Anforderungen an die (Fern) Wartung medizinischer IT-Systeme
Die Weiterentwicklung der IT-Systeme im Gesundheitswesen bedingt einen deutlichen Zuwachs in der Komplexität der eingesetzten Systeme. Aus diesem Grund sind heutzutage kein Krankenhaus und keine Arztpraxis in der Lage, diese Systeme ohne die Unterstützung durch den jeweiligen Hersteller zu betreiben. Insbesondere ist eine (regelmäßige) Wartung der Systeme durch den Hersteller unabdingbar. U.a. bedingt durch die hohe Anzahl von Systemanwendern und der vergleichsweise geringen Anzahl von Personen, die eine Wartung durchführen können, ist eine Wartung vor Ort nur selten realisierbar, die Regel ist die Fernwartung.
Dabei erfolgt der Zugriff von Fremdfirmen auf interne Systeme eines medizinischen Leistungserbringers aus unterschiedlichen Gründen. In einigen Fällen greifen Fremdfirmen auf Anwendungen zu, um die Betreuung der Nutzer bzgl. der Anwendung zu gewährleisten und diesen bei Fragen Unterstützung anzubieten. In anderen Fällen entwickeln Fremdfirmen Anwendungen, testen oder betreiben Systeme im Auftrag des verantwortlichen medizinischen Leistungserbringers. Diese unterschiedlichen Fernzugriffsmöglichkeiten können im Einzelfall eine unterschiedliche rechtliche Bewertung und unterschiedliche technische und organisatorische Schutzmaßnahmen erforderlich machen.
Da bei einer Fernwartung nicht ausgeschlossen werden kann, dass der Dienstleister auf personenbezogene Daten des Auftraggebers zugreift, kommt der Fernwartung auch eine nicht zu unterschätzende datenschutzrechtliche Relevanz zu. Gerade auch vor dem Hintergrund der gestiegenen datenschutzrechtlichen Anforderungen der EU-Datenschutzgrundverordnung (DS-GVO) müssen diese Anforderungen in der rechtlichen, technischen und organisatorischen Ausgestaltung einer Fernwartung berücksichtigt werden.
Da das Thema Fernwartung somit unterschiedliche Bereiche adressiert, ist das vorliegende Dokument wie folgt aufgebaut:
Zunächst adressiert es die organisatorischen Anforderungen, die an eine Fernwartung gestellt werden sollten.
Im nächsten Abschnitt werden die sicherheitstechnischen Anforderungen thematisiert.
Danach geht der Artikel auf die datenschutzrechtlichen Implikationen ein, die mit einer Fernwartung verbunden sind.
Da die Fernwartung auch einige Herausforderungen auf vertraglicher Ebene stellt, wird im darauffolgenden Abschnitt die vertragliche Seite thematisiert.
Weil eine Fernwartung mit nicht unerheblichen Risiken einhergeht, finden sich im nächsten Kapitel Ausführungen zum Thema "Risikoanalyse".
Um den Lesern eine Handreichung hinsichtlich der Vorgehensweise zu geben, findet sich im siebten Abschnitt eine entsprechende Checkliste.
Um den Praxisbezug herzustellen folgt zum Ende hin noch ein Beispiel, wie eine Fernwartung in der Praxis umgesetzt werden kann bzw. sollte.
Dabei stellt diese Ausarbeitung eine Praxishilfe dar, soll also bei der Abarbeitung der Thematik helfen. D.h. wenn im folgenden im Rahmen der Anforderungsdarstellung von "muss", "sollte" oder "könnte" die Rede ist, handelt es sich immer noch um eine Empfehlung, wie vorzugehen ist.
Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/legalcode.
