#59 Die Entwicklung des Datenschutzes

Subscribe to get the latest

on 2021-07-29 00:00:00 +0000

with Darren W Pulsipher, Jeremy Harris,

Darren Pulsipher, Chief Solution Architect, Intel, diskutiert mit Jeremy Harris, Assistant General Counsel - Privacy/Information Security, bei Sutter Health, was Datenschutz wirklich bedeutet und in welche Richtung er sich entwickeln könnte.


Keywords

#dataprotection #dataprivacy #incidentresponse #multicloud #zerotrust #cybersecurity


Nach dem Abschluss des Studiums der Rechtswissenschaften trat Jeremy direkt in das JAG Corps der US Air Force ein und diente neun Jahre lang als aktiver Offizier. Eine seiner Aufgaben war es, als Aktenverwalter für zwei verschiedene Büros tätig zu sein. Bei seiner letzten militärischen Aufgabe wechselte er seinen Fokus auf das Gesundheitswesen und arbeitete als Rechtsberater für Krankenhäuser im Nordosten. Nach seinem Ausscheiden aus dem aktiven Dienst (er ist immer noch in der Reserve), begann er als Rechtsberater in einem Krankenhaus zu arbeiten und ist jetzt bei Sutter Health.

Obwohl der rechtliche Rahmen für den Datenschutz derselbe ist, gibt es einige Unterschiede in Regierung und Privatsektor: der Ansatz, die Ziele und welche Vorschriften gelten. In der Regierung bedeutet Datenschutz, die Daten durch das Datenschutzgesetz zu schützen; geheime Dinge geheim zu halten. Obwohl es Ausnahmen gibt, wie das Informationsfreiheitsgesetz, sind die Systeme standardmäßig darauf ausgelegt, die Informationen zu schützen und nicht freizugeben.

Im Gesundheitswesen wird seit HIPAA im Jahr 1996, HITECH einige Jahre später und jetzt mit dem ONC Daten in die Häuser der Patienten und in ihre Geräte übertragen, und die Patienten können Dritten den Zugriff erlauben. “Angemessener Zugang” ist wahrscheinlich eine bessere Beschreibung als “Datenschutz”.

Die Bewegung im Bereich des Datenschutzes bedeutet mehr Zugang und mehr Kontrolle für Einzelpersonen. Als Patient haben Sie nicht nur das Recht auf Ihre Informationen, sondern Sie können auch Ihren Gesundheitsdienstleister anweisen, sie einer dritten Partei zur Verfügung zu stellen: einem Anwalt, einem Freund, einem anderen medizinischen Fachpersonal usw. Ein Patient kann auch ein papier- oder elektronisches Freigabemedium angeben, daher gibt es viele Rechte, die Patienten gewährt werden.

Diese Rechte zur Kontrolle eigener Daten gelten nicht nur im Gesundheitssektor. Wir sehen dies in der aktuellen Bewegung mit der Datenschutz-Grundverordnung (GDPR) und jüngsten Gesetzen in Brasilien, Kanada und China sowie einigen US-Bundesstaaten wie Kalifornien, Washington und Virginia.

Mit zunehmender Bedeutung der individuellen Rechte auf Zugang zu Datenschutzdaten wird sich die Art und Weise ändern, wie Organisationen Dinge verfolgen können. Große Unternehmen wie Google und Facebook bieten jetzt Optionen an, mit denen Nutzer ihre Daten löschen oder verhindern können, dass die Unternehmen sie auf verschiedene Weisen verkaufen. Tracking-Tools wie herkömmliche Cookies werden nicht mehr so relevant sein, daher muss es etwas anderes geben, das gezielten Werbetreibenden hilft.

Viele Daten sind natürlich bereits reguliert, wie zum Beispiel Beschäftigungsdaten. Die individuelle Kontrolle über Daten ist kein absolutes Recht; Unternehmen benötigen Daten, um funktionieren zu können, daher werden sie in der Lage sein, einige Daten zu behalten, aber es wird strenger reguliert werden. In den USA werden wir vor der Standardisierung mehr Komplexität und mehr Probleme haben. Wir haben 50 Bundesstaaten, von denen jeder seine eigenen Vorschriften hat.

Es gibt so viele Gesetze, wie es Definitionen von persönlichen Informationen gibt, was zu Konflikten führen kann. Sutter zum Beispiel hat viele Krankenhäuser in Nordkalifornien und einige Nebenstellen in Hawaii, Oregon und Utah. Sutter muss regelmäßig über die Vorschriften dieser Staaten auf dem Laufenden bleiben, aber wenn es zu einem Verstoß kommt, treten die Gesetze des Staates, in dem die betroffenen Personen leben, in Kraft. Manchmal sind die Gesetze so verfasst, dass Sutter das Gesetz am Wohnort der Patienten befolgen muss, anstatt am Unternehmenssitz, was die Sache kompliziert macht.

Manchmal ergibt es Sinn, diese Art von Problemen auszulagern, und es entsteht eine ganze Rechtsbranche, die Unternehmen bei der Einhaltung von Datenschutz- und Informationssicherheitsvorschriften unterstützt.

Von der IT-Seite aus gesehen bedeutet Datensicherheit, den Zugriff auf Dinge einzuschränken. Mit Datenschutz öffnen sich dagegen Türen für den Zugriff. Natürlich gibt es einen Validierungsprozess für den Zugriff, aber es besteht ein Balanceakt zwischen Sicherheit und Privatsphäre, der viel Arbeit sowohl auf rechtlicher als auch auf betrieblicher Seite erfordern kann.

Organisationen, die Apps entwickeln, die mit den Daten von Menschen umgehen, müssen verstehen, dass Datenschutzgesetze in jedem Land und Bundesstaat unterschiedlich sind und die Auswirkungen der Nutzung und Speicherung dieser Daten beachten sollten.

Jeremy, zusammen mit den Datenschutz- und Sicherheitsteams, engagiert sich mit den technischen Teams, manchmal sogar ab der Designphase, um sicherzustellen, dass alles den Vorschriften entspricht. Zum Beispiel wird er mit dem Team sprechen, das die Patientenportale entwickelt, um zu sehen, ob die geplanten Aktivitäten den Bestimmungen entsprechen. Außerdem hilft er dabei, Fragen zu beantworten, welcher Datenbanktyp am besten geeignet wäre oder ob ein Cloud-Anbieter in Übereinstimmung eingerichtet werden kann. Jeremy merkt, dass je mehr er sich selbst weiterbildet und Schulungen zu technischen Aspekten absolviert, desto hilfreicher kann er im Prozess sein.

Podcast Transcript