Privacy + Security: CH-DSG, CH-e-ID, EU-DSGVO, EU-GDPR – all for „the best privacy by design“ ?!

Chance wahrnehmen – auch für die Digitalisierung
Der Prozess zum Erlangen der GDPR-Compliance bis 25. Mai 2018 ist eine Chance, sich mit der Sicherheit und dem Schutz der eigenen Daten kritisch auseinanderzusetzen, Licht in die «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und Vertrauen zu schaffen. Man sollte hier begleitet werden von der Analyse (z.B. Risiko- und Compliance-Bewertung) über das Ergreifen geeigneter technischer und organisatorischer Massnahmen (z.B. auch Datenschutz-Sensibilisierungs-Trainings und detaillierte Aufklärung der Mitarbeiter und Kunden bezüglich z.B. Einsatz von „work analytics / monitoring“ mittels Technologien wie „data loss prevention DLP“, „legal hold“, „data classification / encryption“, next Generation Firewall NGWF“, „unified threat Management UTM, „mobile device Management MDM“, „bring your own device BYOD“) bis hin zur Erfolgskontrolle (z.B. auch Assessments, Penetration-Tests).

Vertrauen in Erfahrung und Engagement – Der Kunde profitiert von Erfahrungen 
Durch langjährigen Erfahrungen aus z.B. eigenem Rechencenter-Betrieb und des ICT-Beratungs-Angebots für Organisationen sollten spezialisierte Anbieter engagieren für die Bedürfnisse und zukunftsorientierten Massnahmen. Zusätzlich sollte der Anbieter als sehr engagierter, zertifizierter Partner auf aktuellste Entwicklungen und spezieller Zusammenarbeit / Service Level Agreement SLA mit den Technologie-Anbietern basieren. Allenfalls auch mittels zusätzlichen Verbandsaktivitäten und Fachexperten-Gruppenmitgliedschaften in speziell auch aktuellen Gesetzesvernehmlassungen und normativen Bereichen sollte diese Expertise weiter durch das aktuellste Wissen / Networking gefördert werden.

Die nötigen Schritte – mit Unterstützung von Partnern

  • Analyse + Klassifizierung: Wo sind welche persönliche, kritische Daten im Unternehmen?
  • Regulieren + Labeling: Zugang zu und Verarbeitung von persönlichen Daten
  • Schutz und Audit der Datensicherheit in technischer und organisatorischer Sicht
  • Berichte, Anfragehandling, Automatisierung, Dokumentation, Monitoring, Alarmierung

Diese teilweise umfassende Massnahmen können ebenfalls als weitere Chance und Mehrwert erstklassigen Schutz bieten vor Klagen im Hinblick auf geistiges Eigentum (intellectual property IP) und vor Risiken in der Cloud. In partnerschaftlicher Zusammenarbeit mit unseren Kunden sind wir bestrebt, ein Umfeld zu schaffen, in dem Entwickler, Unternehmer, Unternehmen und Kunden „vertrauensvoll und geschützt“ Innovationen schaffen können in einem „Security Development LifeCycle“.

Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem 15. Mai 2018 der Fall.

Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.

Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:

Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.

Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “security minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.

Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.

In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.

Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.

Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.

Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.

«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).

Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.

Die Zukunft wird geprägt werden von (hoffentlich) security minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.

Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».

 

Advertisements

eHealth: Mögen die digitalisierenden Geister, die wir riefen, uns wohlgesinnt sein

Siehe Interview in Ausgabe April 2017 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Dr. med. Bettina Schlagenhauff ist praktizierende Ärztin, Mitgründerin und Partnerin von eigenen Arztpraxen. Nebst diversen Mitgliedschaften, Vorstandstätigkeiten und Lehrtätigkeit engagierte sie sich unter anderem auch in der AG eHealth der schweizerischen Ärztegesellschaft FMH. Sie ist vorsichtig optimistisch für den rechtzeitigen und fachlich anwendbaren Abschluss des Gesetzgebungsprozesses zum Bundesgesetz über das elektronische Patientendossier (EPDG). Gemäss ihrer Einschätzung werden die grossen Herausforderungen eher bei der praktischen organisatorischen Umsetzung auf der Ebene der angeschlossenen Praxen oder Akteure der Stammgemeinschaften liegen

„Die Patienten-Informationen und Daten – auch im Rahmen des Arztgeheimnisses – unterlagen schon immer der Maxime von Security und Privacy. Durch die fortwährende Digitalisierung von älteren oder neuen Patientenakten war und wird es immer anspruchsvoller, dieses Informations-Universum unter Kontrolle zu halten

„Viele neue Themen scheinen adaptierbarer zu werden und sollten nicht durch zu starre Regulierung behindert oder gar verhindert werden.“

eHealth: Die Medizin gerät zwischen Machbarkeit, Finanzierbarkeit und Wünschbarkeit

#epdg #ehealth #digitalisierung #gesundheitskosten http://www.avenir-suisse.ch/63955/digitalisierung_die-medizin-geraet-zwischen-machbarkeit-finanzierbarkeit-und-wuenschbarkeit

Siehe Interview in Ausgabe März 2017 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

logo

Dr. Patrick Dümmler ist Senior Fellow bei Avenir Suisse und Forschungsleiter „Offene Schweiz“. Der unabhängige Think Tank entwickelt mit einer liberalen Werthaltung Ideen für die Zukunft der Schweiz. Dazu greift Avenir Suisse frühzeitig relevante Themen auf, um die öffentliche Diskussion mit innovativen Lösungsansätzen zu beleben und so einen Beitrag zur Stärkung des Standorts Schweiz zu leisten. Unabhängig von der Tätigkeit für Avenir Suisse ist Patrick Dümmler Cluster Manager des Health Tech Cluster Switzerland und damit im Fokusthema eHealth und Digitalisierung aktiv.

Die Medizin gerät zwischen Machbarkeit, Finanzierbarkeit und Wünschbarkeit

„Gemäss der Untersuchung von digital.swiss beträgt der Ausschöpfungsgrad der neuen digitalen Lösungen im Gesundheitswesen der Schweiz noch magere 39%. Wir stecken damit erst am Anfang.“

„Nicht nur technologische, sondern auch mentale und regulatorische Hürden sind für die Digitalisierung des Gesundheitswesens zu überwinden.“

Digitalisierung in eHealth – Das EPDG setzt auf internationale Standards und ermöglicht so modulare Weiterentwicklungen


Adrian Schmid ist Leiter eHealth Suisse, als Koordinationsorgan Bund-Kantone. Er ist sich bewusst, dass der Weg zum ePatientendossier über viele Herausforderungen und Hürden führen wird. Als Kompetenz- und Koordinationsstelle von Bund und Kantonen wird er uns sein Team sich bemühen, diesen Weg so gut wie möglich fachlich und koordinierend zu begleiten.

„Bisher gab es in der Schweiz fast nur proprietäre Eigenentwicklungen, die sehr rasch an Grenzen stossen. Das ePatientendossier dagegen setzt auf internationale Standards und ermöglicht so modulare Weiterentwicklungen und Vernetzungen in sehr viele Richtungen“.

Die Einführung des ePatientendossiers muss noch für einige Jahre als „lernendes Projekt“ verstanden werden. Ein komplexes Vorhaben dieser Art kann nicht von Anfang an mit einer Trefferquote von 100% reguliert werden

Siehe Interview in Ausgabe Januar 2017 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Digitalisierung in eHealth – Ein langer Weg liegt vor uns, aber einer mit disruptivem Innovationspotenzial – trotz oder wegen regionaler Umsetzung

acf212ed-8d50-44c8-b968-7ef8ee88cd8a-large

Nicolai Lütschg ist Geschäftsführer der Stammgemeinschaft E-Health Aargau. Er ist vorsichtig optimistisch für den rechtzeitigen Abschluss des Gesetzgebungsprozesses zum Bundesgesetz über das elektronische Patientendossier (EPDG). Gemäss seiner Einschätzung werden die Schwierigkeiten aber nicht im Abschluss des Gesetzgebungsprozesses, sondern bei der Umsetzung auf kantonaler oder regionaler Ebene liegen.

«Der Patient wird völlig neue Mittel erhalten, den Zugriff auf seine medizinischen Daten im EPD zu steuern.»

«Wir konnten unsere Erfahrung einbringen und gewisse zentrale Punkte bereinigen, die für uns und für das gesamte E-Health-Ökosystem in der Schweiz Innovationskiller gewesen wären.»

Siehe Interview in Ausgabe Dezember 2016 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Digitalisierung in eHealth / CH-Gesundheitswesen – Die Zukunft nicht ins Ausland verbannen

FDP-Präsidentin Petra Gössi äussert Bedenken mit dem bisherigen Verlauf des Gesetzgebungsprozesses zum elektronischen Patientendossier (EPDG) / eHealth. Für ihren Geschmack werden zu viele Details zu stark und entsprechend zu eingrenzend geregelt. Dies verhindert Innovation in der Digitalisierung, welche die Schweiz generell und einzelne Industrie-Bereiche speziell ganz dringend braucht.

Mit dem EPDG (elektronischen Patientendossier) und E-Health werden Bereiche reguliert, die Generationen prägen werden und auch informations-ethische Aspekte aufwerfen. Es geht um personensensitive Daten bei welchen die Datenhoheit und mindestens Mitbestimmung der Datennutzung letztlich beim Patient und Bürger obliegt.

«Man versucht, den digitalen Raum über den gleichen Leisten wie den physischen zu schlagen – obwohl diese beiden Sphären grundsätzlich anders funktionieren.»

Auch unter Aspekten von möglichst zukunfts-offenen Systemen mit auch Offenheit für künftige Adaptionen von neuen, noch teilweise unbekannten Innovationen sind wir gefordert.

«Die Zukunftsneutralität solcher Vorlagen ist absolut zentral, wenn wir dereinst die Früchte der Digitalisierung tatsächlich ernten wollen.»

Siehe Interview in Ausgabe November 2016 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP