Zugriffsschutz – die Basis der Datensicherheit und des Datenschutzes

Logische Zugriffskontrollen sind ein wesentliches Element der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Ordnungsmäßigkeit. Das Ordnungsmäßigkeitskriterium Vertraulichkeit und die zugrundeliegenden Sicherheitsanforderungen Autorisierung und Authentizität bedingen logische Zugriffskontrollen. Verschärft werden die Anforderungen an den Umgang mit personen

Grundpfeiler des Datenschutzes und der Datensicherheit

Logische Zugriffskontrollen sind ein wesentliches Element der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Ordnungsmäßigkeit. Das Ordnungsmäßigkeitskriterium Vertraulichkeit und die zugrundeliegenden Sicherheitsanforderungen Autorisierung und Authentizität bedingen logische Zugriffskontrollen. Verschärft werden die Anforderungen an den Umgang mit personenbezogenen Daten durch die seit dem 25. Mai 2018 anzuwendende Datenschutz- Grundverordnung (DSGVO). Der Zugriffsschutz betrifft somit jede Einrichtung im Sozial- und Gesundheitsweisen, unabhängig von ihrer Größe.

Zugriffsschutz als Basis des Datenschutzes

Dass das Thema Zugriffsschutz selbst für Großkonzerne mit entsprechenden personellen IT-Ressourcen nicht trivial ist, zeigen die öffentlich gewordenen Datenskandale. Die Erstellung eines wirksamen Zugriffsschutzkonzepts ist jedoch für alle Einrichtungen des Gesundheits- und Sozialwesens die Basis der Datensicherheit und des Datenschutzes. Es müssen sowohl die Berechtigungen auf Betriebssystemebene (Anmeldung gegenüber Clients in einem Netzwerk) als auch die Rechte zur Ausführung von Transaktionen in einer IT-Anwendung berücksichtigt werden. Zugriffskontrollen sind als angemessen zu beurteilen, wenn sie geeignet sind sicherzustellen, dass die Berechtigungsverwaltung und die eingerichteten Systemrechte den Festlegungen im Sicherheitskonzept entsprechen und damit unberechtigte Zugriffe auf Daten sowie Programmabläufe zur Veränderung von Daten ausgeschlossen sind. Zudem müssen Zugriffskontrollen so ausgestaltet sein, dass sie die Identität des Benutzers eindeutig feststellen und nichtautorisierte Zugriffsversuche abgewiesen werden.

Insbesondere die Festlegung und schriftliche Dokumentation der Anforderungen stellt für viele Einrichtungen eine große Herausforderung dar. Hierbei geht es im Wesentlichenum die Festlegung, welche Daten welchen Schutzbedarf haben und mit welchen Sicherheitsmaßnahmen dieser erfüllt wird. Solange diese Anforderungen nicht schriftlich fixiert sind, kann grundsätzlich nicht von einem angemessenen Zugriffsschutz ausgegangen werden.

Bereits mit einfachen organisatorischen Maßnahmen kann der Schutzbedarf angemessen erfüllt werden. Hierzu gehören etwa die Definition eines standardisierten und nachvollziehbaren Berechtigungsvergabeprozesses sowie die Erstellung einer verbindlichen Passwortrichtlinie, in der organisatorische und technische Anforderungen klar definiert sind.

Praxis-Hinweise zum Zugriffsschutz

Im Rahmen unserer Prüfungen stellen wir regelmäßig fest, dass der Schutzbedarf für Daten und deren Systeme nicht definiert ist und somit bereits grundlegende und triviale Kontrollen wie etwa das systemseitige Erzwingen von Passwortlängen und Passwortänderungen nicht umgesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Mindestanforderungen für Passwörter bereit, die einem normalen Schutzbedarf entsprechen. Sollten Sie zu der Einschätzung gelangen, dass Sie Daten mit einem hohen oder gar sehr hohen Schutzbedarf verarbeiten und ihre Maßnahmen unterhalb der Empfehlungen des BSI liegen, so können Sie zwingend auf einen Handlungsbedarf in Ihrer Einrichtung schließen.

Weitere Artikel, die Sie interessieren könnten

26.05.2023

Neue Eckpunkte zur Krankenhausreform: Regionale Vielfalt und strukturelle Besonderheiten der Bundesländer müssen berücksichtigt werden!

Am 23. Mai 2023 traf sich Gesundheitsminister Karl Lauterbach mit den Ländervertretern zu einem vertraulichen „Kamingespräch“, um auf Grundlage eines im Vorfeld vom Bundesgesundheitsministeriums (BMG) vorgelegten, 11 Seiten langen Eckpunktepapiers über die strittigen Reformthemen zu beraten.(...)
25.05.2023

Fünf Jahre DSGVO – Datenschutz im Wandel

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Ziel war es, in der Europäischen Union die Vorschriften zur Verarbeitung personenbezogener Daten zu vereinheitlichen. Die DS-GVO gilt unmittelbar für alle EU-Mitgliedstaaten. Mit der Vereinheitlichung des(...)
16.05.2023

Nachhaltigkeitsbericht betrifft auch die Governance

Am 5. Januar 2023 ist die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD) in Kraft getreten. Zudem wurden bereits am 23. November 2022 die Entwürfe der europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS)(...)
16.05.2023

Transparenzregister: Permanente Aktualisierungspflicht

Meldepflichtige Vereinigungen müssen ihre wirtschaftlich Berechtigten ermitteln, an das Transparenzregister melden und ihre Meldungen auf dem jeweils aktuellen Stand halten. Dass meldepflichtige Veränderungen als solche wahrgenommen und gemeldet werden, ist mittels interner Prozesse(...)
16.05.2023

Geldwäsche-Compliance: Sorgfaltspflichten

Das Geldwäschegesetz (GwG) beinhaltet Transparenz- und Sorgfaltspflichten. Über die Transparenzpflichten, insbesondere die Pflicht zur Ermittlung und Meldung der wirtschaftlich Berechtigten an das Transparenzregister, haben wir wiederholt berichtet (siehe Solidaris Information 2/2022, Newsletter der(...)
16.05.2023

Rechnungslegungsvorschriften nach WVO auch für „andere Leistungsanbieter“

Seit Umsetzung des Bundesteilhabegesetzes (BTHG) im Jahr 2018 können Menschen mit Behinderungen, die Anspruch auf Leistungen im Eingangsverfahren und Berufsbildungs- bzw. Arbeitsbereich nach den §§ 57 und 58 SGB IX haben, diese auch bei einem sogenannten „anderen Leistungsanbieter“ in Anspruch(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß