Cybersecurity in Gesundheitseinrichtungen

Mit welchen IT-Sicherheitsrisiken haben Gesundheitseinrichtungen und Spitäler in Zukunft zu rechnen?

„IT-Sicherheit“ unter der Lupe?

• Welche Begrifflichkeiten existieren im Bereich „IT-Sicherheit“ und welche Konsequenzen ergeben sich daraus?

Etablierung und Integration von Netzwerken in Krankenhäusern  /Gesundheitseinrichtungen

• Welche Schutzziele bzw. Zwecke verfolgt die IT-Sicherheit und was gilt es zu beachten?     

Welche Bereiche betrifft IT-Sicherheit?     

• Rechtlicher Bereich: Den Dschungel der Gesetze durchblicken
• Technischer Bereich
• Organisatorische Bereiche
• Finanzieller / ökonomischer Bereich
• Psychologischer Bereich
• Gesellschaftlicher Bereich  

Was hat IT-Sicherheit mit vernetzten Medizinprodukten zu tun?       
 

Technische Herausforderungen und Probleme bei vernetzbaren medizinischen IT-Systemen & KI?

• Medizintechnik IT: Was sind die Gefahren?
• Prozessorientierter Strukturierter Ansatz (PSA)
• Wie kann die Sicherheit gewährleistet werden, damit Patienten nicht zu Schaden kommen?

B3S Leitfaden für mehr IT Sicherheit in Kliniken und Gesundheitseinrichtungen in Deutschland (DKG) –
Grundlage für einen sicheren Krankenhausbetrieb?!

Ihr Experte: Mahmoud El-Madani, MSc., Geschäftsführer und Allgemein beeidigter und gerichtlich zertifizierter Sachverständiger, Vertex Activity e.U.

Datensicherheit als wertvolles Gut – Wie verwundbar sind Ihre Daten?

DSGVO in Gesundheitseinrichtungen – Synergien schaffen zwischen Datenschutzmanagement (DSMS) und Informationssicherheitsmanagement (ISMS)

• Die Prioritäten nach der DSGVO und aktuelle Beispiele aus der Rechtssprechung
  • Amtswegige Kontrollen  / Haftung und Strafen / Einwilligung und Risikoüberwälzung
• Risikobasierter Ansatz und die Einschätzung des geschuldeten Aufwands: die Perspektive der Betroffenen und die Pflichten des Verantwortlichen (Handlungs- und Dokumentationspflichten)
  • Patienten: Patientenmonitorsysteme / Datenaustausch in Gesundheitseinrichtungen intern und extern / ELGA / online Terminvereinbarungen
  • MitarbeiterInnen: Betroffene und verpflichtende Gehilfen zugleich (Interessensabwägung)
• Innovation und Forschung: eHealth / KI / Labore und Pharmaindustrie / Datenaustausch
  • Datenschutz-Folgeabschätzung und besondere Rechtsgrundlagen (FOG, GTeIG, ect.)
• Kooperation und Rollenverteilung: Primary Health Care Center / Belegärzte / Privatpatienten

NIS & Zertifizierungen von Cyber Sicherheit in der EU

Größtes Risiko in der IT-Sicherheit: Schwachstelle Mensch: Bedrohungen intern und extern  

• Die Pflicht des Verantwortlichen (der Einrichtung) zur Sensibilisierung und Bewusstseinsbildung
  • Fehlende Digitalkompetenz als Risikofaktor
  • Haftung der Organisation und Haftungsregress gegenüber MitarbeiterInnen
• Risikominimierung durch optimales Präventionsmanagement
  • IT –Sicherheitsmonitoring im Spannungsverhältnis zum MitarbeiterInnen-Datenschutz
  • Sorgfältige Balance zwischen Vertrauen in Kompetenz und Kontrolle des Dienstgebers

Integriertes (gemeinsames) Management-System: Zertifizierungen nach Art. 42 DSGVO und das Verhältnis zu etablierten Standards (ISO 21001, ISO 9001, ISO 27.701)

Ing. Mag. Dr. iur. Christof Tschohl, Gesellschafter und wissenschaftlicher Leiter der Research Institute AG & Co KG – Zentrum für digitale Menschenrechte

Wie wird sich ein Digitales Europa 2021 – 2027 in Bezug
auf Gesundheitseinrichtungen entwickeln?

Wo liegen die Kernthemen und Kernkompetenzen, die es zu erlangen gilt?

Effizientes Prozessmanagement gewährt Sicherheit und Stabilität

• Sicherung von Prozessen gewährt Sicherstellung der Qualität und somit Optimierung von Prozessen
• Up2date sein – Strategische Planung: anpassen, optimieren, neugestalten
• Welche Authentifizierungsmaßnahmen und Verschlüsselungstechnologien stehen zur Verfügung?
• Wie erkennt man Datenlecks und kann diese zeitgerecht und langfristig bekämpfen?
• Cyberhygiene (Patch Management)
• Qualitätskontrolle durch Integrität

Notfallmanagement und Informationssicherheitsmanagementsystem (ISMS)

• Etablierung eines betrieblichen Kontinuitätsmanagement-Systems dient zur Identifikation von kritischen Systemen, Komponenten und Prozessen mit erhöhtem Risiko
• Überprüfung und fortlaufende Kontrolle
• Melde- und Veröffentlichungspflicht
• Liegt die Verantwortung auf Führungsebene? Wer haftet bei Ausfall des Systems
• Gefährdungsmanagement – weitergedacht!

Aufbau und Etablierung von CERTS (Computer Emergency Response Team)

• a) welche Anforderungen können durch eine sektorenspezifische Sicherheitsvorkehrung lt. §17 Abs. 2 NISG für den Gesundheitsbereich von Interesse sein?
• b) welche Vorteile hat die Etablierung eines HealthCERT für das Gesundheitswesen in Österreich und der EU bei Cyberbedrohungen?

Ihr Experte: Ing. Franz Hoheiser-Pförtner, MSc, CISSP, Vorstandsmitglied, Cyber Security Austria Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur

Wenn der Notfall zur Krise wird: Der Krisenmanagementzyklus und seine wichtigsten Werkzeuge

• Essentielle Aufgaben des vorbereitenden Krisenmanagements
  
  • Krisenmanagementplan: Was er alles enthalten sollte
  • Informationsmanagement und Lagebewusstsein: Die Schlüssel zum Überleben der Krise
  • Training, Evaluierung und organisationales Lernen
• Wie man die Krise möglichst gut übersteht
  
  • Lageführung: Immer wissen was Sache ist
  • Führungsarbeit: Die richtigen Entscheidungen zum richtigen Zeitpunkt treffen
  • Mit Crew Ressource Management das eigene Team optimal einsetzen
  • Krisenkommunikation: Wissen, wer wann welche Information hat, will und braucht
• Aus Krisen, Notfällen und Beinahe-Situationen lernen: Das After-Action-Review als standardisiertes Werkzeug zur Aufarbeitung.

Ihr Experte: Thomas Prinz, BA MA, Crisis Management Expert, Krisenmeisterei