Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Johner Institut Logo
Instituts-Journal 05/22


Guten Morgen ,

neulich fragte mich ein Medizinproduktehersteller: "Können Sie uns auch beim Datenschutz helfen?"

Eine ganz einfache Frage. Doch schnell wird klar, dass es einiges zu klären gibt:

  1. Definition und Abgrenzung von Datenschutz und IT-Sicherheit
  2. Eigenschaften guter Definitionen
  3. Typische Aufgaben im Kontext von Datenschutz und IT-Sicherheit

Möglicherweise betreffen Sie diese Punkte auch. Dann finden Sie im Folgenden (hoffentlich) hilfreiche Gedanken.

@1: Datenschutz und Datensicherheit

Ziele

Die Definitionen und die Abgrenzung der Begriffe "Datenschutz" und "Datensicherheit" sind hinreichend beschrieben, auch auf unseren Seiten. Daher nur die Kurzform:

  • Der Datenschutz fokussiert auf die informationelle Selbstbestimmung des Menschen. Letztlich geht es um den Schutz des Menschen und seines Rechts zu entscheiden, wer wann unter welchen Umständen Zugriff auf seine persönlichen Daten hat.
  • Die IT-Sicherheit zielt auf den Schutz der Daten: Schutz vor ungerechtfertigtem Zugriff, vor Verfälschung und Nichtverfügbarkeit (z. B. durch Verlust der Daten). Sie ist eine Voraussetzung für den Datenschutz.

Schwierigkeiten bei der Abgrenzung

Ein Grund für die schwierige Abgrenzung ist der irreführende Begriff "Datenschutz", weil es hier ja nicht primär um den Schutz der Daten geht.

Ein zweiter Grund besteht darin, dass viele verschiedene Definitionen existieren. Selbst bei der gleichen Behörde ist die IT-Sicherheit mehrfach definiert:

  • Einmal ist sie ein Prozess.
  • Dann ist sie ein Zustand. Genau genommen ein "Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind."
  • Und dann gibt es noch eine "Definition", die eigentlich keine ist, sondern nur die Ziele der IT-Sicherheit benennt.

@2: Gute Definitionen

Das führt direkt zur Frage, was eine gute Definition auszeichnet. Diese Frage ist auch für Sie relevant, wenn Sie beispielweise

  • in Ihrem QM-System (z. B. in Verfahrensanweisungen) Begriffe definieren müssen oder
  • die beste Definition auswählen wollen, falls es wie im Fall der IT-Sicherheit mehrere gibt.

Um dieses Instituts-Journal nicht unnötig in die Länge zu ziehen, habe ich die Ergebnisse und Erkenntnisse in einem neuen Fachartikel zusammengefasst.

@3: Aufgaben im Kontext Datenschutz und IT-Sicherheit

Ein präzises Verständnis davon, was mit Datenschutz und IT-Sicherheit gemeint ist, hilft dabei, die diesbezüglichen Aufgaben zu strukturieren.

  1. Eine Dimension bilden die Ziele, nämlich Vertraulichkeit, Integrität sowie Verfügbarkeit von Informationen bzw. Informationstechnik.
  2. Die zweite Dimension wird durch den Gegenstand dieser Bemühungen gebildet. In unserem Kontext sind das das Medizinprodukt und der Hersteller (Organisation).

Damit ergibt sich folgende Landkarte mit beispielhaften(!) Aspekten:

Ziel

Produkt

Organisation

Vertraulichkeit

Datensparsamkeit

Pseudonymisierung, Anonymisierung

Verschlüsselung

Rollenkonzepte und Konzepte für den Zugriff auf Daten im Produkt (auch im Notfall)

Konzepte für das Löschen von Daten im Produkt

Viele Aspekte eines ITSM (IT-Sicherheits-Managementsystems)
u. a.

Pseudonymisierung, Anonymisierung

Konzepte für Zugriff auf Daten in und durch die Organisation (z. B. durch Mitarbeitende im Rechenzentrum)

Konzepte für das Löschen von Daten (auch in Backups)

Integrität (auch bei böswilligen Angriffen)

Verschlüsselungstechniken

Auswahl von Bibliotheken

Produktarchitektur

Produkt-Testing (u. a. Penetration Testing)

Viele Aspekte eines ITSM, u. a. Netzwerksicherheit

Penetration Testing der Infrastruktur

Verfügbarkeit (auch bei böswilligen Angriffen)

Produktarchitektur

Viele Aspekte eines ITSM, u. a.

Redundanzen

Skalierung

Backup

Sonstige und übergreifende Aspekte der Konformität

Kompetenz der Mitarbeitenden in der Entwicklung

Umgang mit Entwicklungs-dienstleistern

Kompetenz der Mitarbeitenden im Rechenzentrum, Support etc.

Umgang mit Cloud-Anbietern

Wenn Sie künftig vor der Frage stehen, was beim Datenschutz getan werden muss, dann hilft Ihnen die obige Tabelle bei einer differenzierten Antwort.

Noch drei letzte Gedanken:

  1. Insbesondere DIGA-Hersteller müssen den Datenschutz und die IT-Sicherheit sowohl beim Produkt als auch bei der Organisation gewährleisten.
  2. Die neue Funkgeräterichtlinie (RED) wird die Cybersecurity (noch ein Begriff) explizit einfordern.
  3. Nutzen Sie unseren kostenlosen Leitfaden zur IT-Sicherheit, den auch die Benannten Stellen bei Audits und Reviews nutzen. Er beinhaltet auch die Anforderungen der FDA.

Mit herzlichen Grüßen

Christian Johner


Die nächsten Seminare und Veranstaltungen 

Derzeit finden alle Seminare online statt:

#1 Definitionen

Die Güte von Dokumenten hängt auch von der Präzision ab, mit der Begriffe definiert und angewendet werden. Das betrifft u. a.:

  • Technische Dokumentationen (z. B. Spezifikationen)
  • QM-Systeme (z. B. Verfahrensanweisungen)
  • Regulatorische Vorgaben (z. B. Gesetze und Normen)

Der neuste Artikel zeigt Ihnen, wie Sie

  • die Güte (v. a. Präzision) von bestehenden Definitionen beurteilen und
  • in drei Schritten eine eigene Definition schreiben.


Artikel lesen

#2 Aktualisierungen

Jede Woche aktualisieren wir Artikel. Dieses Mal besonders beachtenswert:

  • Jobangebote: u. a. von Black Forest Medical Group, Münchner Leukämielabor
  • IT-Sicherheit: Hinweise zur Funkgeräterichtlinie (RED) ergänzt
Johner Institut GmbH
Prof. Dr. Christian Johner

Reichenaustr. 1
78467 Konstanz
Deutschland

+49 (0) 7531 94500 20
info@johner-institut.de
Link zur Webseite
Geschäftsführer: Prof. Dr. Christian Johner
Register: HRB: 710768 - Amtsgericht Freiburg
Tax ID: DE292335387

You can subscribe here to the English version of this journal.

Wenn Sie diese E-Mail (an: unknown@noemail.com) nicht mehr empfangen möchten, können Sie sie hier abbestellen.