Krankenhäuser mit mehr als 30.000 vollstationären Fällen im Jahr gehören zur sogenannten Kritischen Infrastruktur (KRITIS). An die Informationssicherheit solcher KRITIS-Krankenhäuser stellt der Gesetzgeber besonders hohe Anforderungen. Wie auch Kliniken mit mehreren Standorten ein entsprechendes Informationssicherheits-Managementsystem (ISMS) mit Hilfe eines geeigneten Partners aufbauen können, zeigt das Best Practice der Kliniken Dritter Orden gGmbH.
Die Herausforderung für Krankenhäuser
Das seit 2015 geltende IT-Sicherheitsgesetz und das BSI-Gesetz formulieren für KRITIS-Unternehmen hohe Anforderungen bzgl. Datenschutz und Informationssicherheit. Die betroffenen Unternehmen müssen diese Anforderungen nicht nur umsetzen, sondern auch nachweisen, dass dies kontrolliert und mit messbarem Erfolg geschieht. Um einen angemessenen Maßstab dafür zu finden, kann man sich entweder an Normen wie die ISO 27001 halten. Oder man greift auf einen sogenannten branchenspezifischen Sicherheitsstandard (B3S) zurück.
Einen solchen B3S für Kliniken hat die Deutsche Krankenhaus Gesellschaft entwickelt und darin festgelegt, wie genau Krankenhäuser ihre Medizintechnik und IT zu schützen haben. Die Kliniken Dritter Orden gGmbH muss diesen Standard – wie jedes KRITIS-Krankenhaus – seit dem 30. Juni 2019 erfüllen.
Fakten zur Kliniken Dritter Orden gGmbH
- Niederlassungen: München und Passau
- Mitarbeiter: > 2.400
- IT-Standorte: zwei (Deutschland)
- Branche: Krankenhäuser (KRITIS)
- Websites: www.dritter-orden.de und www.kinderklinik-passau.de
Der Weg vom Datenschutz zur Informationssicherheit
Die Zusammenarbeit der Kliniken Dritter Orden gGmbH mit der activeMind AG begann bereits im Januar 2017. An den Standorten in München und Passau fand jeweils ein Datenschutzaudit, ein Informationssicherheitsaudit auf Basis der ISO 27001 sowie ein Audit des Krankenhausinformationssystems auf Basis der Orientierungshilfe für KIS des Bayerischen Landesamtes für Datenschutzaufsicht statt. Mithilfe dieser Audits wurde der Ist-Zustand in den Bereichen Datenschutz und Informationssicherheit ermittelt.
Anschließend begann die Arbeit der activeMind AG als externer Datenschutzbeauftragter und externer Informationssicherheitsbeauftragter. Dabei ging es zunächst darum, in den Audits gefundene Entwicklungsmöglichkeiten umzusetzen und schrittweise die Strukturen des Datenschutzes und der Informationssicherheit in beiden Krankenhäusern zu erweitern. Ziel war es, im März 2019 ein Zertifizierungsaudit zu bestehen.
Bereits im Mai 2018 musste jedoch eine Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Gesetz über den kirchlichen Datenschutz (KDG) erreicht werden. Hierfür galt es unter anderem, die Information und Aufklärung der Patienten über die Verarbeitung ihrer Daten an die Vorgaben der DSGVO anzugleichen, Auftragsverarbeitungs-Verträge mit allen Dienstleistern, die weisungsgebunden personenbezogene Daten verarbeiten, zu schließen oder zu aktualisieren, Verzeichnisse über Verarbeitungstätigkeiten zu erstellen und – nicht zuletzt – Mitarbeiter zu schulen.
Zudem wurden die organisatorischen Regelungen für die Informationssicherheit auf Basis der ISO 27002 neu aufgesetzt. In enger Zusammenarbeit mit der Geschäftsführung und den jeweiligen Abteilungsleitern wurden Konzepte und Richtlinien verfasst.
Auf Basis dessen begann die Kliniken Dritter Orden gGmbH Mitte 2018, ein Risikomanagementsystem nach ISO 27001 aufzubauen, um anschließend die Anforderungen des B3S der Deutschen Krankenhaus Gesellschaft in seiner damaligen Fassung zu implementieren. Im Oktober 2018 folgte ein zweites Audit, wiederum an beiden Standorten.
Im April 2019 kam eine neue Herausforderung dazu: Die Deutsche Krankenhaus Gesellschaft veröffentlichte eine vollständig überarbeitete Version des B3S mit neuen Anforderungen und Risikoanalysen. In einem gemeinsamen Kraftakt meisterten die Kliniken Dritter Orden gGmbH und activeMind AG auch diese Hürde und reichten Mitte Mai die Prüfungsunterlagen bei einer Wirtschaftsprüfungsgesellschaft ein.
Das Ergebnis überzeugt
Anfang Juni 2019 erfolgte die Vor-Ort-Prüfung nach § 8a BSI-Gesetz. Bis auf wenige geringfügige Abweichungen konnte der Auditor vollkommen überzeugt werden, der angab, noch nie eine derart professionelle und strukturierte Umsetzung eines B3S gesehen zu haben. Jetzt blieb nur noch, den Prüfbericht pünktlich bis Ende Juni einzureichen.
Hervorzuheben ist unter anderem, dass Medizintechnik und IT nun über definierte Schnittstellen verfügen und jeweilige Verantwortlichkeiten geklärt sind. Zentrale Prozesse der IT sind messbar – und damit noch besser steuerbar. Und nicht zuletzt: Für alle kritischen Systeme in den Krankenhäusern existieren nun effektive Notfallpläne.
„Alles in allem ein großer Erfolg und tatsächlicher Fortschritt für unser Klinikum, unsere Mitarbeiter und Patienten“, sagt Markus Morell, Sprecher der Geschäftsführung der Kliniken Dritter Orden gGmbH. Denn wie wichtig die Sicherheit von informationstechnischen Anlagen und der Schutz medizinischer Daten sei, könne kaum überschätzt werden.”
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.