eHealth: Datensicherheit und Datenschutz

PDCA ZyklusGerade im Bereich eHealth erhält DSDS eine eminent wichtige Rolle - gesteuert durch übergeordnete Vorgaben wie Arztgeheimnis, Datenschutzgesetz oder den Zertifizierungsvoraussetzungen zum elektronischen Patientendossier. Deshalb ist für Gesundheitseinrichtungen unabdingbar Datenschutz- und Daten-sicherheitsmanagement auf einem hohen Maturitätslevel zu betreiben. So können Sie als vertrauensvolle, sicherheitsbewusste Unternehmung Ihren Kunden gegenübertreten und die Reise in die digitale Zukunft wagen.

DSDS umfasst nicht nur technische Aspekte - das Thema ist interdisziplinär zu betrachten. Mit unserem umfassenden Angebot zu den Dienstleistungen Strategie, Unternehmensarchitektur, Projektmanagement, Organisationsentwicklung und Ausbildung können wir Sie bei der Umsetzung Ihrer Datensicherheits- und Datenschutzvorhaben beraten. Wir begleiten Sie bei allen Schritten von der Planung, Durchführung, Kontrolle, Verbesserungmassnahmen bis hin zu Sensibilisierungsprogrammen bei Ihren Mitarbeitenden. 

Bild von Jana Papritz
Jana Papritz
Dipl. Inf. Uni BE Consultant +41 58 320 30 38hc/ppa//ztirpap/anaj
Bild von Marcel Schmid
Marcel Schmid
BSc in Wirtschaftsinformatik Consultant +41 58 320 30 62hc/ppa//dimhcs/lecram
  • Planen (Plan)

    Gleich wie in Projekten oder einer Reise – die Planungsaktivitäten stehen immer an erster Stelle. Ohne zu wissen, was man alles für die Reise benötigt, kann der Reiserucksack jedoch nicht gepackt werden. In solchen Situationen wirkt eine strukturierte Vorgehensweise meist Wunder. Ausgehend von einem Inventar der bereits vorhandenen Dinge ist die Frage, wohin die Reise gehen soll. Dies ist im Unternehmen trotz höherer Anforderungen nicht grundlegend anders. Auf Basis eines Inventars oder der Unternehmensarchitektur ist es möglich, die IT-Strategie und auch die DSDS-Strategie gezielt für kommende Herausforderungen auszurichten. Maturitätslevel von Geschäfts- und Organisationsprozessen genügen mit der Zeit möglicherweise nicht mehr den internen und externen Ansprüchen, die im Risikomanagement erfassten Risiken sind nicht mehr aktuell oder müssten durch neue Risiken ergänzt werden. Wie vor einer Reise, hilft es Checklisten als Ergänzung einzusetzen, um sicher zu gehen, dass keine wesentlichen Punkte vergessen werden.

  • Durchführen (Do)

    Sind alle Planungsarbeiten abgeschossen, kann die langersehnte Reise endlich beginnen. Ohne vorher einen Reiseführer zu Rate gezogen zu haben, wird man jedoch kaum in ein unbekanntes Land gehen. Reiseführer zeigen meist wichtige Do’s & Dont’s auf und bieten Hilfestellung in Notsituationen. DSDS-Konzepte und Risikoanalysen inkl. dazugehörigen Massnahmendefinitionen bieten für Unternehmen eine ähnliche Hilfestellung an. Diese Hilfestellung ist gar noch besser, da diese Dokumente und Überlegungen im Unternehmen selber entwickelt wurden und daher perfekt auf dessen Vorgaben, Rahmenbedingungen und Strategie zugeschnitten sind. In der Zusammenarbeit mit externen Partnern können diese Aspekte bereits früh in Vertragsverhandlungen aufgenommen werden. 

  • Kontrollieren (Check)

    KontrollierenDie umgesetzten Massnahmen müssen überprüft werden. Hat es sich bewährt, den Geldbeutel statt in der Gesäss- in der vorderen Hosentasche zu tragen? Um diesen «Testfall» zu kontrollieren, werden die gemachten Erfahrungen mit dem erwarteten Ergebnis verglichen. Dies ist in einem Unternehmen nicht anders. Nachdem mögliche Sicherheitsrisiken identifiziert und beschrieben worden sind, wird untersucht, ob die ausgearbeiteten Massnahmen ihren Zweck erfüllen.

    Diese Kontrolle läuft im Rahmen eines IT-Security Audits ab. IT-Security Audits überprüfen einerseits, ob die vorhandenen Prozesse den Anforderungen entsprechen, und andererseits, ob diese auch so gelebt werden und das Ergebnis zufriedenstellend ist. Was bringt es, sich zwar vorzunehmen, den Geldbeutel in der vorderen Hosentasche zu tragen, dies dann aber nicht zu machen und bestohlen zu werden? Parallel zur Überprüfung der laufenden Geschäftsaktivitäten werden ebenfalls die Rahmenbedingungen geprüft, wie z.B. das Vorhandensein eines angemessenen Problem & Incident Management-Prozesses. Nur wenn die Fehleridentifikation und –priorisierung funktioniert, können Sicherheitsvorfälle identifiziert werden. 

  • Verbessern (Act)

    Nachdem die auf der letzten Reise gemachten Erfahrungen evaluiert und mögliche Schwachstellen identifiziert wurden, geht es in einem nächsten Schritt darum, diese zu verbessern. So kann sichergestellt, dass die nächste Reise noch besser wird. Wie im privaten Leben, ist es auch im Unternehmen wichtig, Gewohnheiten zu hinterfragen und auf Inkonsistenten zu überprüfen. Etwas das «schon immer» funktioniert hat, muss nicht zwingend immer noch die beste Wahl sein. Vielleicht sollte der vom Grossvater geerbte, hochwertige Lederrucksack einmal einem mit den neusten Materialien und Technologien hergestellten Wanderrucksack weichen?

    Im Change-Management-Prozess werden die optimalen Bedingungen geschaffen, um Änderungen sorgfältig planen und umsetzen zu können. Dabei müssen neben internen Einflussfaktoren und Stakeholdern unbedingt auch äussere Einflüsse wie beispielsweise Gesetzesänderungen (z.B. Datenschutzgesetz) oder wirtschaftliche Trends miteinbezogen werden. Nach einer fundierten Situationsanalyse werden entsprechende Massnahmen abgeleitet und an gesetzliche und wirtschaftliche Rahmenbedingungen angepasst. Ein standardisiertes und bewährtes Vorgehen hilft dabei, künftige Änderungen effizienter abwickeln zu können.

  • Sensibilisieren (Awareness & Training)

    Zielgruppenorientierte Sensibilisierungskampagnen, sowie regelmässige Schulungen bilden das Zentrum des DSDS-Managements. Sämtliche Akteure einer Gesundheitseinrichtung können ihren Beitrag leisten, wenn die Sensibilisierung für DSDS vorhanden ist.  Auf der einen Seite sind die User von Informationssystemen in ihrem Verhalten zu schulen und sensibilisieren. Auf der anderen Seite des Spektrums ist eminent wichtig, dass sich das Management mit dem Thema auseinandersetzt. Schliesslich trägt dieses die Verantwortung für die Umsetzung von gesetzlichen Vorgaben, über die Konsistenz von Geschäftsstrategie und Datensicherheitsziele, sowie für die Integration von Datensicherheitsrisiken in das Risikomanagement der Gesundheitseinrichtung.

Gerne erstellen wir gemeinsam mit Ihnen einen individuellen Reiseplan.

Erfahren Sie mehr über unser Dienstleistungsangebot  und unsere Referenzen im Bereich eHealth und DSDS.  Besuchen Sie uns an einem Event oder lesen Sie unsere Publikationen zum Thema. 

   

Unsere Dienstleistungen

   

Referenzen

   

Events & Publikationen

Kontaktieren Sie uns