DS-GVO in der Wohlfahrt: IT-Compliance wichtiger denn je
Datenklau, Sicherheitslücken, Cyber-Angriffe – in den Medien steigt die Anzahl an Meldungen zu derartigen Vorkommnissen und ihren Auswirkungen kontinuierlich an. Davon betroffen sind immer wieder auch Einrichtungen aus dem Gesundheitswesen, obwohl (oder gerade weil?) hier teilweise hochsensible Gesundheitsdaten anfallen und verarbeitet werden. Im Oktober 2018 verhängte die portugiesische Datenschutzaufsicht ein Bußgeld von 400.000 Euro gegen das Krankenhaus Barreiro Montijo. Es handelte sich um das europaweit erste höhere Bußgeld wegen eines Verstoßes gegen die Bestimmungen der DS-GVO. In dem Krankenhaus war unter anderem ein nachlässiger Umgang mit dem IT-Berechtigungskonzept festgestellt worden: So verfügten insgesamt 985 Nutzer über die Rolle „Arzt“ mit umfassendem Zugriff auf Patientendaten – obwohl in dem Krankenhaus nur 296 Ärzte angestellt waren. Kein Wunder, dass Patienten und Nutzer misstrauischer werden. Sie hinterfragen mit immer mehr Nachdruck: Was passiert mit ihren Daten? Wer hat Zugriff?
Verkürzte Meldefrist und höhere Bußgelder
Fälle wie der oben beschriebene zeigen: Die Digitalisierung bringt Herausforderungen und eine zunehmende Komplexität mit sich, wie personenbezogene Daten erhoben, gespeichert und weitergegeben werden. Die DS-GVO versucht, diesen aktuellen Entwicklungen gerecht zu werden und gibt einen rechtlichen Rahmen vor. Unter anderem müssen Datenpannen neuerdings innerhalb einer 72-Stunden-Frist gemeldet werden. Seit Mai 2018 wurden EU-weit bereits 90 000 solcher Fälle verzeichnet. Unternehmen drohen Strafen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Bisher wurden EU-weit allerdings nur wenige Strafen verhängt. Das höchste Bußgeld musste Google zahlen: Die französische Datenschutzbehörde verhängte eine 50-Millionen-Euro-Strafe, weil die bereitgestellten Informationen zur Verwendung erhobener Daten und zu deren Speicherdauer nicht transparent und die eingeholten Zustimmungen für personalisierte Werbung ungültig waren.
IT-Compliance in der Wohlfahrt – ein besonders sensibles Thema
In kirchlichen Organisationen und Wohlfahrtsverbänden sind die Anforderungen an den Datenschutz besonders hoch: Mitarbeiter haben in KITAs, Pflegeheimen und Krankenhäusern vor allem mit besonders schützenswerten Daten wie Gesundheitsdaten und Daten Minderjähriger zu tun. Hinzu kommt die breite Basis an Ehrenamtlern, die in der Regel mit ihren Privatgeräten das nächste Zeltlager oder den Helfereinsatz planen. Hier stehen die Organisationen vor der Aufgabe, ihre unterschiedlichen Prozesse und Arbeitsweisen datenschutzkonform unter einen Hut zu bekommen. Seit Kurzem bietet die SoCura ihren Kunden speziell für Organisationen aus Kirche und Wohlfahrt den Service IT-Compliance & Standards. Die Malteser, unsere Muttergesellschaft, nehmen den Service bereits in Anspruch: Unsere IT-Compliance Manager haben einen Prozess zur Erfassung und Bearbeitung von Datenpannen implementiert und unterstützen bei der Umsetzung von IT-Compliance-Richtlinien vor Ort. Dazu gehören auch Awareness-Maßnahmen wie Vorträge und Schulungen.
Immer im Blick: das Wohl von Patienten und Klienten
Sara Macfalda, IT-Compliance Managerin bei der SoCura, erläutert die große Bedeutung einer nachhaltigen IT-Compliance-Strategie: „Unsere Kunden möchten nicht nur Bußgelder vermeiden – vielmehr geht es im sozialen Sektor auch um das Wohl der Patienten und Klienten. Die Hilfe der Bedürftigen muss auch den Schutz ihrer Daten einschließen. Somit ist die Investition in technische und organisatorische Maßnahmen zum Schutze personenbezogener Daten unser Beitrag zu einem verantwortungsvollen Umgang miteinander.“
Beitrag teilen