Heute eine E-Mail eines IT-Dienstleisters bekommen, der die wesentlichen Änderungen wie folgt zusammenfasst:
“Bei der Verwaltung von Gesundheitsdaten haben sich die Spielregeln durch die neue KDG-DVO massiv verschärft. Wir haben die Auswirkungen analysiert und sehen drei kritische Handlungsfelder:
- Absolutes Nutzungsverbot: Die Übermittlung personenbezogener Daten per Fax ist nun grundsätzlich untersagt (§ 25). Bestehende Prozesse müssen sofort auf einen sicheren Kanal umgestellt werden.“
Anmerkung: Nicht neu. Schon länger Ansicht der Aufsichtsbehörden (wie auch immer man dazu steht).
- “Ende-zu-Ende-Pflicht: Für sensible Daten ist die Ende-zu-Ende-Verschlüsselung nicht mehr optional, sondern die einzige zulässige Option.“
Anmerkung: Für meine Mandaten eigentlich auch nicht Neues.
- Neue IT-Standards: Themen wie At-Rest-Verschlüsselung, Multi-Faktor-Authentifizierung und integrierter Virenschutz beim Datentransfer sind nun als Standard festgeschrieben.”
Anmerkung: Verschlüsselung at Rest (Encryption at Rest) sichert ruhende Daten, die auf physischen Medien (Festplatten, Datenbanken, Cloud-Speicher) gespeichert sind, durch kryptografische Verfahren (oft AES-256). Sie schützt vor unbefugtem Zugriff bei Diebstahl oder Verlust von Datenträgern, indem Daten ohne den passenden Entschlüsselungsschlüssel unlesbar bleiben.
