Best Practices für das Datenrisikomanagement im Gesundheitswesen

Warum Datenrisikomanagement im KI-gestützten Gesundheitswesen so wichtig ist

Gesundheitsorganisationen, die KI-Tools und prädiktive Analysen nutzen, weiten häufig ihre Nutzung von Cloud-, Fernzugriffs- und digitalen Diensten aus, was die Sicherung von Patientendaten komplexer macht.

„KI kann ohne Zugriff auf zuverlässige, hochwertige Datensätze nicht effektiv funktionieren“, sagt Shannon Murphy, Senior Manager für globale Sicherheits- und Risikostrategie bei Trend Micro . „Aber je mehr Daten man ihr zuführt, desto größer wird die Angriffsfläche für Risiken.“

Sie warnt, dass sich die Strategien zum Risikomanagement im Gleichschritt mit diesen Ambitionen weiterentwickeln müssen , da KI mit jedem neuen Tool oder Endpunkt mehr Möglichkeiten zur Gefährdung schafft.

Henry Vernov, leitender Produktmanager für das Gesundheitswesen bei Citrix , betont, wie dringend es ist, die Expositionspunkte zu reduzieren, insbesondere in Umgebungen, in denen Ärzte und Personal von mehreren Geräten oder Standorten aus auf sensible Systeme zugreifen.

„Wenn Patientendaten zwischen Geräten, Apps und Clouds verschoben werden, birgt jeder Schritt ein Risiko, wenn er nicht auf Arbeitsbereichsebene gesperrt ist“, sagt er.

Für Gesundheitsorganisationen , die KI in mehreren klinischen Arbeitsabläufen einsetzen , sind die Integrität und der Schutz dieser Datenaustausche von größter Bedeutung.

LESEN SIE MEHR: Nutzen Sie Daten und KI für bessere Ergebnisse im Gesundheitswesen.

Datenherausforderungen für Gesundheitsorganisationen

Gesundheitsorganisationen stehen im Umgang mit Daten vor vier zentralen Herausforderungen, sagt Nicholas Jackson, Leiter der Cybersicherheitsdienste bei Bitdefender . Dazu gehören fragmentierte Altsysteme, betriebliche Gegebenheiten, die ungewöhnliche Risiken mit sich bringen, hochsensible Daten und ein hoher Compliance-Aufwand.

„Gesundheitsumgebungen basieren auf einer Mischung aus veralteter Infrastruktur und neueren Tools verschiedener Anbieter“, sagt er. Die Kommunikation zwischen diesen Systemen ist oft schlecht, was zu Datensilos und inkonsistenten Standards führt, die Integration und Governance erschweren.

Jackson weist darauf hin, dass es in einer kritischen Umgebung wie einem Operationssaal für jeden Kliniker oft unpraktisch ist, sich während eines Eingriffs in seine persönlichen Konten einzuloggen.

„Gemeinsamer oder allgemeiner Zugriff wird manchmal aus der Not heraus genutzt, was die Risiken hinsichtlich Datenintegrität, Insider-Bedrohungen und Verantwortlichkeit erhöht“, sagt er.

Gleichzeitig erfordern HIPAA, die Datenschutz-Grundverordnung und andere Vorschriften eine strenge Kontrolle der Gesundheitsdaten.

„Die konsistente Anwendung dieser Maßnahmen auf fragmentierten Systemen in lokalen und Cloud-Umgebungen sowie bei unterschiedlichen Benutzerpraktiken ist eine erhebliche, anhaltende Herausforderung“, sagt Jackson.

Adam Winston, Field CTO von WatchGuard , sagt, dass Richtlinien, die die Verwendung von KI-Anwendungen regeln, intern in Organisationen implementiert werden müssen.

„Allzwecktools, die von Endbenutzern eingesetzt werden, sollten nicht zum Verarbeiten oder Hochladen geschützter Gesundheitsinformationen oder geistigen Eigentums verwendet werden. Suchen Sie stattdessen nach speziell entwickelten Produkten, die den HIPAA-Regeln entsprechen oder auf die Automatisierung einiger dieser Aufgaben ausgerichtet sind“, sagt er.

Jackson empfiehlt, dass Unternehmen zunächst ihre Daten klassifizieren und zuordnen: „Wenn Sie nicht wissen, was Sie haben oder wo es sich befindet, agieren Sie blind.“

„Integrieren Sie Datenschutz und Sicherheit – wie Endpunktschutz und erweiterte Erkennung und Reaktion – von Anfang an in Ihre Systeme, nicht erst im Nachhinein“, sagt er.

Regelmäßige Risikobewertungen, strenge Zugriffskontrollen , Verschlüsselung und kontinuierliche Sensibilisierungsschulungen für die Mitarbeiter (nicht nur einmal im Jahr) sollten zur Standardpraxis gehören.

„Diese Maßnahmen sind nicht optional; sie sollten als obligatorisch für den Schutz sensibler Gesundheitsdaten angesehen werden und sind Schlüsselelemente des Sicherheitsmanagements“, sagt Jackson.

ZUGEHÖRIG: Folgendes müssen IT-Leiter im Gesundheitswesen über das Risikomanagement von Drittanbietern wissen.

Risikomanagement mit Innovation und Compliance in Einklang bringen

Aus Murphys Sicht scheinen die Vorteile des Einfallsreichtums und der Einführung von KI in der Gesundheitsbranche die Risiken zu überwiegen.

„Ich bin äußerst ermutigt von den Innovationen in meinem Kundensegment im Gesundheitswesen, darunter Forschungskliniken und Universitätskliniken“, sagt sie. „Diese Institutionen gehen nicht leichtfertig mit der Einführung um, sondern gehen unglaublich aggressiv vor.“

Aus operativer Sicht und unter Berücksichtigung der Cybersicherheit führt ein Datensicherheitsmanagement über den gesamten Lebenszyklus hinweg zu zwei positiven Ergebnissen: einem geringeren Risiko von Sicherheitsverletzungen und reibungsloseren KI-Erlebnissen.

„Risikomanagement ist eine proaktive Strategie, und Proaktivität sichert die Fähigkeit, immer auf dem neuesten Stand zu bleiben“, sagt Murphy. „Es ist eine philosophische Strategie, die sich von Ihrer Innovationspraxis auf Ihre Sicherheits- und Compliance-Praxis ausweiten lässt.“

Auf diese Weise, sagt sie, trage die Sicherheit maßgeblich zur Innovation bei und ermögliche es Unternehmen, schnell und sicher zu agieren und dabei weniger technische Schulden zu machen.

Jackson fügt hinzu, dass Risikorahmen schnellere und sicherere Innovationen unterstützen, wenn sie frühzeitig in die Entwurfs- und Entwicklungsphasen integriert werden.

„Compliance wird zu einem natürlichen Ergebnis und nicht zu einem Last-Minute-Problem. Das reduziert langfristige Probleme und Herausforderungen“, sagt er. „Das Ziel sollte immer sein, dass Sicherheit, Risikomanagement und Compliance nahtlos zusammenarbeiten und nicht als getrennte Vorgänge betrachtet werden.“