IT-SiG SL - Informationssicherheitsgesetz Saarland
IT-SiG SL - Informationssicherheitsgesetz Saarland |
| Sektor | Gesundheit |
|---|---|
| Branche | Medizinische Versorgung |
| Ebene | Landesrecht |
| Bundesland | Saarland |
| Rechtsakt | Gesetzlich |
Informationssicherheitsgesetz Saarland
§§ 4-8
§ 4 Abwehr von Gefahren für die Informationssicherheit
(1) Der zentrale IT-Dienstleister kann nach Maßgabe dieser und der nachfolgenden Regelungen die zur Erfüllung seiner Aufgaben als Betreiber des Landesdatennetzes und Auftragsverarbeiter nach dem Gesetz zur Errichtung eines Landesamtes für IT-Dienstleistungen vom 2. Dezember 2015 (Amtsbl. I S. 967), geändert durch Gesetz vom 24. Oktober 2017 (Amtsbl. I S. 1005), in der jeweils geltenden Fassung, notwendigen und angemessenen Maßnahmen ergreifen, um Gefahren für die Informationssicherheit des Landesdatennetzes, aller daran angeschlossenen und mit ihm und miteinander verbundenen informationstechnischen Systeme (IT-Systeme), der genutzten Anwendungen und der darüber verarbeiteten Informationen zu erkennen, einzugrenzen und abzuwehren. Dies umfasst die Ermächtigung zur Verarbeitung personenbezogener Daten, soweit die Verarbeitung zur Erfüllung der nach diesem Gesetz übertragenen Befugnisse erforderlich ist.
(2) Der zentrale IT-Dienstleister kann zum in Absatz 1 genannten Zweck, soweit dies erforderlich ist, die beim Betrieb von Informationstechnik des Landes sowie die an den Schnittstellen des Landesdatennetzes und anderen Netzen und innerhalb des Landesdatennetzes anfallenden Protokolldaten und Inhaltsdaten erheben und automatisiert auswerten.
(3) Zur Ermöglichung einer automatisierten Auswertung nach Absatz 2 können die an das Landesdatennetz angeschlossenen Stellen dem zentralen IT-Dienstleister die bei ihnen gespeicherten Protokolldaten auf Anfrage zur Verfügung stellen.
(4) Sofern nicht die nachfolgenden Vorschriften eine weitere Verwendung gestatten, muss eine automatisierte Auswertung der Daten unverzüglich erfolgen und müssen die Daten nach erfolgtem Abgleich sofort und spurlos gelöscht werden. Die Speicherung und sonstige Verarbeitung nach dem ursprünglichen Verwendungszweck bleiben hiervon unberührt. Daten, die weder dem Fernmeldegeheimnis unterliegen noch Personenbezug aufweisen, sind von den Verwendungsbeschränkungen dieser Vorschrift ausgenommen.
(5) Personenbezogene Daten, die zum Zweck der Gewährleistung der Informationssicherheit nach diesem Gesetz ausgewertet werden dürfen, dürfen nicht für andere Zwecke, insbesondere nicht zur Verhaltens- und Leistungskontrolle, verarbeitet werden.
§ 5 Auswertung von Protokolldaten
(1) Bestehen tatsächliche Anhaltspunkte für das Vorliegen einer Gefahr für die Informationssicherheit, dürfen Protokolldaten über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus gespeichert und automatisiert ausgewertet werden, soweit und solange dies zur weiteren Eingrenzung und Abwehr dieser Gefahr erforderlich ist. Entsprechendes gilt, wenn diese Daten zur Verfolgung damit zusammenhängender Straftaten erforderlich sein können.
(2) Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach Absatz 1 gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist.
(3) Sofern im Rahmen der automatisierten Auswertung ein Verdachtsfall auf eine Gefährdung der Informationssicherheit entdeckt wird und für die weitere Analyse die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch die Leitung des zentralen IT-Dienstleisters angeordnet werden. Die Entscheidung ist zu dokumentieren. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Vorschriften zulässig.
§ 6 Auswertung von Inhaltsdaten
(1) Für die Datenverarbeitung von Inhaltsdaten gilt § 5 mit der Maßgabe, dass eine Speicherung für höchstens zwei Monate zulässig ist, die Speicherung und Auswertung von der Leitung des zentralen IT-Dienstleisters und von einer oder einem Bediensteten des für die Fachaufsicht über den zentralen IT-Dienstleister zuständigen Ministeriums mit der Befähigung zum Richteramt angeordnet sind und dies zum Schutz der technischen Systeme unerlässlich ist. Die Entscheidung ist zu dokumentieren.
(2) Die Anordnung gilt längstens für zwei Monate und kann höchstens um einen weiteren Monat verlängert werden.
§ 7 Weitergehende Auswertungen
(1) Eine über die in den §§ 5 und 6 hinausgehende Verarbeitung der Protokoll- und Inhaltsdaten ist nur zulässig,
1.wenn bestimmte Tatsachen den hinreichenden Verdacht begründen, dass die Daten Hinweise auf Gefahren für die Informationssicherheit, etwa durch Schadprogramme oder Sicherheitslücken, Angriffe oder unbefugten Datenzugriff enthalten und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen
oder
2. wenn sich der Verdacht nach Nummer 1 bestätigt und dies zur Abwehr von Gefahren für die Informationssicherheit erforderlich ist.
Werden Daten, welche die richterliche Unabhängigkeit berühren, nach dieser Vorschrift verarbeitet, ist der jeweils zuständigen obersten Dienstbehörde unverzüglich zu berichten. Berührt die Datenverarbeitung die Aufgabenwahrnehmung anderer unabhängiger Stellen oder ein Berufs- oder besonderes Amtsgeheimnis, ist die betroffene Stelle unverzüglich zu unterrichten. Die jeweiligen Stellen nach Satz 2 und 3 können vom zentralen IT-Dienstleister Auskunft über die Verarbeitung von Daten nach dieser Vorschrift verlangen.
(2) Soweit möglich, ist bei der Datenverarbeitung technisch und organisatorisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden und sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Dies gilt auch in Zweifelsfällen.
§ 8 Sicherheitskonzept
(1) Von den Ermächtigungen nach den §§ 4 bis 7 darf nur Gebrauch gemacht werden, wenn hierfür durch den zentralen IT-Dienstleister ein Sicherheitskonzept erstellt wurde und die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen in einem Steuerungssystem dokumentiert, überwacht und fortgeschrieben wird. Das Sicherheitskonzept ist vor jeder Veränderung der eingesetzten technischen Systeme zu aktualisieren. Für jede Veränderung des Sicherheitskonzeptes gilt Satz 1 entsprechend.
(2) Das Sicherheitskonzept nach Absatz 1 bedarf in Bezug auf den Umgang mit der Verarbeitung personenbezogener Daten im Sinne des § 4 sowie von Protokoll- und Inhaltsdaten im Sinne der §§ 5 bis 7, soweit es sich um Daten der Landesmedienanstalt Saarland (LMS) oder privater Rundfunkveranstalter und Telemedienanbieter bei der LMS handelt, der Zustimmung der Landesmedienanstalt Saarland.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Brönneke/Kipker, GesR 2015, 211 (Medizinische IT-Innovationen und Datenschutz)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hanika, PflR 2008, 572 (RFID im Gesundheitswesen)
- Herkenhöner/Fischer/de Meer, DuD 2011, 870 (Outsourcing im Pflegedienst)
- Hornung/Sixt, CR 2015, 828 (IT-Enhancement im Gesundheitswesen)
- Huneke/Hanzelmann, RDG 2009, 256 (Transsektoraler Datentransfer)
- Jandt/Hohmann, K&R 2015, 694 (Medizinische Apps und Datenschutz)
- Jandt/Roßnagel/Wilke, NZS 2011, 641 (Outsourcing Datenverarbeitung Patientendaten)
- Kingreen/Kühling, Gesundheitsdatenschutzrecht, Studienband zum öffentlichen Recht Band 13, Baden-Baden 2015;
- Kircher, Der Schutz personenbezogener Daten im Gesundheitswesen, Baden-Baden 2016
- Kremer, CR 2017, 367 (Neues BDSG)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Liedke, DuD 2015, 806 (Datenschutzrechtliche Fragen der digitalisierten Pflegedokumentation)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Menzel, RDV 2013, 59 (Auftragsdatenverarbeitung im Gesundheitswesen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Orientierungshilfe des BFDI: Datenschutz und Telemedizin Anforderungen an Medizinnetze
- Paul/Gendelev, ZD 2012, 315 (Outsourcing von Krankenhausinformationssystemen (KIS))
- Peil, WzS 2014, 174 (Datenschutz in der Pflege)
- Pitschas, NZS 2009,177 (Elektronische Gesundheitskarte)
- Rehmann/Heimhalt, A&R 2014, 250 (Rechtliche Aspekte von Health-Apps)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
- Schütze/Kamler, DMW 2007, 453 (Probleme der Telemedizin)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer, RDG 2012, 272 (Datenverarbeitung und Datenschutz im Gesundheitswesen, technische Möglichkeiten, rechtliche Grundlagen)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VG Gelsenkirchen, B. v. 14.10.2013 – 17 L 304/13 (Sammlung von Patientendaten, Datenschutz)
- Vedder, DuD 2014, 821 (Datenschutz in Arztpraxen)
- Weichert, DuD 2014, 831 (Big Data im Gesundheitswesen)
- Winandy, DuD 2012, 419 (Informationssicherheit in der Arztpraxis)
-
Ergebnis 41
DIN EN ISO 13606-4:2019-06
Deutsch: Medizinische Informatik - Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit
Englisch: Health informatics - Electronic health record communication - Part 4: Security
Ergebnis 42
DIN EN ISO 13606-5:2019-06
Deutsch: Medizinische Informatik - Kommunikation von Patientendaten in elektronischer Form - Teil 5: Interface Spezifikation
Englisch: Health informatics - Electronic health record communication - Part 5: Interface specification
Ergebnis 43
DIN CEN ISO TS 14441, DIN SPEC 58996:2014-04
Deutsch: Medizinische Informatik - Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA-Systemen (ISO/TS 14441:2013); Deutsche Fassung CEN ISO/TS 14441:2013
Englisch: Health informatics - Security and privacy requirements of EHR systems for use in conformity assessment (ISO/TS 14441:2013); German version CEN ISO/TS 14441:2013
Ergebnis 44
DIN EN ISO 22600-1:2015-02
Deutsch: Medizinische Informatik - Privilegienmanagement und Zugriffssteuerung - Teil 1: Übersicht und Policy-Management (ISO 22600-1:2014); Deutsche Fassung EN ISO 22600-1:2014
Englisch: Health informatics - Privilege management and access control - Part 1: Overview and policy management (ISO 22600-1:2014); German version EN ISO 22600-1:2014
Ergebnis 45
DIN EN ISO 22600-2:2015-02
Deutsch: Medizinische Informatik - Privilegienmanagement und Zugriffssteuerung - Teil 2: Formale Modelle (ISO 22600-2:2014); Deutsche Fassung EN ISO 22600-2:2014
Englisch: Health informatics - Privilege management and access control - Part 2: Formal models (ISO 22600-2:2014); German version EN ISO 22600-2:2014
Ergebnis 46
DIN EN ISO 22600-3:2015-02
Deutsch: Medizinische Informatik - Privilegmanagement und Zugriffssteuerung - Teil 3: Implementierungen (ISO 22600-3:2014); Deutsche Fassung EN ISO 22600-3:2014
Englisch: Health informatics - Privilege management and access control - Part 3: Implementations (ISO 22600-3:2014); German version EN ISO 22600-3:2014
Ergebnis 47
DIN EN 80001-1 VDE 0756-1:2011-11
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010); Deutsche Fassung EN 80001-1:2011
Englisch: Application of risk management for IT-networks incorporating medical devices - Part 1: Roles, responsibilities and activities (IEC 80001-1:2010); German version EN 80001-1:2011
Ergebnis 48
IEC TR 80001-2-2:2012-07
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 2-2: Leitfaden zur Angabe von Bedingungen für die Kommunikationssicherheit von Medizinprodukten, Risiken und Risikobeherrschung
Englisch: Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
Ergebnis 49
IEC TR 80001-2-9:2017-01
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 2-9: Anwendungsleitfaden - Leitfaden für die Verwendung von Assurance Cases zur Bestätigung der Übereinstimmung mit IEC/TR 80001-2-2 Kommunikationssicherheit
Englisch: Application of risk management for it-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC TR 80001-2-2 security capabilities