Anfang Dezember 2022 war das Krankenhaus von Versailles Opfer eines groß angelegten Cyberangriffs, der das Informationssystem lahmlegte. Dieser Angriff hat die Frage nach der Sicherheit von Gesundheitsdaten wieder in den Vordergrund gerückt, da diese sensiblen Informationen bei Cyberkriminellen, die sie im Dark Web verkaufen, besonders beliebt sind. Gesundheitseinrichtungen gehören zu den am häufigsten von Hackern anvisierten Zielen: 2021 wurden allein im Gesundheitssektor mehr als 730 Vorfälle registriert, das ist mehr als das Doppelte im Vergleich zum Vorjahr (Quelle). Glücklicherweise gibt es Lösungen von HDS-zertifizierten Dienstleistern, um diese Daten zu schützen und eine optimale Sicherheit für die Patienten zu gewährleisten, wie die Software Oodrive Work, die von der Université Libre de Belgique genutzt wird.
Sind Gesundheitsdaten in Frankreich schlecht geschützt?
Der Cyberangriff auf das Krankenhaus von Versailles ist bei Weitem keine Ausnahme. Einige Monate zuvor war das IT-System des Krankenhauses von Corbeil-Essonnes Ziel eines verhängnisvollen Angriffs, bei dem zahlreiche Gesundheitsdaten gestohlen und der Krankenhausbetrieb dauerhaft gestört wurde.
Muss man daraus schließen, dass Gesundheitsdaten in Frankreich schlecht geschützt sind? Diese Frage ist schwierig zu beantworten. Das eigentliche Problem liegt darin, dass den französischen Krankenhäusern keine ausreichenden Mittel für den Kampf gegen immer aggressivere und ausgeklügeltere Cyberangriffe zur Verfügung stehen. Angesichts der zahlreichen Probleme, mit denen die öffentlichen Krankenhäuser tagtäglich zu kämpfen haben (Personalmangel, Senkung der Mittelzuweisungen, Bettenschließungen …), geraten Themen wie Cybersicherheit und Datensouveränität zu oft ins Hintertreffen.
Ein klassisches Beispiel: die kontroverse Debatte rund um den Health Data Hub
Beim Austausch von Gesundheitsdaten ist die Lage noch etwas komplizierter. Die kontroverse Debatte, die die Einrichtung des Health Data Hub 2019 ausgelöst hat, zeigt die Grenzen der Regierungsinitiativen auf. Der HDH fasst alle Daten des Nationalen Systems der Gesundheitsdaten in Frankreich mit dem Ziel zusammen, die Qualität der Behandlung und die Betreuung der Patienten zu verbessern und die Forschung zu fördern.
Das Problem ist, dass das Hosting der Daten von Microsoft übernommen wird, einem Unternehmen, das dem amerikanischen Recht untersteht und damit auch dem Cloud Act, einem Gesetz, nach dem die amerikanische Regierung Einsicht in alle Daten fordern kann, die von einem Unternehmen mit Firmensitz auf amerikanischem Staatsgebiet gehostet werden. Auch wenn bereits davon die Rede ist, die Daten zu einer souveränen, französischen oder europäischen Lösung zu migrieren, dürfte dies nicht vor 2025 möglich sein … Vorausgesetzt, die Universitätskrankenhäuser, die über fast kostenlose Tools von Microsoft verfügen, lassen sich von dieser Migration überzeugen!
Das Thema Datenschutz geht mit der technologischen Unabhängigkeit von ausländischen Lösungen Hand in Hand. Dennoch verfügt das französische Ökosystem bereits über Cloud-Dienstleister, die in der Lage sind, Gesundheitsdaten vollkommen sicher zu hosten. Und diese sind heute dank der HDS-Zertifizierung leicht zu erkennen.
Welcher Rechtsrahmen für Gesundheitsdaten?
Bezüglich des Hostings in der Cloud und der Verarbeitung gilt für Gesundheitsdaten in Frankreich genau wie in Europa ein strenger Rechtsrahmen. Diese als „sensibel“ eingestuften Daten fallen in den Rechtsrahmen, der von der europäischen DSGVO vorgegeben wird, die wiederum in Landesrecht umgesetzt wird, in Frankreich unter der strengen Aufsicht der Datenschutzkommission CNIL. Dieser Rahmen zwingt die für die Datenverarbeitung Verantwortlichen, einen optimalen Schutz für die personenbezogenen Daten der Nutzer zu bieten, insbesondere hinsichtlich der Gesundheitsdaten.
So müssen alle (öffentlichen oder privaten) Einrichtungen, die diese Art von sensiblen Daten hosten oder nutzen, als HDS, also „Hoster von Gesundheitsdaten“, zertifiziert sein. Diese Zertifizierung hat zum Ziel, die Servicequalität der Hosting-Dienstleister von Gesundheitsdaten anhand einer Reihe von strengen Sicherheitsmaßnahmen zu garantieren. In der Praxis handelt es sich dabei um eine zusätzliche „Schicht“ der Norm ISO 27001 zur Sicherheit von Informationssystemen. Diese Zertifizierung wird von der Cofrac erteilt und setzt voraus, dass das antragstellende Unternehmen Audits gemäß ISO-Norm und HDS-Regelwerk unterzogen wurde.
Die Lösung Oodrive Work sichert Gesundheitsdaten: der Fall der ULB
Der Fall des Zentrums für neonatales Screening der Université Libre de Belgique, die die Lösung Oodrive Work seit Oktober 2022 nutzt, zeigt, wie wichtig es ist, ein Datenschutz-Tool eines HDS-zertifizierten Dienstleisters zu verwenden.
Das Screening-Zentrum analysiert die Ergebnisse der Blutproben von fast 50.000 Neugeborenen. Dieses systematische Screening ermöglicht eine Früherkennung von bei der Geburt noch nicht erkennbaren Krankheiten, damit sie in einem frühen Stadium besser behandelt werden können.
Nach Erhalt der Ergebnisse teilt die ULB diese mit den betroffenen Entbindungskliniken, die sich außerhalb des Universitätscampus befinden.
„Die Übertragung der Ergebnisse ist ein wichtiger Schritt beim Screening“. „Die Kommunikation zwischen dem Screening-Zentrum und den Entbindungskliniken ist also ein wichtiger Teil unserer Tätigkeit“, erläutert Lionel Marcelis, Laborleiter.
Es handelt sich dabei jedoch um ultrasensible Daten, deren Vertraulichkeit unbedingt gewährleistet werden muss. Das Zentrum suchte einen HDS-zertifizierten Cloud-Dienstleister, „da die bislang genutzten Lösungen nicht zufriedenstellend waren: zu schwerfällig, zu langsam und nicht sicher genug“.
Die Vorteile von Oodrive Work
Aus diesem Grund hat sich das Zentrum für Oodrive Work entschieden, der von Oodrive entwickelten kollaborativen Filesharing-Plattform für sensible Daten. Die Lösung, die der ULB bereits seit einigen Jahren bekannt ist, da sie von einem Partnerkrankenhaus genutzt wird, erfüllt alle Anforderungen des Screening-Zentrums: Sie ist schnell und intuitiv, bietet ein hohes Maß an Sicherheit, aber auch an Verfügbarkeit. Das ist besonders wichtig, da „die Ergebnisse potenziell von lebenswichtiger Bedeutung sind und den Entbindungskliniken daher so schnell wie möglich zur Verfügung stehen sollten“, erläutert Lionel Marcelis.
Dank Oodrive Work hat jetzt jede Entbindungsklinik Zugang zu einem gesicherten Bereich, in dem alle Kommunikationen zusammengefasst sind. Die HDS-Zertifizierung von Oodrive war also ausschlaggebend für die ULB, insbesondere weil die Gesundheitsdaten in französischen Datacentern gehostet werden.
Über das Beispiel der ULB hinaus zeigt die Sachdienlichkeit einer Lösung wie Oodrive Work, dass es möglich ist, in Frankreich über hochwertige, seriöse Tools zu verfügen, die die Sicherheit und Datensouveränität und damit auch die Vertraulichkeit der Daten gewährleisten. Und dies sollte für Gesundheitseinrichtungen schrittweise zu einer absoluten Priorität werden.