Die für jedermann spürbare Auswirkung der Europäischen Datenschutzgrundverordnung (DSGVO) erschöpft sich bislang in der mühseligen Bestätigung von Cookie Policies. Hinter den Kulissen ist aber eine Umwälzung im Gange, die das heutige Selbstverständnis der Sicherheitsverantwortlichen in den Grundfesten erschüttern kann. Diese Umwälzung ist in verschiedenen neuen Regulativen bereits sichtbar wie beispielsweise dem Elektronischen Patientendossier (EPD): Im EPD entscheiden die Patientinnen und Patienten selber, wie sie Ihre Dokumente klassifizieren und welche Ärzte auf ihr Dossier zugreifen dürfen. Dieselbe Stossrichtung verfolgt die europäische Payment Services Directive (PSD2) für das digitale Bankgeschäft.

Auch wenn es länger dauern wird als geplant: Über kurz oder lang wird der Kunde seine Rechte und Pflichten als mündiger Dateneigentümer selber wahrnehmen (müssen). Es ist noch nicht absehbar, wie sich dies auf die Informationssicherheit auswirken wird. Darf der Anbieter seinen Kunden erlauben, auf grundlegende Sicherheitsmassnahmen zu verzichten? Muss er dies sogar tun, um die Datenhoheit des Kunden nicht über Gebühr einzuschränken? Und wenn nicht, wo liegt die Grenze des Vertretbaren?

Bei der Beantwortung dieser Fragen sollten wir zwei Bereiche separat betrachten:
Erstens die Sorgfaltspflicht oder den «Grundschutz». Dieser muss sicherstellen, dass die Sicherheit so funktioniert, wie sie (vom Kunden!) konfiguriert wurde. Die fehlerfreie Programmierung, der sichere Systembetrieb oder die Isolation der Dienstleistung von verschiedenen Gefahrenquellen gehören in diesen Bereich. Hier müssen der Sicherheitsbeauftragte und der Regulator wie bis anhin die gültigen Qualitätsstandards definieren und auch durchsetzen.
Zweitens die Sicherheit innerhalb der Dienstleistung. Hier wird der Kunde erweiterte Konfigurationsmöglichkeiten einfordern, um seine Präferenzen abzubilden. Es wird Kunden geben, die ihre Bequemlichkeit über die Datensicherheit stellen, bei anderen wird es gerade umgekehrt sein. Also ganz ähnlich wie in der «analogen Welt», wo Autokäufer und Bauherren bei ihrem Kaufentscheid den Faktor Unfallsicherheit bzw. Einbruchsicherheit eines Produktes durchaus berücksichtigen. Die Informationssicherheit kann auch in diesem Bereich gestärkt aus dem Prozess hervorgehen. Sie muss aber als Qualitätskennzeichen und Markenelement ganz neu positioniert und professionell gepflegt werden.

Thomas Kessler hat an der Information Security in Healthcare Conference vom 7. Juni 2018 ein Referat zu den Chancen und Risiken der informationellen Selbstbestimmung im spezifischen Kontext des EPD gehalten. Die entsprechenden Folien finden sie auf unserer Website.