14.05.2018 | Thomas Kessler
Informationelle Selbstbestimmung: Wie gehen wir mit der anstehenden Umwälzung um?
Die für jedermann spürbare Auswirkung der Europäischen Datenschutzgrundverordnung (DSGVO) erschöpft sich bislang in de mühseligen Bestätigung von Cookie Policies. Hinter den Kulissen ist aber eine Umwälzung im Gange, die das heutig Selbstverständnis der Sicherheitsverantwortlichen in den Grundfesten erschüttern kann. Diese Umwälzung ist i verschiedenen neuen Regulativen bereits sichtbar wie beispielsweise dem Elektronischen Patientendossier (EPD): Im EP entscheiden die Patientinnen und Patienten selber, wie sie Ihre Dokumente klassifizieren und welche Ärzte auf ih Dossier zugreifen dürfen. Dieselbe Stossrichtung verfolgt die europäische Payment Services Directive (PSD2) für da digitale Bankgeschäft.
Auch wenn es länger dauern wird als geplant: Über kurz oder lang wird der Kunde seine Rechte und Pflichten als mündige Dateneigentümer selber wahrnehmen (müssen). Es ist noch nicht absehbar, wie sich dies auf die Informationssicherhei auswirken wird. Darf der Anbieter seinen Kunden erlauben, auf grundlegende Sicherheitsmassnahmen zu verzichten? Muss e dies sogar tun, um die Datenhoheit des Kunden nicht über Gebühr einzuschränken? Und wenn nicht, wo liegt die Grenze de Vertretbaren?
Bei der Beantwortung dieser Fragen sollten wir zwei Bereiche separat betrachten: Erstens die Sorgfaltspflicht ode den «Grundschutz». Dieser muss sicherstellen, dass die Sicherheit so funktioniert, wie sie (vom Kunden!) konfigurier wurde. Die fehlerfreie Programmierung, der sichere Systembetrieb oder die Isolation der Dienstleistung von verschiedene Gefahrenquellen gehören in diesen Bereich. Hier müssen der Sicherheitsbeauftragte und der Regulator wie bis anhin di gültigen Qualitätsstandards definieren und auch durchsetzen. Zweitens die Sicherheit innerhalb der Dienstleistung Hier wird der Kunde erweiterte Konfigurationsmöglichkeiten einfordern, um seine Präferenzen abzubilden. Es wird Kunde geben, die ihre Bequemlichkeit über die Datensicherheit stellen, bei anderen wird es gerade umgekehrt sein. Also gan ähnlich wie in der «analogen Welt», wo Autokäufer und Bauherren bei ihrem Kaufentscheid den Faktor Unfallsicherheit bzw Einbruchsicherheit eines Produktes durchaus berücksichtigen. Die Informationssicherheit kann auch in diesem Bereic gestärkt aus dem Prozess hervorgehen. Sie muss aber als Qualitätskennzeichen und Markenelement ganz neu positioniert un professionell gepflegt werden.
Thomas Kessler hat an der Information Security in Healthcare Conference vom 7. Juni 2018 ein Referat zu den Chancen un Risiken der informationellen Selbstbestimmung im spezifischen Kontext des EPD gehalten. Die entsprechenden Folien finde sie auf unserer Website.
Compliance Governance, Risk und Compliance (GRC)
