KI-Sicherheit im Gesundheitswesen: 6 Leitlinien für sichere Nutzung

Angesichts des anhaltenden Ärztemangels und der steigenden Kosten im Gesundheitswesen entwickeln sich künstliche Intelligenz (KI)-Tools zu einer vielversprechenden Lösung für Gesundheitsorganisationen. Diese Technologien versprechen, die Fähigkeiten von Ärzten, Pflegekräften, IT-Teams und Unterstützungspersonal zu erweitern, tägliche Arbeitsabläufe zu rationalisieren und die Effizienz zu steigern. Die Integration von KI in Gesundheitseinrichtungen hat jedoch erhebliche Auswirkungen auf die Sicherheit von Patientendaten, was einen rigorosen Implementierungsansatz erfordert, um sensible Informationen und, entscheidend, Patientenergebnisse zu schützen.

Clara Lin Hawking, Mitbegründerin und Geschäftsführerin bei Kompass Education, betont, dass KI-Sicherheit über traditionelle Maßnahmen wie Firewalls oder starke Passwörter hinausgeht. Stattdessen hebt sie die Notwendigkeit eines ganzheitlichen Verständnisses der inhärenten Risiken, Chancen und Einschränkungen hervor, die mit der KI-Bereitstellung verbunden sind, und merkt an, dass dieses Bewusstsein jede Ebene einer Organisation durchdringen muss.

Eine grundlegende Strategie zur Sicherung von KI in Krankenhäusern ist der Einsatz privater oder streng kontrollierter Instanzen von KI-Tools. Pete Johnson, CDWs CTO für künstliche Intelligenz im Außendienst, plädiert für interne Lösungen, die es Klinikern und Mitarbeitern ermöglichen, mit KI-Anwendungen zu experimentieren, ohne Patientendaten öffentlichen Plattformen auszusetzen. Alternativ können Organisationen öffentliche Cloud-Modelle von führenden Anbietern wie Amazon, Microsoft und Google nutzen, die oft robuste Datenschutzvereinbarungen beinhalten. Johnson weist darauf hin, dass diese Vereinbarungen typischerweise garantieren, dass vom Benutzer bereitgestellte Daten, wie z.B. Prompts oder Abfragen, nicht zum erneuten Training der zugrunde liegenden KI-Modelle verwendet werden, was eine Schutzschicht bietet, selbst wenn das KI-Programm nicht direkt auf den Räumlichkeiten einer Organisation gehostet wird.

Über präventive Maßnahmen hinaus ist ein robuster Aktionsplan für potenzielle Sicherheitsvorfälle von größter Bedeutung. Dieser Plan sollte detailliert die Reaktionen auf Ereignisse wie Datenlecks oder weit verbreitete Phishing-Versuche, die auf Finanzbetrug abzielen, beschreiben. Hawking unterstreicht die kritische Notwendigkeit für IT-Fachleute, diese sich entwickelnden Angriffsflächen gründlich zu verstehen und umfassende Rahmenwerke zu deren Bewältigung zu erstellen. Solche Rahmenwerke müssen alle Facetten des IT-Ökosystems – Hardware, Software, Architektur – sowie klare Richtlinien und Vorschriften umfassen, die darauf ausgelegt sind, diese neuen Bedrohungen zu mindern.

Wenn Gesundheitsorganisationen ihre KI-Reise beginnen, ist ein maßvoller, inkrementeller Ansatz ratsam. Anstatt riesige Depots sensibler Daten neuen KI-Systemen auszusetzen, schlägt Johnson vor, klein anzufangen und sich auf spezifische, gut definierte Probleme zu konzentrieren. Beispiele hierfür sind der Einsatz von Umgebungs-Hörtechnologien oder intelligenten Dokumentationssystemen, die den Verwaltungsaufwand für Ärzte und Kliniker erheblich reduzieren können, ohne sofort die Gesamtheit der Datenbestände einer Organisation zu integrieren.

Eine weitere entscheidende Sicherheitsmaßnahme ist die Verpflichtung zur Nutzung von Organisationskonten für alle Interaktionen mit KI-Tools. Hawking warnt vor der Verwendung persönlicher E-Mail-Konten, da dies unbeabsichtigt unbefugte Zugangspunkte für den Datenaustausch schaffen könnte, was potenziell die Nutzung sensibler Informationen für das Modelltraining ohne explizite Zustimmung oder Aufsicht ermöglichen würde.

Darüber hinaus ist ein engagiertes Aufsichtsteam unerlässlich, um alle KI-Tools zu überprüfen, unabhängig davon, wo oder wie sie innerhalb der Organisation verwendet werden. Hawking empfiehlt, dass dieses Team multidisziplinär sein sollte und Interessenvertreter aus IT, klinischen Abteilungen und sogar Patientengruppen einbezieht. Das Ziel ist nicht, Innovationen durch das Sperren aller KI zu unterdrücken, sondern ein tiefes Verständnis dafür zu gewährleisten, welche Tools genau verwendet werden und warum, um eine Kultur der informierten und verantwortungsvollen Einführung zu fördern.

Schließlich bilden eine umfassende Risikobewertung in Verbindung mit einer vollständigen Prüfung der KI-Systeme den Eckpfeiler einer starken Governance. Dies ermöglicht es Gesundheitsorganisationen, potenzielle regulatorische Compliance-Risiken proaktiv zu identifizieren und geeignete Richtlinien und Verfahren für den verantwortungsvollen Einsatz von generativer KI und anderen fortschrittlichen Tools zu entwickeln. Hawking bekräftigt, dass ein solch gründlicher Überblick der unerlässliche Ausgangspunkt für die Etablierung einer effektiven KI-Governance in jeder Gesundheitseinrichtung ist.