Als Beratungsunternehmung sind wir in verschiedensten Branchen und Organisationen tätig und haben so tagtäglich viele und spannende Einblicke. Zurzeit erleben wir in keiner anderen Branche eine so grosse Dynamik, wie dies im Gesundheitswesen der Fall ist. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem Elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben.

Gesundheitseinrichtungen wie Spitäler, Arztpraxen und Heime erstellen täglich zahlreiche, sehr vielfältige Daten und Informationen. Diese Daten sind hauptsächlich personenbezogen und beinhalten oft Aussagen über den Gesundheitszustand einer Person. Beispielsweise Diagnosen, angewandte Behandlungen oder Medikamente. Diese vorgenannten Daten sind für den Behandlungsablauf und die Qualität der Behandlung von essentieller Bedeutung. Am Behandlungsverlauf beteiligte Gesundheitsfachpersonen müssen diese – mindestens die für sie relevanten Aspekte – einsehen und bearbeiten können.

Gleichzeitig kann eine ungewollte Offenlegung oder ein Cyber-Angriff für einen betroffenen Patienten weitreichende Konsequenzen haben. Im Gegensatz zu vielen anderen Branchen ist der daraus entstehende Schaden unter Umständen dauerhaft. Eine weitere Besonderheit sind vom Zeitpunkt abhängige Schutzziele. Eine bestimmte Information, beispielsweise eingenommene Medikamente, erlauben Rückschlüsse auf die Diagnose. Es ist daher im Interesse des Patienten, dass diese Information nur einem eingeschränkten Personenkreis zur Verfügung steht. In einem medizinischen Notfall hingegen, kann die genau gleiche Information das Leben des Patienten retten. In diesem Moment ist die Tatsache, dass die Information vorliegt und somit die Verfügbarkeit wesentlich höher zu gewichten.

Eine sehr offensichtliche Eigenheit ist auch, dass die Gesundheitseinrichtungen als offene Häuser konzipiert sind. Das heisst, physische Sicherheitsmassnahmen wie beispielsweise eine Zutrittskontrolle entfallen damit weitgehend.

Der im Gesundheitswesen vorherrschende Kostendruck sowie festgelegte Prioritäten haben zudem dazu geführt, dass im Gesundheitswesen viele Technologie-Schulden bestehen. Die besagten Schulden führen zu technischen Einschränkungen und deren Reduktion bindet wertvolle personelle und finanzielle Ressourcen.

Diese und weitere Herausforderungen gilt es auf dem Weg ins digitale Gesundheitswesen zu meistern. Das vom Bund lancierte nationale Elektronische Patientendossier (EPD) hat zahlreiche weitere Digitalisierungsbestreben begünstigt und sorgt für eine Digitalisierungswelle in der Schweiz. Weitere Initiativen zur Digitalisierung des Gesundheitswesens von verschiedenen Organisationen sind in Planung oder wurden bereits lanciert. Dabei gilt es, die sich bietenden Chancen zu nutzen und gleichzeitig die Risiken im Zusammenhang mit dem Datenschutz und der Datensicherheit möglichst gering zu halten – das digitalisierte Gesundheitswesen setzt das Vertrauen von Patientinnen und Patienten voraus. Dieses Vertrauen kann nur mit entsprechenden Sicherheitsmassnahmen erreicht und beibehalten werden.

Zur Erreichung braucht es:

• Eine Erhöhung des Sicherheitsniveaus und eine Vereinheitlichung über alle in der Behandlungskette involvierten Organisationen hinweg – dies kann durch den Einsatz von Standards und einheitlichen Handlungsrichtlinien geschehen
• Die Unterstützung auf Leitungsebene und angemessene personelle und finanzielle Ressourcen
• Einen systematischen und koordinierten Ansatz zur Etablierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus (Datenschutz und Datensicherheit)
• Sicherheitsspezialisten, welche das Umfeld aus organisatorischer, technischer und kultureller Sicht kennen
• Wiederkehrende Sensibilisierungsaktivitäten (Patienten, Gesundheitsfachpersonen, Administration und Leitung)
• Gesicherte Medizingeräte und Standards hinsichtlich Sicherheit und Interoperabilität für die Integration von Medizingeräten und Softwarekomponenten in bestehende Praxis- und Spitalumgebungen

Viele dieser Bestrebungen sind bereits im Gange und wir freuen uns, mit unserer Sicherheitsperspektive einen wertvollen Beitrag leisten zu dürfen. So durften wir unter anderem für die eHealth Suisse die Umsetzungshilfe Datenschutz und Datensicherheit oder auch die Minimalanforderungen IT-Grundschutz der FMH erarbeiten.

Für uns als Unternehmung hat sich das Gesundheitswesen in den letzten vier Jahren zu einem sehr wichtigen Zweig entwickelt. Wir haben daher unser Team laufend mit Spezialisten aus den Bereichen Cyber Security, Spitalinformatik und Datenschutz erweitert und leisten so auch weiterhin einen Beitrag zum sicheren und vertrauenswürdigen digitalen Gesundheitswesen. Wir freuen uns auf die bevorstehenden Aufgaben und Herausforderungen.

Weiterführende Standards und Hilfsmittel zu diesem Thema:

• eHealth Suisse: Umsetzungshilfe Datenschutz und Datensicherheit
• FMH: Minimalanforderungen IT-Grundschutz für Praxisärztinnen und Praxisärzte
• ENISA: Procurement Guidelines for Cybersecurity in Hospitals (ENG)
• H+: Informationssicherheit und Datenschutz - Anforderungen zur ICT-Sicherheit von Fremdsysteme