References for Hospital Systems in the Cloud (Germany)
Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme
https://kh-digitalisierung.de/files/downloads/Haas_Schneider_Cloud-KIS-Gutachten.pdf
Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e FünftesBuch Sozialgesetzbuch (SGB V)
https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/Datenverarbeitung_au%C3%9Ferhalb_Deutschlands_FAQ.pdf?__blob=publicationFile&v=3
References:
- ENISA Cloud Computing Certification
https://resilience.enisa.europa.eu/cloud-computing-certification - BSI C5 Catalog –
https://www.bsi.bund.de/EN/Topics/CloudComputing/Compliance_Criteria_Catalogue/Compliance_Criteria_Catalogue_node.html - BSI B3S –
https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/Uebersicht-der-B3S/uebersicht-der-b3s_node.html - BSI Grundschutz
https://www.bsi.bund.de/EN/Topics/ITGrundschutz/itgrundschutz_node.html - DSK OH KIS –
https://www.datenschutzzentrum.de/artikel/1107-OH-KIS-Orientierungshilfe-Krankenhausinformationssysteme.html - DIGAV
- Bundesamt für Sicherheit in der Informationstechnik (Hg.) (2020): Kriterienkatalog Cloud Computing C5:2020.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.pdf?__blob=publicationFile&v=2 - Bundesministerium für Wirtschaft und Energie (BMWi) (Hg.) (2018): Orientierungshilfe zum Gesundheitsdatenschutz. November 2018.
https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/orientierungshilfe-gesundheitsdatenschutz.pdf?__blob=publicationFile&v=19 - Datenschutzkonferenz (2014): Anforderungen an den Schutz der Datenübermittlungen zwischen medizinischen Leistungserbringern und klinischen Krebsregistern.
https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/AnlageDSKKrebsregisterNovember2014.pdf?__blob=publication-File&v=3 - Deutsche Krankenhaus Gesellschaft (2019): Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus.
https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/B3S_KH_v1.1_8a_geprueft.pdf
IAPP article: How does GDPR apply to clinical trial sponsors outside EEA? Views of EEA DPAs
The authors actually reached out to the DPAs and polled them for the following questions. (written below as they were sent to the DPAs):
- Does the GDPR apply to a clinical trial sponsor based outside of the EEA if it is conducting clinical studies in the EEA?
- Answers were mostly YES or “Factual Analysis”
- Is patient data processed under a clinical trial considered “personal data” even if it is pseudonymized?
- Received Answers were YES
- If a clinical trial is being conducted in your jurisdiction, would the sponsor and the principal investigator be considered joint controllers of the personal data of the trial participants (data subjects)?
- Various views
-
Alternatively:
- Is the sponsor the data controller while the principal investigator acts as a processor on behalf of the sponsor?
- Is the principal investigator an independent data controller together with the sponsor?
NIST Releases Supplemental Materials for SP 800-53 and SP 800-53B: Control Catalog and Control Baselines in Spreadsheet Format
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
- Control Catalog Spreadsheet
The entire security and privacy control catalog in spreadsheet format
https://csrc.nist.gov/CSRC/media/Publications/sp/800-53/rev-5/final/documents/sp800-53r5-control-catalog.xlsx - Control Baselines Spreadsheet
The control baselines of SP 800-53B in spreadsheet format
https://csrc.nist.gov/CSRC/media/Publications/sp/800-53b/final/documents/sp800-53b-control-baselines.xlsx
A29WP wp216 Opinion 05/2014 on Anonymisation Techniques
Mozilla whitepaper: Trustworthy AI
Switzerland – revised FADP/DSG .. links (Rosenthal/Vasella)
David Rosenthal in Jusletter: “Das neue Datenschutzgesetz”
https://www.rosenthal.ch/downloads/Rosenthal-revidiertesDSG.pdf
Webinars with David Rosenthal: Revision Datenschutzgesetz: Zehn Schritte zur Umsetzung der neuen gesetzlichen Anforderungen für Unternehmen
https://www.vischer.com/know-how/webinare/article/revision-datenschutzgesetz-zehn-schritte-zur-umsetzung-der-neuen-gesetzlichen-anforderungen-fuer-unternehmen-38771/
Das revidierte Datenschutzgesetz – Empfehlungen zur Umsetzung
Deutsch – https://www.walderwyss.com/user_assets/publications/201118_Newsletter-146_D.pdf
English – https://www.walderwyss.com/user_assets/publications/201118_Newsletter-146_E.pdf
Germany GDPR damages table (GDPR Art 82): Latham & Watkins : DSGVO Schadenersatztabelle
EDPB: Guidelines 01/2021 on Examples regarding Data Breach Notification
ENISA: “Cloud Security for Healthcare Services” and “Procurement Guidelines for Cybersecurity in Hospitals”
Brand-new ENISA Report on Cloud Security for Healthcare Services
incl. threat catalog, security measures, names good practices
– “Medical Devices” as one of three examples.
Incl. GDPR requirements etc – nicely embedded in the discussion.
Also links to the ENISA “Procurement Guidelines for Cybersecurity in Hospitals” from last year
Procurement Guidelines for Cybersecurity in Hospitals
https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services
Cloud Security for Healthcare Services
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services