Informationssicherheit im Krankenhaus - eine prozessorientierte Analyse der Patientendaten

Mit zunehmender Digitalisierung und Vernetzung im Gesundheitswesen und insbesondere im Krankenhaus rückt die Frage der Informationssicherheit der Daten, und damit insbesondere der Patientendaten, immer mehr in den Vordergrund. Dabei fehlen in diesem Bereich geeignete Konzepte, ITsicherheitsorientierte Anforderungen in eine prozessorientierten (Daten)Sicht zu integrieren. Im Rahmen eines Projektes wurde aufgezeigt, wie die geschäftsprozessorientierte Risikoidentifikation als ein Teil des Risikomanagementprozesses in die Ablauforganisation zu integrieren ist. Die bereits vorhandenen Prozessmodelle konnten um Informationen zur Datensicherheit und zum Datenschutz der verarbeiteten Informationen erweitert werden, um daraus geeignete IT-Sicherheitsmaßnahmen bzw. Schutzklassen abzuleiten. 1 Informationssicherheit im Gesundheitswesen Die Notwendigkeit, Informationswerte vor Bedrohungen und Schwachstellen zu schützen, wird mit dem wachsenden Grad der Vernetzung und Digitalisierung in und außerhalb von Organisationen immer dringender. Gesundheitsorganisationen bleiben von dieser Entwicklung nicht verschont, sondern werden aufgrund der hier verarbeiteten Daten bzw. Informationen die Folgen dieser Veränderungen sogar noch stärker zu spüren bekommen als Unternehmen oder Behörden. Zum einen sind Gesundheitsorganisationen starken finanziellen Zwängen ausgesetzt, was die Durchführung angemessener Maßnahmen im Hinblick auf Informationssicherheit zumindest erschwert, zum anderen arbeiten Gesundheitsorganisationen in einer Umgebung, die einen vollständigen Ausschluss der Öffentlichkeit unmöglich macht [OV03]. Weiterhin nimmt die Notwendigkeit zur elektronischen Verarbeitung und Analyse der Daten immer mehr zu, sowohl für die Unterstützung der Prozesse (klinische Behandlungspfade), als auch als Steuerungswerkzeug für das Management. Daher ist die Berücksichtigung der Datensicherheit sowie des Datenschutzes und insbesondere der speziellen Regelungen für den Gesundheitsbereich zwingend erforderlich. Aktuelle Erhebungen zeigen, dass insbesondere im Krankenhausbereich die Informationssicherheit nur unzureichende Berücksichtigung findet und nicht an die technologischen Änderungen angepasst wird [LW10].