Was ist Datensicherheit im Gesundheitswesen und was haben QS-Tests mit Datenschutz und Vertraulichkeit zu tun?
Betrachten wir das Ganze einmal aus einer realen Perspektive, in der die Privatsphäre einer Person ebenso wichtig ist wie die Vertraulichkeit.
Wir werden unser Szenario anhand eines durchschnittlichen Patienten in einer Gesundheitseinrichtung, einer Behörde oder einer privaten medizinischen Einrichtung beschreiben. Bei dieser Person handelt es sich um eine, die der Gesundheitsorganisation ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben muss. Alle Informationen, die der Patient freiwillig an das medizinische Unternehmen weitergibt, fallen unter das Kriterium „Privatsphäre“.
In diesem Zusammenhang muss die Gesundheitsorganisation als professionelle Einrichtung die Vertraulichkeit gewährleisten und persönliche Informationen vor dem unberechtigten Zugriff Dritter schützen. Diese Garantie fällt unter das Kriterium „Vertraulichkeit“.
Der nächste Teilnehmer in dieser Kette ist der Arzt, der das Bindeglied zwischen dem Einzelnen und der Gesundheitsorganisation ist. Der Arzt ist ebenfalls Teil dieser Gesundheitsorganisation und verpflichtet sich somit, die Datenschutzbestimmungen für Patienten einzuhalten. Diese Vereinbarung gilt für Arztpraxen, Ärzte, Krankenschwestern und -pfleger sowie für alle Personen, die unter dem Dach der medizinischen Einrichtung beschäftigt sind.
Neben der Erörterung dieser privaten Angelegenheiten in einem Krankenhaus oder einer Klinik sind die genannten Personen auch verpflichtet, die Informationen über einen Patienten nicht in ihrem Privatleben zu erörtern. Andernfalls brechen sie die Vertraulichkeitsvereinbarung, und die Privatsphäre einer Person kann rechtliche Konsequenzen nach sich ziehen.
Die Situation mit dem Datenschutz und der Vertraulichkeit im medizinischen Bereich weist Parallelen zum QS-Prüfverfahren auf. Immer wenn sich ein einzelner Nutzer (Patient) für einen Dienst oder eine Software anmeldet, verlangt das Softwareunternehmen (die Gesundheitsorganisation), dass der Nutzer persönliche Informationen preisgibt und Zugang zu diesen erhält. Nachdem diese Informationen in ihrem System verarbeitet wurden, erhält der QS-Prüfer (der Arzt) Zugang zu diesen persönlichen Informationen und muss Datenschutz- und Vertraulichkeitsvereinbarungen einhalten.
Zusammenfassend können wir einige wesentliche Unterschiede zwischen Datenschutz und Vertraulichkeit hervorheben.
Privatsphäre – bezieht sich auf ein Individuum oder eine Person; es ist eine persönliche Entscheidung, die eigenen Lebensangelegenheiten und Informationen von der Öffentlichkeit fernzuhalten.
Beispiele für persönliche (private) Informationen, die einer Person zugeordnet werden können:
- Name und Angaben wie Geburtsdatum und -ort
- Physische Merkmale, medizinische oder gesundheitliche Daten
- Alle Kontaktinformationen wie Telefonnummern, E-Mails, Adressen
- Ihre Identifikationsnummer (Reisepass oder Führerschein)
Vertraulichkeit – bezieht sich auf Informationen und wird in eine berufliche Verpflichtung umgewandelt, Informationen über Personen nicht ohne deren Zustimmung an Dritte weiterzugeben.
Hier sind einige Beispiele für vertrauliche Informationen:
- Transaktionsdetails und Bankinformationen
- Technische oder juristische Dokumente
- Logins, Passwörter, etc.
In Europa und den USA gibt es mehrere Gesetze und Vorschriften zum Schutz der Privatsphäre und zur Wahrung der Vertraulichkeit, wie der Sarbanes-Oxley Act, der Federal Information Security Management Act, oder EU-Datenschutzgrundverordnung usw.
Ihr Hauptziel ist es, Sicherheitsprogramme zu entwickeln und umzusetzen, um Risiken für den Datenschutz und die Vertraulichkeit zu vermeiden und Einzelpersonen und Unternehmen vor Betrug zu schützen.
Wie Sie Sicherheitstests mit Ihrem QS-Team implementieren
Wenn wir nun den Unterschied zwischen Privatsphäre und Vertraulichkeit verstehen und wissen, wie es sich auf eine Person auswirken kann, können wir darüber sprechen, wie wir diese Privatsphäre und Vertraulichkeit während der Prüfung schützen können. Die zunehmende Zahl von Malware-Bots macht den Unternehmen Sorgen um die Vertraulichkeit ihrer Daten. Dies macht die Durchführung von Sicherheitstests für jede Softwareentwicklung und insbesondere für Webanwendungen unerlässlich.
Es ist wichtig zu wissen, wie man Software testet, um zu verhindern, dass persönliche Daten von ihrer Website aus kompromittiert werden. Lassen Sie uns daher die Schritte durchgehen, die QS-Tester unternehmen können, um Sicherheitstests durchzuführen:
Überprüfen Sie Ihre geschäftlichen Anforderungen
Vor jedem grundlegenden Test müssen wir zunächst die speziellen Sicherheitsziele des Unternehmens bestimmen. Außerdem hilft das Verständnis der Geschäftsprozesse dabei, Schwachstellen des Produkts zu finden und den tatsächlichen und versteckten Sicherheitsbedarf zu definieren.
Unsere Vorlage für eine Teststrategie ist eine großartige Ressource hier. Sie können Ihre Bedürfnisse mit unseren Erkenntnissen aus 20 Jahren Qualitätssicherung verknüpfen. So wird der Übergang von den geschäftlichen Anforderungen zur tatsächlichen Testarbeit viel einfacher.
Holen Sie sich eine Vorlage für eine Teststrategie, mit der wir Freigaben 2x schneller durchführen können
Holen Sie sich eine Vorlage für eine Teststrategie, mit der wir Freigaben 2x schneller durchführen können
Die Systemeinrichtung ist der Schlüssel zu genauen Tests, und dieser Schritt ist in der Regel recht einfach. Sammeln Sie alle Systemspezifikationen, einschließlich des Netzwerk-Betriebssystems, Informationen über die Hardware und die für die Erstellung des Systems verwendete Technologie.
Bedrohungsprofil und Rückverfolgbarkeitsmatrix
Das Hauptziel von Sicherheitstests besteht darin, Anwendungen vor dem Eindringen von Malware und dem Zugriff anderer zu schützen und die Vertraulichkeit und Privatsphäre einer Person zu wahren.
Aber wie bereits erwähnt, müssen wir dazu Informationen über potenzielle Risiken und mögliche Schwachstellen in der Privatsphäre sammeln, eine Liste dieser Bedrohungen erstellen und dann auf der Grundlage dieser Liste ein Bedrohungsprofil erstellen. Diese Liste eignet sich auch für die Erstellung einer Rückverfolgbarkeitsmatrix, die dabei hilft zu verfolgen, wie sich die einzelnen Einheiten gegenseitig beeinflussen.
Ein Bedrohungsprofil kann uns dabei helfen, die kritische Natur der Tests, die wir durchführen werden, und die Risiken, die bewertet werden müssen, einzuschätzen.
Die Anforderungsabdeckung aus aqua Application Lifecycle Management (ALM) ist ein effizienter Ersatz für die ‚Traceability Matrix‘
Vorbereiten von Tools und Dokumentation
Die Kombination von automatischen und manuellen Tests kann die effizienteste Entscheidung für Sicherheitstests sein. Doch bevor wir mit den Tests beginnen oder sie durchführen, sollten wir unser Software-Sicherheitsdokument fertigstellen, um alle Schwachstellen in Bezug auf Datenschutz und Vertraulichkeit zu beseitigen.
Sie können alle Anforderungen in einer Registerkarte Details von aqua systematisieren
Ausführung von Sicherheits- und von Regressionstestfällen
Bis wir zu diesem Schritt kommen, müssen wir alle geplanten Tests durchführen, um Schwachstellen zu identifizieren. Nachdem diese Tests durchgeführt wurden, müssen wir diese Probleme beheben und die Tests gegebenenfalls wiederholen. Wir sollten auch an den Regressionstest denken, um sicherzustellen, dass die neuen Änderungen keine neuen Fehler verursachen.
Mit einer Testszenario-Funktion von aqua ALM wird es QS-Testern möglich, verschiedene Testfälle gleichzeitig zu planen und auch durchzuführen
Sammeln der Testdetails in einem Bericht
Anhand der Ergebnisse jedes Tests müssen wir einen detaillierten Bericht erstellen. Weisen Sie auf Schwachstellen und Probleme der Software hin, die Sie beheben konnten, und vergessen Sie nicht, mögliche Schwachstellen zu beschreiben, die weiterhin bestehen können.
Nutzen Sie das aqua Dashboard für eine bessere Visualisierung und einen schnellen Überblick über verschiedene Elemente und Testausführungen in Echtzeit
Überdies gibt es viele weitere Risiken für den Schutz der Privatsphäre und die Vertraulichkeit, die wir nicht außer Acht lassen dürfen, darunter Verstöße gegen die Überwachung, mangelnde Kontrolle durch die Behörden usw. Das QS-Team muss Maßnahmen ergreifen und mit den Entwicklern zusammenarbeiten, um diese Risiken zu vermeiden.
Es kann jedoch eine Herausforderung sein, Sicherheitstests zu implementieren, wenn Ihr QS-Team keine Erfahrung mit Anwendungssicherheit hat. Aber es ist recht einfach, Methoden und Prozesse der Sicherheitsprüfung aus anderen QS-Prüflösungen zu lernen oder sie in Ihre Software zu integrieren.
Datenschutz und Vertraulichkeit sind zwei häufig verwendete Begriffe, die gemeinsam auftreten, wenn es um persönliche Informationen, deren Sicherheit und den Schutz vor Kompromittierung geht. Aber es gibt oft Verwirrung über die Unterschiede zwischen beiden.
Bevor wir mit grundlegenden Tests beginnen, ist der erste Schritt, die spezifischen Sicherheitsziele des Unternehmens zu bestimmen. Darüber hinaus hilft das Verständnis der Geschäftsprozesse dabei, Schwachstellen des Produkts zu finden und die tatsächlichen sowie versteckten Sicherheitsbedürfnisse zu definieren.
Testen Sie KI-gestütztes & sicheres TMS
