Digital-Gesetz: C5 für Cloud-Dienste im Gesundheitswesen
- 22.08.2024
- Lesezeit 3 Minuten
Im Juli 2024 traten mit dem Digital-Gesetz (DigiG) neue Vorgaben für die Cloud-Nutzung im Gesundheitswesen in Kraft. Durch die Regelung der Nutzung von Cloud-Diensten soll für eine sichere Verarbeitung von Gesundheitsdaten nach geltenden Datenschutzstandards gesorgt werden. Der Schutz von sensiblen Gesundheitsdaten soll weiter verbessert werden. Nachweisen können Gesundheitsdienstleister beziehungsweise die Verarbeiter ihrer Daten das im SGB V vorgeschriebene Maß an Sicherheit durch ein C5-Testat. Die neue Regelung umfasst alle Cloud-Dienstleistungen innerhalb der EU.
C5 – die Kurzschreibweise für den Cloud Computing Compliance Criteria Catalogue – ist der Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) und umfasst Mindestanforderungen an sicheres Cloud Computing, welche nach dem „Stand der Technik“ umzusetzen sind. Nach geltenden Regulierungen kann ein C5-Testat nur durch eine Wirtschaftsprüfungsgesellschaft ausgestellt werden.
Was bedeutet die neue Regelung für Gesundheitsdienstleister?
• Die Verarbeitung von Gesundheitsdaten ist erlaubt – jedoch unter strikten Voraussetzungen
Nach dem neuen Gesetzestext ist die Verarbeitung von Gesundheitsdaten explizit erlaubt. Jedoch gelten hier als Voraussetzung strenge Vorschriften. Es wird verlangt, Cloud-basierte Services nach dem sogenannten „Stand der Technik“ zu betreiben. Dieser wird vorgegeben durch den C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
• Nicht nur Gesundheitsdienstleister sind von der neuen Regelung betroffen
Hat der Gesundheitsdienstleister Cloud-basierte Services ausgelagert, ist darauf zu achten, dass die Regelungen sich auf alle an der Datenverarbeitung Beteiligten beziehen. So reicht es nicht aus, wenn ein Dienstleister ein C5-Testat vorweist. Sofern Leistungen von Unterauftragnehmern für den Cloud-Service erforderlich sind, müssen auch deren Sicherheitsmaßnahmen und Kontrollen geprüft werden. Zusätzlich wird verlangt, dass die „datenverarbeitende Stelle“ eine Niederlassung im Inland unterhält.
• Der C5 deckt die wichtigsten Themenbereiche der Informationssicherheit ab
Neben grundlegenden Themen wie der Organisation der Informationssicherheit, Compliance und physischer Sicherheit stellt der C5 auch tiefergehende Anforderungen. Dazu gehören der Aufbau eines Identitäts- und Berechtigungsmanagements, die Regelung des Umgangs mit Sicherheitsvorfällen und der Umgang mit Ermittlungsanfragen staatlicher Stellen.
• Die neuen Bestimmungen unterliegen strengen Umsetzungsfristen
Bis zum Juli 2025 reicht die Vorlage eines C5-Typ-1-Testats aus. Danach wird ein Typ-2-Testat verlangt, welches neben der Konzeption des Sicherheitssystems auch die Wirksamkeit der umgesetzten Maßnahmen im Berichtszeitraum prüft.
Die hohen Anforderungen in Kombination mit straffen Fristen erfordern eine zeitnahe Umsetzung. Dazu gehört eine Analyse der Prozesse – sowohl auf der eigenen Seite als auch auf der der Dienstleister.
Baker Tilly unterstützt bei allen Schritten auf dem Weg zum C5-Testat: initiales Readiness Assessment zur Bestimmung des Reifegrades, Typ-1-Prüfung zur Angemessenheit und abschließende Typ-2-Prüfung der Wirksamkeit.