28. November 2012 Martin Penzes*

Gastkommentar: ELGA schreit nach Datensicherheit

Nun ist es fix, die Elektronische Gesundheitsakte (ELGA) wird eingeführt. Damit kommt es zu einem Super-GAU an Daten, denn es sollen alle Befunde und gesundheitsrelevanten Dokumente der Patienten in Österreich elektronisch gespeichert werden. [...]

Das österreichische Datenschutzgesetz (DSG 2000) besagt, dass Informationen über den Gesundheitszustand von Menschen zu besonders heiklen Daten zählen und deshalb zusätzlichen Verwendungsbeschränkungen unterliegen. Die medizinische Geschichte eines Menschen ist eine Ansammlung und Verknüpfung höchst sensibler Datensätze über einen langen Zeitraum. Gelangen solche Informationen aufgrund von Unachtsamkeit oder bösartiger Absichten in falsche Hände, können Existenzen zerstört werden. Es ist daher im Allgemein-Interesse, unsere elektronische Gesundheitsakte so sicher wie möglich zu gestalten.

Dazu muss das gesamte Datenarchivierungssystem vor externen sowie vor internen ­Gefahren abgesichert werden. Wie schützt man heikle Daten vor Gefahren von innen? Es ist eine einfache Rechnung, je mehr Menschen Zugang zu einem IT-System haben, desto unsicherer wird es. ELGA sieht ca. 100.000 Zugriffsberechtigte vor. Damit ist das Arztgeheimnis in Gefahr. Es reicht ein einziges schwarzes Schaf unter den Zugriffsberechtigten, um die Existenzen von Menschen und damit einhergehend das Projekt zu gefährden. Diese Daten sind einfach zu heikel um sich damit zu spielen. Deshalb bedarf es eines internen Informationssicherheitssystems. Darin wird definiert, welche Personen Zugriff auf welche Daten haben und welche Rechte damit verbunden sind. Folgende Mindestanforderungen muss das System erfüllen: Rechteverwaltung, Zugriffsschutz, Protokollierung, Schutz vor Spionage, Schutz vor Datenbeschädigung, Passwortmanagement und Dateiverschlüsselung.

Plattformen mit erhöhtem Schutzbedarf verlangen Zertifizierungen, wie beispielsweise das Sicherheitszertifikat ISO 27001. Die gegenwärtige Konstruktion von ELGA erlaubt solche Zertifizierungen aber nicht. Darüber hinaus sollen Patientendaten in ELGA unverschlüsselt abgespeichert werden. Üblicherweise erfolgt eine Trennung zwischen dem Erstellen der Sicherheitsrichtlinien und Policies und deren Umsetzung. Nicht so bei ELGA, die ELGA GmbH gibt sich selbst die Sicherheitsvorgaben und sorgt auch selbst für deren Umsetzung.

* Martin Penzes ist Geschäftsführer von Safetica Österreich.


Mehr Artikel

News

Mehr als nur ein Compliance-Kriterium: Cybersicherheit ist eine Angelegenheit der Unternehmenskultur

5. Dezember 2025 Nicholas Jackson *

Ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz. […]

Michael Maier, Director Austria iteratec (c) iteratec
Kommentar

KI-Transformation in Unternehmen – Eine Revolution in fünf Schritten 

4. Dezember 2025 Michael Maier*

Wie weit wird die Evolution der Künstlichen Intelligenz gehen und wie wird sie sich auf Wirtschaft und Gesellschaft als Ganzes auswirken? Was für Privatpersonen interessante Fragen sind, sind für Unternehmer existenzielle Themen, schließlich müssen diese wirtschaftlich gegenüber Konkurrenten bestehen, von denen viele bereits an einer effektiven Nutzung von KI arbeiten. […]

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*