Danışman: Almanya'nın sağlık hizmetlerinde bulut kullanımı için engelleri çok yüksek
Clifford Chance hukuk firmasının ortağı Gunnar Sachs, sağlık sistemindeki bulut kullanımı gereksinimlerini AB yasasıyla uyumlu olmayan özel bir yol olarak inhibe etti. Hukuk danışmanı Çarşamba günü Berlin'deki Bitkom Endüstri Derneği uzman bir konferansında şikayette bulunduğunda, üçüncü taraf bir şirketin Hindistan veya Çin gibi klasik dış kaynak ülkelerinden sadece her teorik bakım erişiminin önlenmesi önlenmiştir. Tam bir aşırı düzenleme olarak zaten küresel olan genel veri koruma düzenlemesi (GDPR) bile önemli ölçüde daha liberaldir.
Reklamcılık
Federal Cumhuriyet, AB standartlarından saptığından beri, yasanın ihlaline ek olarak, aynı zamanda “sistemin Alman millileştirilmesi”, Sachs dedi. Ve prensip olarak ulusal sınırları aşmak için tasarlanmış bulutta. Sağlık sektöründeki yenilikler engellenecektir. Yaptığı GDPR'nin ihlali aynı zamanda yerel kuralların uygunsuzluğu anlamına gelir. Bu nedenle bir girişimci şöyle diyebilir: “Alman yaklaşımı umursamıyor” ve Çinli bir ortakla sözleşme anlaşması sonucuna varabilir. Böyle bir dava kesinlikle Avrupa Adalet Divanı'na (ECJ) gider:
Başlama Taşı, nispeten genç paragraf 393 Sosyal Kod (SGB) V'dir. Buna göre, sosyal ve sağlık verileri GDPR'ye göre bir yeterlilik kararı olması şartıyla sadece Almanya, AB veya üçüncü bir ülkede bir bulut bilişim hizmeti aracılığıyla işlenebilir. AB Komisyonu, bu ülkelerin “toplulukta esasen eşdeğer” bir veri koruma seviyesi sunduğunu belirlemelidir. Bu, Gizlilik Kalkanı, Arjantin, Büyük Britanya, Japonya, Kanada, Yeni Zelanda, Güney Kore veya İsviçre'nin halefi olarak AB-ABD veri koruma çerçevesinin bir parçası olarak ABD gibi 15 ülke için geçerlidir.
Reçeteli uygulamalarda benzer “felaket”
Paragraf 393 SGB V'ye göre, veri işleme organının Almanya'da bir şubesi, yani bu ülkede sorumlu bir kişi olması gerekir. Bu aynı zamanda “AB tam harmonizasyon” ile de uyumsuzdur, Sachs genellikle şikayet ediyor. Genel olarak, müşteri standart sözleşme hükümleri yardımıyla aynı koruma seviyesini öngörürse, GDPR ile üçüncü ülkelerden veri işleme ve erişime izin verilir. Bu nedenle, şirketlerin kendilerini GDPR'deki tüm şubelere ve kızlara adadığı bağlayıcı kurumsal kurallar (BCR) tanınacaktır. ECJ, bu iki enstrümanı da gizlilik kalkanının sonu için bir alternatif olarak tanımlamıştır.
Avukat, AB ülkelerindeki ulusal yasa koyucunun sadece GDPR gibi en yakın düzenleme koşulları altında sapabileceğini belirtti. Örneğin, kamu yararına önemli nedenler koymak zorunda kaldı, ancak bu tüm üye devletler için sağlık hizmetlerinde değerlendirilmelidir. Ayrıca, federal hükümetin yapmadığı komisyona açık bir bildirim verilmelidir.
Sachs'a göre, daha önce dijital sağlık tedavileri için yerel düzenleme (DIGA) ile benzer bir yasal “felaket” meydana geldi. Temmuz 2023'te, karşılaştırılabilir katı baskılar nedeniyle, Federal İlaçlar ve Tıbbi Cihazlar Enstitüsü'nde (BFARM) ilgili kayıtlara giriş için 95 başvuru geri çekildi. O zaman, Test Otoritesi birkaç büyük müşteriye ABD'li iştiraklerin gerektiğinde sağlık verilerine erişebileceğini ve bu nedenle listeye kabulün neredeyse hiç düşünülemediğini vermişti. Şu anda dizinde sadece 65 DIGA var. Sachs rahatsız: “Şey tamamen kazara kaza.”
Ek C5 durumu gerekli
Federal Sağlık Bakanlığı'nda (BMG) siber güvenlik departmanı ve birlikte çalışabilirlik başkanı Thomas Sptitz, “Hassas verilerden bahsediyoruz” dedi. Bu nedenle asgari standartlara uymak önemlidir. Sptitz, kişisel sağlık bilgilerinin yalnızca benzer bir yasal çerçeveye sahip eyaletlerde işlenmesi gerektiğini açıkça ortaya koydu. Örneğin, veriler İrlanda'daki bir bulut hizmetinde depolanmış olsaydı, Hindistan'dan erişimin gerçekleşmemesinin sözleşmeli olarak sağlanması gerekir. Yasama organı, AWS, Google veya Microsoft ile Amazon gibi büyük sağlayıcılara güvenirken verilerin “Almanya veya Fransa'da” işlenmesini gerektirmez. Bununla birlikte, bu hiper ölçeklerle, ek anlaşmalar ve anonimleştirme veya takma adlandırma teknikleri yoluyla şifrelenmeleri veya güvence altına alınmaları gerekir.
Buna ek olarak, Paragraf 393 Sosyal Kod (SGB) V, veri işleme gövdesinin Bilgi Teknolojisi Federal Ofisi'nin (BSI) C5 Kriter Bulut Bilişim C5 kataloğuna uyması ve karşılık gelen bir akım testine sahip olması gerektiğini öngörmektedir. Bunun için bir test raporu 100 ila 300 sayfadan oluşur, PWC denetiminden IMMO Regener açıklanmıştır. Bulut operatörü önce mimarlık, alt hizmet sağlayıcıları ve işlemleri (“kontroller”) etrafında bir sistem açıklaması oluşturmak zorunda kaldı. O zaman gerçek denetime hazırlanmak önemliydi.
Bir C5-Typ1 testi gerekiyorsa, 30 Haziran 2025'e kadar yasaya göre, Regener'e göre noktaya bağlı bir inceleme yapılır. En iyi ihtimalle, bu, kontrol sisteminin şu anda uygun şekilde hizalandığını doğrular. Yılın ortasından itibaren gösterilecek Type2 testi için, yaklaşık birkaç ay tanımlanmıştır ve kontrollerin etkinliğini test etmek için numune testleri yapılmıştır. Gelecekte, AB Bulut Sertifikasyon Şeması (EUC'ler) ufukta ortaya çıkacak, bu da kanıtlama alanlarının çemberini artıracak, aynı zamanda güvenlik seviyesi daha yüksek vidayı da artıracak. Bununla birlikte, kontroller Tip1 ve 2'ye göre test edilmeye devam edecektir.
Hiperskalerler pozisyonda
Sptitz, BMG'nin bir C5 eşdeğerlik düzenlemesi başlattığını söyledi. Hangi koşulların kabul edilebilir olduğunu bulut kriterlerine hangi alternatiflerin açıklığa kavuşturmak istiyor. Bununla ilgili birçok açıklamada, Type2 testine geçişin Temmuz ayına kadar oluşturulmayacağı duyuldu. Bu nedenle BMG şimdi BSI ile hangi alternatiflerin ve son teslim tarihlerinin mantıklı olduğunu tartışıyor. İlkbaharda, güncellenmiş bir düzenlemeye katılan herkes şimdiye kadar olmalıdır. Birçok “topluluk bulutu”, yani sınırlı bir kullanıcı grubuna sahip birçok şirketten, bir C5 sınavı başlatmıştı, çünkü bu da yüksek bir reklam etkisi olacaktır.
AWS sağlık uzmanı Peter Moll, “C5'i öldürdük.” Bulut pazar lideri tarafından sunulan tüm hizmetler GDPR uyumlu, 141 Hizmet Tip 1 veya 2'dir. Brandenburg'daki gizli yerlerde ayrı bir bölgede en az üç veri merkezinden oluşan AWS Avrupa Egemen bulutu ile “tamamen egemen bulut”. Bir operatör olarak 4. çeyrekten itibaren bir Lüksemburg veya Alman toplumunun planlanması bekleniyor.
(Mack)