AWS in Switzerland and Austria (Alps)
Sichere und konforme Cloud-Technologie für das Schweizer Gesundheitswesen
Die Digitalisierung des Gesundheitswesens schreitet voran, und die Cloud-Technologie spielt dabei eine zentrale Rolle. Doch trotz der vielen Vorteilen bestehen Bedenken bezüglich Datenschutz, Sicherheit und rechtlicher Rahmenbedingungen. Das Whitepaper von Laux Lawyers AG (auf Initiative und mit Unterstützung von AWS) bietet Lösungsansätze für diese Herausforderungen. In diesem Artikel beleuchten wir konkrete Sicherheitskonzepte und Lösungsansätze, die den Weg für eine sichere Nutzung der Cloud im Gesundheitswesen ebnen.
Angesprochene Hauptbedenken und deren Lösungsansätze
Datenschutz und Sicherheit: Der Schutz von Patientendaten steht an oberster Stelle. Im Schweizer Datenschutz werden Gesundheitsdaten als besonders schützenswerte Daten eingestuft. Gesundheitsinstitutionen müssen deshalb verhindern, dass in unkontrollierter Weise die Kreise jener erweitert werden, die Klartextzugriff auf Gesundheitsdaten erhalten könnten. Laux Lawyers stellen klar, dass bei einer Nutzung von reifen Cloud-Services die Daten in einer kontrollierten Weise gespeichert werden und deshalb eben gerade nicht einer unbestimmten Vielzahl von Personen zugänglich gemacht wird. AWS bietet einen solchen reifen Cloud-Service an. Z.B. können sowohl bei der Übertragung als auch bei der Speicherung in der AWS-Cloud die Daten durch den Einsatz von Verschlüsselung und strikter Zugriffskontrolle gesichert werden. Kunden können ihre Pflichten aus dem Datenschutz entsprechend mit dem Einsatz von AWS Key Management Service with Customer Managed Keys und der Implementierung von granularen Zugriffskontrollen mit AWS Identity und Access Management adressieren und dies dank zentralem Logging auch jederzeit überprüfen.
Rechtliche Konformität und Arztgeheimnis: Um rechtliche Vorgaben einzuhalten (inklusive Wahrung des Arztgehemnisses), empfehlen Laux Lawyers, detaillierte Verträge mit Cloud-Anbietern zu schliessen, die spezifische Sicherheitsstandards festlegen und Verantwortlichkeiten definieren. Eine datenschutzkonforme Vertragsgestaltung sieht vor, dass Datenverarbeitung und -speicherung den lokalen Gesetzen entsprechen und regelmässige Audits durchgeführt werden. AWS’ Verträge beinhalten diesbezüglich jeweils das AWS Data Processing Addedum, das mittels dem Schweizer Addedum ergänzt wird. Dies ermöglicht den Kunden AWS Cloud-Leistungen datenschutzkonform zu nutzen. Diese Addenda sind beide in den AWS-Servicebedingungen (Abschnitt 1.14) enthalten und gelten somit automatisch für alle Kunden. Für zusätzliche Informationen verweisen wir auf den Blog “Using AWS in Light of the New Swiss Data Protection Act”. Im AWS Data Processing Addedum wird auch festgehalten, dass regelmässig Audits durchgeführt werden. Insbesondere die ISO-Zertifizierungen und SOC-Reports bieten dabei eine unabhängige Prüfung der Sicherheitsmassnahmen von AWS.
Kontrolle über Daten: Ein vorherschendes Missverständis ist der scheinbare Verlust der Kontrolle über Daten, die in der Cloud gespeichert werden. Denn AWS-Kunden haben Kontrolle über ihre Daten. Der Kunde bestimmt, wo die Daten gespeichtert werden (z.B. Europe/Zurich in der Schweiz) und wer Zugriff drauf hat. Siehe auch “Häufig gestellte Fragen zum Datenschutz”. So können Gesundheitsorganisationen sicherstellen, dass ihre Daten innerhalb rechtlich zulässiger Jurisdiktionen verbleiben. Eine kleine Anzahl von AWS-Services beinhaltet die Übertragung von Kundendaten, um die Services zu verbessern. Kunden, die diese Services nutzen, können die Übertragung jedoch ablehnen. Bei anderen Services ist die Übertragung ein wesentlicher Bestandteil des Services (z. B. bei Amazon Cloudfront – einem Content Delivery Service).
Die Cloud als Chance für das Gesundheitswesen
Die AWS-Cloud bietet nicht nur Lösungen für angesprochenen Herausforderungen, sondern öffnet auch die Tür für Innovationen im Gesundheitswesen. Durch die Skalierbarkeit der Cloud können Gesundheitseinrichtungen flexibel auf wechselnde Anforderungen reagieren. Gleichzeitig ermöglicht die Cloud die Analyse grosser Datenmengen, wie sie in der genetischen Forschung oder bei der Entwicklung personalisierter Therapien anfallen. Gerne verweisen wir diesbezüglich auf die Kundenstory von Moderna.
Fazit: Die AWS-Cloud ermöglicht einen verantwortungsvollen Umgang mit neuen Möglichkeiten
Die Nutzung der Cloud im Gesundheitswesen erfordert einen sorgfältigen und verantwortungsbewussten Umgang mit Technologien. Das Whitepaper „Cloud für das Gesundheitswesen“ von Laux Lawyers AG präsentiert konkrete Handlungsempfehlungen und Lösungsvorschläge. Die von AWS zur Verfügung gestellten technischen und vertraglichen Massnahmen ermöglichen es Institutionen im Gesundheitswesen, ihre Daten vertraulich in der Cloud speichern und verarbeiten zu können. Mit spezifischen Angeboten wie den AWS Healthcare-Lösungen, dem Landing Zone Accelerator für das Gesundheitswesen und Partnerprogrammen wie der Global Security & Compliance Acceleration auf AWS unterstützen wir Kunden auf ihrem Weg in die Cloud und fördern dabei Innovationen.
.
Secure and Compliant Cloud Technology for the Swiss Healthcare Sector
by Christoph Schnidrig and Marc Borntraeger
The digitalization of healthcare is progressing and cloud technology plays a central role. However, despite the many advantages, there are concerns regarding data protection, security, and the legal framework. The white paper by Laux Lawyers AG (on the initiative and with the support of AWS) offers solutions for these challenges. In this article, we highlight specific security concepts and solution approaches that pave the way for the secure use of the cloud in healthcare.
Download White Paper (English)
Download White Paper (French)
Main Concerns Addressed and Their Solution Approaches
Data Protection and Security: The protection of patient data is of utmost importance. Under Swiss data protection law, health data is classified as particularly sensitive data. Healthcare institutions must therefore prevent the uncontrolled expansion of the circles of those who could obtain clear-text access to health data. Laux Lawyers clarifies that when using mature cloud services, data is stored in a controlled manner and is therefore not made accessible to an indeterminate number of people. AWS offers such a mature cloud service. For example, data can be secured both during transmission and storage in the AWS cloud through the use of encryption and strict access control. Customers can address their obligations under data protection law by using AWS Key Management Service with Customer Managed Keys and implementing granular access controls with AWS Identity and Access Management, and can verify this at any time thanks to central logging.
Legal Compliance and medical confidentiality: To comply with legal requirements (including maintaining medical confidentiality), Laux Lawyers recommends concluding detailed contracts with cloud providers that establish specific security standards and define responsibilities. A data protection-compliant contract design stipulates that data processing and storage comply with local laws and that regular audits are conducted. AWS’ contracts include the AWS Data Processing Addendum, which is supplemented by the Swiss Addendum. This allows customers to use AWS cloud services in a data protection-compliant manner. Both of these addenda are included in the AWS Service Terms (Section 1.14) and therefore automatically apply to all customers. For additional information, please refer to the blog “Using AWS in Light of the New Swiss Data Protection Act”. The AWS Data Processing Addendum also states that regular audits are conducted. In particular, the ISO certifications and SOC reports provide an independent review of AWS’ security measures.
Control over Data: A prevailing misconception is the apparent loss of control over data stored in the cloud. However, AWS customers have control over their data. The customer determines where the data is stored (e.g., Europe/Zurich in Switzerland) and who has access to it. See also “Frequently Asked Questions about Data Protection”. This way, healthcare organizations can ensure that their data remains within legally permissible jurisdictions. A small number of AWS services involve the transfer of customer data in order to improve the services. However, customers who use these services can reject this data transfer. For other services, the transfer is an essential part of the service (e.g., Amazon CloudFront – a Content Delivery Service).
The Cloud as an Opportunity for Healthcare
The AWS cloud not only offers solutions for the challenges mentioned but also opens the door to innovations in healthcare. Through the scalability of the cloud, healthcare institutions can respond flexibly to changing requirements. At the same time, the cloud enables the analysis of large amounts of data, such as those generated in genetic research or the development of personalized therapies. In this regard, we are happy to refer to the customer story of Moderna.
Conclusion: The AWS Cloud Enables Responsible Use of New Opportunities
The use of the cloud in healthcare requires careful and responsible handling of technologies. The white paper “Cloud for Healthcare” by Laux Lawyers AG presents concrete recommendations for action and solution proposals. The technical and contractual measures provided by AWS enable healthcare institutions to store and process their data confidentially and securely in the cloud. With specific offerings such as AWS Healthcare Solutions, the Healthcare Landing Zone Accelerator, and partner programs like the Global Security & Compliance Acceleration on AWS, we support customers on their journey to the cloud and promote innovation.