DSP-Toolkit: Datensicherheit beim NHS

In diesem Artikel widmen wir uns den 10 Data Security Standards des National Data Guardian und der Frage, wie das DSP Toolkit verwendet wird, um die Einhaltung dieser Standards zu überprüfen. Wer ist verpflichtet, es auszufüllen und welche Herausforderungen sind damit verbunden? Außerdem zeigen wir Ihnen, wie Sie mit Hilfe der Berechtigungsmanagement-Software tenfold die Compliance-Anforderungen der 10 Sicherheitsstandards umsetzen können.

Das von NHS Digital bereitgestellte Data Security and Protection Toolkit (DSPT) ist ein kostenloser Online-Fragebogen, der auf den 10 Datensicherheitsstandards des National Data Guardian basiert. Er besteht aus so genannten Assertions (Aussagen), die wiederum in 179 evidence items (Beweisgegenstände bzw. Fragen) unterteilt sind.

Alle Organisationen, die im englischen Gesundheitswesen tätig sind – von Krankenhäusern über Pflegeheimen bis hin zu Hausärzten – müssen das DSP-Toolkit 1-2x pro Jahr ausfüllen, um zu ermitteln, inwieweit sie die vom Department of Health and Social Care festgelegten Anforderungen an die Daten- und Informationssicherheit erfüllen – insbesondere die 10 Datensicherheitsstandards des National Data Guardian.

Da sich Datensicherheitsstandards laufend ändern werden auch die Anforderungen des DSP-Toolkit regelmäßig überarbeitet und aktualisiert. Dadurch wird sichergestellt, dass das DSPT stets mit den aktuellen Best Practices übereinstimmt. Aus diesem Grund ist auch eine jährliche oder halbjährliche Vervollständigung verpflichtend.

Die Schlüsselwörter lauten: Verantwortlichkeit und Compliance. Da sich die Menschen ihrer Datenschutzrechte immer bewusster werden, gewinnen die Bereiche Datenschutz und Vertraulichkeit auch für Organisationen zunehmend an Bedeutung.

Der Zweck des DSPT ist es, diesen Menschen und all jenen, mit denen Sie zusammenarbeiten – Hausärzten, NHS-Diensten, Auftraggebern, Aufsichtsbehörden – zu signalisieren, dass Ihre Organisation mit vertraulichen Patientendaten ordnungsgemäß und sicher umzugehen vermag. Ein hohes Maß an Verantwortlichkeit steigert das öffentliche Vertrauen, dass die NHS und ihre Partnerorganisationen mit vertraulichen Daten umgehen kann. Dies wiederum senkt die Wahrscheinlichkeit, dass Patienten ihre Zustimmung zur Weitergabe persönlicher Daten an diese Organisationen zurückziehen.

Das DSP-Toolkit hilft Organisationen außerdem dabei, sich gegen Datenmissbrauch zu schützen, indem es sie dazu verpflichtet, die Einhaltung der wichtigsten Punkte der Datenschutz-Grundverordnung (DSGVO) nachzuweisen. Organisationen können ihr vervollständigtes DSPT veröffentlichen, um dieses Vertrauen weiter zu stärken.

Alle Organisationen, die Zugang zu vertraulichen NHS-Patientendaten und -Systemen haben/brauchen oder haben möchten müssen das DSP-Toolkit ausfüllen.

Während Kategorie 1 & 2 Organisationen das DSPT 2x pro Jahr vervollständigen müssen, müssen Kategorie 3 & 4 Organisationen dies nur 1x pro Jahr tun. Außerdem müssen Kat. 1 & 2 Organisationen 116 der 179 Beweisgegenstände beantworten, Kat. 3 & 4 nur jeweils 42.

Das DSPT ist ein umfangreicher und detaillierter Fragebogen. Die 179 Beweisgegenstände, von denen 166 verpflichtend sind, werden als Beweisgegenstände bezeichnet, weil sie zur Untermauerung Ihrer Antworten Beweise vorlegen müssen. Manchmal reicht eine schriftliche Antwort, manchmal wird ein Dokument verlangt (z. B. eine Excel-Tabelle oder PDF-Datei).

Das Ausfüllen von 166 Fragen ist ein zeitaufwändiger Vorgang, der ein hohes Maß an Genauigkeit und Organisationstalent erfordert. Das Ausfüllen des DSPT ist eine umfangreiche Aufgabe, die nicht bis zur Deadline aufgeschoben werden sollte. Es sollte ein fortlaufender Prozess sein, bei dem das ganze Jahr über regelmäßig Informationen hinzugefügt und aktualisiert werden.

Wenn Sie als größere Organisation nicht über die entsprechenden Prozesse und Arbeitsabläufe verfügen, die Ihnen dabei helfen, die Nachweise überall dort zu erbringen, wo das DSP-Toolkit sie verlangt, haben Sie ein Problem.

tenfold ist eine Berechtigungsmanagement-Software, die komplexe Berechtigungsprozesse automatisiert und vereinfacht. Die Software richtet sich an Organisationen mit 100+ Anwendern und ist daher am besten geeignet, Organisationen der Kategorie 1 und 2, die eine große Menge an Patientendaten und Anwendern zu verwalten haben, bei der Vervollständigung des DSP-Toolkits zu unterstützen.

tenfold kann Sie bei der Einhaltung der 10 Data Security Standards, insbesondere der Standards 1 und 4, hervorragend unterstützen. Viele Aufgaben in der Benutzerverwaltung, für die Ihre IT-Administratoren meist wertvolle Zeit opfern müssten, können Sie mit tenfold automatisieren. tenfold stellt außerdem umfangreiche Berechtigungs-Reports bereit, mit Info darüber wer auf was und warum Zugriff hat und wer ihn gewährt hat. Diese Reports können sowohl bei internen als auch externen Audits verwendet werden.