apotheken cyber risiko cyberrisk apotheke DenPhaMedCyber-Schutz für Apotheken

Sensible Daten müssen besonders abgesichert werden

Was genau ist eine Cyber-Schutz-Versicherung und brauchen Apotheken einen solchen Schutz? Leider sind nicht erst seit der Einführung der EU-DSGVO, die neue und verschärfte Bußgeldbestimmungen festgeschrieben hat, ebenso viele Panikverbreiter wie Schönredner unterwegs, die diese Fragen in ihrem Sinne ausschlachten. Das erschwert sowohl eine sachliche Diskussion als auch eine verantwortliche und risikogerechte Absicherung.

Fakt ist: Die Gesetzeslage hat sich mit der EU-DSGVO signifikant verändert, aber das ist kein Grund für Panik. Fakt ist nämlich auch, dass das Gesetz vor allem auf große Daten-Verarbeiter ausgerichtet ist und Apotheken daher nicht im Fokus stehen. Das ist nun aber auch kein Grund zur allgemeinen Entwarnung. Wie so oft liegt die Wahrheit in der Mitte. Und das heißt in diesem Fall: Gesetzliche Vorgaben müssen erfüllt und Restrisiken können versichert werden.

Vorhang auf für Cyber-Police!

apotheken cyber risiko luecke DenPhaMed

Cyber-Policen betreffen eine Vielzahl von Versicherungsbereichen in Apotheken. Denn sie ergänzen quasi alle Apothekenpolicen um die dort fehlenden Cyberschutz-Anteile. Sie sind demnach eine Art Breitband-Schutz über das gesamte Versicherungsnetz einer Apotheke, ergänzt um notwendige Assistance-Leistungen.

Wichtig dabei ist, dass die Cyberrisiko-Versicherung auf jeden Fall gegenüber den oben genannten Policen vorgeht. Das ist allein schon deshalb zwingend erforderlich, weil deren Bedingungen üblicherweise keine direkte Beauftragung externer Lösungspartner vorsehen und damit die im Gesetz geforderte 72-Stunden-Frist für die Information von Kunden und Aufsichtsbehörden kaum erfüllbar wäre.

Der Fokus aller Cyber-Policen liegt auf der Erstattung von Vermögensschäden mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Informationssicherheitsverletzungen. Das wiederum sind Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzungen von Daten oder IT-Systemen. Kurz: Cyber-Schutz.

Aufbau der Cyberrisiko-Versicherung

Ein für Apotheken geeigneter Cyber-Schutz muss vier Komponenten beinhalten:

  1. Eine Revision der IT-Sicherheit in der Apotheke.
  2. Eine Erhebung des Sachstandes im Datenschutz- und QM-Bereich.
  3.  Eine hinreichende Absicherung des Restrisikos bei Datenschutzverletzungen.
  4.  Und zwingend den sofortigen Zugriff auf alle notwendigen externen Servicedienstleister.

apotheken cyber risiko risk passwort DenPhaMedZu versichern sind die verursachten Vermögensschäden infolge einer Datenschutzverletzung oder eines Datenverlustes zum Beispiel durch Hacker. Der Auslöser des Versicherungsfalls besteht entweder in einer teilweisen oder vollständigen Beschränkung der Verfügbarkeit von Daten, beispielsweise durch Löschung, Verschlüsselung, Diebstahl oder Veränderung. Die sogenannte Integrität von sensiblen Kunden- oder Gesundheitsdaten wird also kompromittiert. Oder es geht um Vertraulichkeitsschäden wie zum Beispiel durch irrtümlich falsch adressierte E-Mails, verlorengegangene Datenträger oder Abschöpfung aus den informationsverarbeitenden Systemen.

Dieser Schutz für Apothekeninhaber muss sich jedoch unbedingt auch auf externe Vertreter beziehen, denn der Cyberschutz darf nicht aussetzen, wenn die Inhaberin oder der Inhaber aus Urlaubs-, Krankheits- oder Unfallgründen einen externen Approbierten mit der Führung der Apotheke beauftragen.

Wie muss eine Cyber-Risk-Police funktionieren

Stellen Sie sich vor, Sie würden in Ihrer Apotheke am Freitag gegen Mittag eine Datenschutzverletzung feststellen, weil Sie eine Nachricht erhalten, in der jemand behauptet, er hätte Ihre Kundendatenbank kopiert. Nun haben Sie gemäß DSGVO 72 Stunden Zeit festzustellen, ob diese Behauptung zutrifft und, falls ja, die Ursache zu finden, diese zu melden und alle betroffenen Kunden zu informieren.

Preisfrage: Wo bekämen Sie in diesem Zeitraum einen IT-Forensiker her, der den Fehler findet und die Ursache feststellt, einen Datenrechts-Anwalt, der Sie bei der Meldung an die Betroffenen und die Behörde unterstützt und einen Lettershop, der alle Kunden innerhalb von drei Tagen – also in unserem (besonders dramatischen) Beispiel übers Wochenende bis Montag – anschreibt?

Genau damit ist das Hauptproblem auf den Punkt gebracht: Die Police muss nicht nur die Kosten dieser zwingend notwendigen Dienstleister tragen, sondern der Versicherer muss diese auch ständig bereithalten.

Der ideale Prozess im Schadenfall

  1. Der Apotheker erkennt die Datenrechtsverletzung und meldet diese via Hotline einem IT-Sicherheits-Notdienst.
  2. Der Notdienst stimmt telefonisch mit dem Versicherer und dem Apotheker alle notwendigen Krisenreaktionsmaßnahmen ab.
  3. Der Notdienst beauftragt einen IT-Forensiker mit der Ursachenermittlung und der Sicherung noch vorhandener Daten sowie deren Wiederherstellung (falls erforderlich).
  4. Der IT-Forensiker holt sich von Apothekeninhaber den Zugang zum hausinternen Datensystem und beginnt mit seiner Recherche.
  5. Bei Bedarf wird ein Rechtsdienstleister für die Meldepflichten eingeschaltet.
  6. Dieser vollzieht die geforderten Meldungen und beauftragt beispielsweise, wenn geboten, einen Lettershop mit der Versendung der Kundeninformation. Dazu liefert dann der IT-Forensiker die notwendigen Kundendaten.
  7. Der Datenrechtsdienstleister unterstützt bei der Dokumentation des gesamten Vorgangs.
  8. Der Apotheker erhält die Rechnungen des/r Dienstleister/s
  9. Sein Versicherungsbetreuer reicht die Rechnungen nebst sonstiger Kosten bei der Versicherung ein.
  10. Diese zahlt den versicherten Betrag nach Abzug der Selbstbeteiligung an den Apothekeninhaber aus.

Versicherungsexperten aus unserem Netzwerk haben zusammen mit einem Spezialmakler eine solche apothekengerechte Cyber-Risk-Police erarbeitet und von namhaften Versicherungsgesellschaften rechtzeitig vor Inkrafttreten der Europäischen Datenschutz-Grundverordnung auf den Markt gebracht.

Den grundsätzlichen Aufbau unserer neuen PharmaCyb-Police haben wir in einer Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! für Sie zusammengestellt. 

Lassen Sie sich von unseren regionalen Fachberatern den passgenauen Apotheken-Cyberschutz vorstellen.