Special Swiss Hosting: Regulatorische Herausforderungen für Cloud Solutions

Wer sensible Daten verarbeitet, unterliegt strengen Regulatorien und ist damit von der Compliance seiner Cloud-Dienstleister abhängig. Gefragt ist Vorgehen mit Fingerspitzengefühl.

Artikel erschienen in Swiss IT Magazine 2021/07

     

Das Internet der Dinge (Internet of Things, IoT) und Künstliche Intelligenz (KI) haben schon längst Einzug in unseren Alltag gehalten und die Coronapandemie hat die Digitalisierung noch weiter beschleunigt. Die damit wachsende Cloud bleibt aber gerade für den Endanwender zumeist etwas Abstraktes, nicht Greifbares.

Während manche Nutzer von Cloud Solutions unkritisch die scheinbar unendlichen Nutzungsmöglichkeiten ausprobieren und dabei ihre Daten, wie zum Beispiel ihren Standort oder ihre Kontakte, mit Betreibern von Cloud Solutions teilen, fürchten andere, ihre Daten seien ungeschützt für jeden verfügbar, wenn sie diese in der Cloud ablegen würden.


Besonders beim Umgang mit personenbezogenen Daten ist der Betreiber einer Cloud Solution gegenüber dem End­anwender in der Pflicht, Auskunft geben zu können, welche Daten wann zu welchem Zweck erfasst und gespeichert wurden, wo sich diese Daten eigentlich befinden und wer darauf zugreifen kann.

Sammeln ist einfach, schützen ist schwer

Dabei sind zum Beispiel Patientendaten besonders schützenswert. Aus Sicht der medizinischen Forschung ist der Zugang zu solchen echten Daten (Real World Data, RWD) jedoch wünschenswert und notwendig, um unter anderem personalisierte Medizin entwickeln zu können. An dieser Stelle stossen sowohl die gegenwärtigen gesetzlichen Vorgaben als auch die technischen Möglichkeiten an ihre Grenzen. Es ist kein Problem mehr, riesige Mengen unstrukturierter Daten zu sammeln, aber sehr viel komplizierter, aus diesen sogenannten Data Lakes genau die Daten zu extrahieren, die für einen bestimmten Zweck gebraucht werden.


Gemäss einer Studie von Statista ist 2020 der weltweite Umsatz mit Cloud Computing auf 270,03 Milliarden US-Dollar gestiegen und für die Anbieter von Cloud-Plattformen ist das erst der Anfang. Gerade im Bereich Digital Health bieten nicht nur die US-basierten Global Player Microsoft Azure, Google Cloud Platform und Amazon Web Services dedizierte Lösungen für das Hosting von Cloud Solutions mit Fokus auf Healthcare und die Speicherung und Verarbeitung der damit verbundenen Daten an. Aber was bedeutet es eigentlich, wenn eine Cloud-Plattform «Health» im Namen trägt? Gibt es entsprechende regulatorische Vorgaben, denen die Anbieter folgen müssen?

Patchwork-Regulatorien

Die Antwort darauf ist ein Flickenteppich aus regionalen Gesetzen zum Datenschutz, wie EU-GDPR oder HIPAA, und allgemein anerkannten Informations­sicherheits­­­standards wie ISO 27001, NIST (FedRAMP) oder SOC 3.

Bei der Auswahl eines geeigneten Cloud-Plattform-Anbieters muss der Betreiber einer Cloud Solution sorgfältig vorgehen und bekommt aktuell nur wenig Anleitung seitens der regulatorischen Behörden. Der erste Schritt sollte deshalb die Erstellung eines Kriterienkataloges sein, der alle relevanten Themenbereiche, von physischer Zugangskontrolle zu den Rechenzentren und deren geografischer Lage über Updates, Entwicklung & Testing von Hard- und Software, Backup & Restore, Service Desk bis hin zu Audit Trail und Datenhoheit abdeckt. Anhand dieser Kriterien kann dann genau geprüft werden, ob und wie die Anbieter die einzelnen Anforderungen erfüllen und wie dies vertraglich, zum Beispiel im Rahmen von Service Level Agreements (SLAs) und Quality Assurance Agreements (QAAs), festgelegt ist.


Ein weiterer wichtiger Punkt ist die Definition von Verantwortlichkeiten, das heisst welche liegen beim Anbieter der Cloud-Plattform und welche übernimmt der Betreiber der Cloud Solution. Erst wenn alle Anforderungen erfüllt und alle Fragen beantwortet sind, sollte mit der Erfassung von Daten begonnen werden.

IaaS Service Model vs Tradi­tional IT Elements (ISPE, 2014)

ISPE etwa stellt anschaulich dar, wie sich die Verantwortlichkeiten für die einzelnen Bestandteile von Computersystem-Lösungen für Endanwender von traditioneller, lokal betriebener IT mit voller Kontrolle über das gesamte System hin zu Software as a Service (SaaS)-Systemen verschoben haben, bei denen Endanwender sich auf die reine Nutzung konzentrieren können, ohne die Infrastruktur betreuen zu müssen (siehe Grafik).

Die Autorin

Tanja Rohark hat nach Jahren in verschiedenen globalen Unternehmenspositionen und Projekten im regulierten Life-Science- und Gesundheitssektor ihr eigenes Unternehmen Digital Chameleon gegründet. Das Unternehmen hat sich auf integrierte Managementsysteme und deren Digitalisierung im regulierten Umfeld der Life Science spezialisiert und verfolgt die Vision, mit innovativen Services und neuen Technologien (wie SaaS, PaaS, IaaS, Digital Health (IoT), Health Apps, Künstliche Intelligenz) den Quality- und IT-Bereich zu revolutionieren.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER