Sicher und compliant: medizinische Daten in der Cloud

Compliance as a Service in der Praxis

Carl Zeiss Meditec ist ein führender Anbieter von Medizintechnik in der Augenheilkunde. Für das durchgängige Management der Patientendaten von der Diagnose bis zum OP-Bericht bietet das Unternehmen seit Kurzem eine medizinische Cloud-Plattform an. Die direkt gruppe hat die Zertifizierung der Lösung nach ISO 27 001 unterstützt.

800 000 Eingriffe pro Jahr allein in Deutschland – die Kataraktoperation ist die weltweit häufigste Operation überhaupt. Sie wird erforderlich, wenn die Augenlinse sich eintrübt oder ihre Brechkraft sich ändert. In diesem Fall spricht man vom Grauen Star oder Katarakt. Bei der Katarakt-OP wird die natürliche Linse entfernt und durch eine künstliche Linse (Intraokularlinse, IOL) ersetzt. Mit der ZEISS Cataract Suite markerless können Ärztinnen und Ärzte die Untersuchungs-Messdaten für die softwarebasierte OP- Planung und die computergestützte Operation selbst nutzen.

Reibungsloser Datenfluss zwischen Praxis und OP

Innerhalb einer Klinik oder einer größeren Praxis bleiben die Daten dabei stets in einem abgeschlossenen Netzwerk. Immer häufiger kommt es jedoch dazu, dass die biometrischen Daten des erkrankten Auges in der Praxis einer Ärztin oder eines Arztes erhoben werden, die oder der die Operation anschließend als Belegärztin oder -arzt in einer Augenklinik oder ambulant in einem OP-Zentrum vornimmt. Damit die Patientendaten dabei sicher und entsprechend den rechtlichen Vorschriften immer dort zur Verfügung stehen, wo sie gebraucht werden, hat das Team von Thorsten Bischoff, Programm-Manager bei Carl Zeiss Meditec, eine Cloud-Plattform entwickelt.

Medizinische Daten in der Cloud? Thorsten Bischoff, Carl Zeiss Meditec, erfüllt die hohen Anforderungen an die Sicherheit seiner Cloud-Lösung mit einem Information-Security-Management-System, das nach ISO 27 001 zertifiziert wurde.

Medizinische Daten in der Cloud? Thorsten Bischoff, Carl Zeiss Meditec, erfüllt die hohen Anforderungen an die Sicherheit seiner Cloud-Lösung mit einem Information-Security-Management-System, das nach ISO 27 001 zertifiziert wurde.

Die Hauptschwierigkeit bestand darin, Sicherheit und Compliance der kompletten Lösung sicherzustellen. Dazu gehören die Übertragung in die Cloud, die Cloud-Infrastruktur, die App auf dem Mobilgerät und die Wireless-Übertragung zum Operationsmikroskop. Die technischen Aufgaben waren schnell gelöst. So werden die Daten beispielsweise durchgängig verschlüsselt. Kopfzerbrechen bereiteten Bischoff und seinem Team hingegen andere Fragen:

„Wie erhält man Informationssicherheit in einer Cloud-Umgebung dauerhaft aufrecht? Und wie können wir das nachweisen?“

Hinzu kam, dass die Lösung weltweit einsetzbar sein soll. Daher müssen Regularien unterschiedlicher Länder berücksichtigt werden. Aber wie findet man die einschlägigen Vorschriften überhaupt?

 

Eine Darstellung des Compliance-as-a-Service-Konzepts der direkt gruppe ist erschienen unter:
www.silicon.de/41648721/compliance-as-a-service-erleichtert-unternehmen-die-cloud-nutzung

Serverless-Infrastruktur fördert Datenschutz

Bischoff informierte sich frühzeitig über Sicherheit und Compliance in der Cloud. Eine zentrale Maßnahme bestand darin, mit Amazon Web Services (AWS) einen Partner zu wählen, der global agiert und seinerseits die Sicherheits- und Compliance-Anforderungen weltweit kennt und erfüllt. Dank der Serverless-Technologie von AWS nutzt und bezahlt Carl Zeiss Meditec nur die Kapazität, die tatsächlich benötigt wird. Ungenutzte Ressourcen werden automatisch heruntergefahren, die Daten gelöscht. So arbeitet die Lösung nicht nur kosteneffizient, sondern sie erfüllt auch grundlegende Anforderungen an Datensparsamkeit und Datenschutz.

Plausibles Konzept

Nächste strategische Schritte waren der Aufbau eines Information-Security-Management-Systems (ISMS) und eine Zertifizierung nach ISO 27 001, um unter anderem die General Data Protection Regulation (GDPR) der Europäischen Union zu erfüllen.

„Das standardisierte Vorgehen, das die direkt gruppe und TÜV Trust IT dafür erarbeitet haben, hat uns überzeugt“, sagt Bischoff.

Michelle Stehle, Business Consultant bei solutions direkt, berichtet: „Die Basis des ISMS lieferten bei Carl Zeiss Meditec vorhandene Strukturen, Richtlinien und Prozesse.“ Für Stehle und ihr Team ging es darum, diese bestehenden Regelungen und Prozesse um ISMS-spezifische Regeln zu ergänzen. Dazu wurden auch neue Prozesse definiert. Stehle erklärt: „Die Herausforderung bestand darin, das ISMS im Kontext der vorhandenen Policys so aufzubauen, dass es weder Widersprüche noch Regelungslücken gibt.“

Insgesamt hat das Team zehn Policys formuliert, die mehrmals auf ihre Wirksamkeit geprüft wurden. Schnittstellen, Rollen und Prozesse wurden gemeinsam mit dem Kunden definiert, implementiert und vom Management freigegeben, bevor im September 2018 das komplette Regelsystem zertifiziert werden konnte.

Besonders freuen sich Michelle Stehle und Thorsten Bischoff über das Lob für Carl Zeiss Meditec im Audit. Dort  hieß es: „Man erlebt es selten, dass das ISMS bereits nach zwölf Monaten so steht, dass man es leben kann. Die meisten Organisationen brauchen eher zwei Jahre, und auch dann ist das System noch sehr lückenhaft.“

Die Zusammenarbeit mit direkt gruppe und TÜV Austria funktionierte reibungslos, die Ziele des Projekts wurden planmäßig erreicht: der Aufbau des ISMS, die kontinuierliche Überwachung der Informationssicherheit und die Zertifizierung durch TÜV Austria. Somit ist die Lösung für Deutschland, Frankreich, die USA und Australien verfügbar. Der Launch in weiteren Ländern erfolgt aktuell schrittweise.

Mehr Produkte mit Cloud-Anbindung

Darüber hinaus haben die Einführung der Cloud-Technologie und der dazugehörigen Compliance-Prozesse organisatorische Veränderungen bewirkt, die neue wirtschaftliche Chancen eröffnen. Beispielsweise verfügt Carl Zeiss Meditec heute über einen Chief Information Security Officer (CISO) und Mitarbeitende für den Cloud-Betrieb. „Diese neuen personellen Ressourcen und das gewonnene Know-how in Sachen Cloud werden wir für die Entwicklung und den Betrieb weiterer Produkte mit Cloud-Anbindung verwenden“, sagt Bischoff. Außerdem wird das ISMS auf weitere Produkte angewendet werden.


Dieser Artikel erschien in der direkt informiert 03/2018. Weitere Artikel aus der Ausgabe lesen Sie hier: https://blog.direkt-gruppe.de/direkt-informiert/haltung/