsfall Daten über unsichere Cloudanbieter senden oder mit ihrer privaten E-Mail-Adresse. Ein integriertes Cloudsystem mit allen unternehmensrelevanten Datenverarbeitungs- und Sicherheitsfeatures ist der intuitivste Weg für alle Mitarbeiter und Kooperationspartner.
Jetzt Newsletter abonnieren
Verpassen Sie nicht unsere besten InhalteGeschäftliche E-MailAbonnieren
Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Aufklappen für Details zu Ihrer Einwilligung
Zukunftssichere Forschung und Entwicklung
Durch die Zusammenarbeit von Tresorit mit Organisationen wie dem Deutschen Roten Kreuz und dem Cardiovascular Research Institute Basel (CRIB) flossen Erfahrungen direkt in die Weiterentwicklung solcher Features. Um Effizienz und Sicherheit gleichermaßen zu fördern, vereint Tresorit das „Privacy by design“-Prinzip mit nutzerfreundlichen Optionen wie erweiterten Kontrollmöglichkeiten für IT-Administratoren und Ende-zu-Ende-Verschlüsselung der digitalen Arbeitsumgebungen, in denen Organisationen arbeiten. Auf Basis des Feedbacks, das Organisationen wie CRIB geben, lässt sich schließen: Werkzeuge für verschlüsselte wie internationale Datenverarbeitung kommen nur konsequent zum Einsatz, sofern sie so intuitiv und skalierbar sind wie aus der privaten Digitalpraxis gewohnt.
Ob Forschung oder Produktion, Datenschutz muss im Gesundheitssektor oberste Priorität haben. Die Menge und jeweilige Art der Daten setzen den verantwortungsvollen Umgang und Sicherungsgrad voraus. Kollaboration – auch über Ländergrenzen hinweg – ist von größter Bedeutung für die Innovationskraft der Medtech-Branche in Deutschland und europaweit. Daher sind die Pläne der Europäischen Union für einheitliche Standards und mehr Vergleichbarkeit ein richtiger und wichtiger Schritt. Um die IT-Sicherheit im geplanten Datenraum – aber auch schon in der aktuellen Praxis – garantieren zu können, brauchen Unternehmen und Institutionen verlässliche Partner und bewährte Methoden, um die neuen Herausforderungen der Cybersicherheit nachhaltig zu erfüllen.
* Der Autor: István Lám ist CEO von Tresorit.