Seine organisatorische Anbindung im Krankenhaus
Ein Standpunkt von Helmut Schlegel, Vorstandsmitglied des KH-IT e.V.
Die Zahl der deutschen Krankenhäuser, die sich um die Anforderungen aus dem IT-Sicherheitsgesetz als kritische Infrastruktur im Gesundheitswesen sorgen müssen, wird in den nächsten Jahren unabhängig von der gesetzlichen Verpflichtung stark zunehmen. Zum Teil liegt das an der „Motivation“ durch Dritte, beispielsweise Wirtschaftsprüfer und Haftpflichtversicherer, zum Teil haben sich die Krankenhäuser aber auch selbst verpflichtet. In weiser Voraussicht nehmen schon jetzt viele Häuser an dem vom Bundesverband der KH-IT-Leiterinnen/Leiter e.V. (KH-IT) organisierten Lehrgang zur Umsetzung des zu erwartenden Branchensicherheitsstandards teil, obwohl sie (noch) gar nicht dazu verpflichtet sind.
Doch was bedeutet dies für die Geschäftsführung? Ein Blick auf die Anforderungen eines Information Security Management Systems (ISMS) gemäß DIN ISO/IEC 27001 macht schnell deutlich: Eine Zertifizierung betrifft nicht nur die IT eines Hauses, sondern vielmehr sämtliche Informationsprozesse. Je tiefer das Thema bearbeitet wird, desto mehr fächert sich die Aufgabenstellung auf:
| – Risikokataster und Asset-Management, |
| – Projektsteuerungsmaßnahmen über alle Fachabteilungsgrenzen hinweg, |
| – Eingriffe und Einsichten in die Prozesse bei Krankenversorgung, Behandlung, Logistik, |
| – Prozesslandkarten über den Gesamtbetrieb des Klinikums usw. |
Der Begriff „Informationssicherheit“ impliziert einen engen Zusammenhang mit IT-gestützter Informationsverarbeitung. Aber dies ist nur ein Teil der Aufgabe. Informationen und Risiken gibt es auch außerhalb der Informationstechnologie in vielen Bereichen des Krankenhauses. Auch an diesen Stellen muss die Informationssicherheit gewährleistet werden. Es stellt sich die Frage, wer hat die Möglichkeit, in fachfremde Prozesse Einblick zu erhalten? Wer wird sowohl im medizinischen als auch im administrativen Umfeld Entscheidungen treffen und diese auch durchsetzen können? Wer wird als Ansprechpartner auf Augenhöhe wahrgenommen?
Wie beim Datenschutz stellt sich die Frage, wo die Stelle des Chief Information Security Officer (CISO) angesiedelt wird, an den die Leitung des Hauses die Verantwortung delegiert, sich um die Erfüllung der Anforderungen eines ISMS zu kümmern? Dem Anspruch, die „Sicherheit im Gesundheitsunternehmen“ zu erhöhen, kann nur Genüge getan werden, wenn eine Positionierung der Aufgabe auf der Ebene des Vorstandes oder – um im Sprachgebrauch der DIN ISO/IEC 27001 zu bleiben – der obersten Führungsebene erfolgt. Dies gilt auch für die Positionierung eines Informationssicherheitsbeauftragten, da er nur führungsnah im engen Stab erfolgreich sein kann.
Eine Abteilung Compliance erscheint vor diesem Hintergrund immer sinnvoller. In den Kliniken gibt es bereits eine Vielzahl von Beauftragten zu Compliance-Themen. Es ist an der Zeit, diese Beauftragten im Stab unter der Führung eines juristisch Fachkundigen zusammenzulegen:
| – Innenrevision/Submissionsstelle |
| – Datenschutz-Beauftragter |
| – Informationssicherheitsbeauftragter (CISO) |
| – Beauftragter Medizinproduktsicherheit |
Ob die Beauftragten für Arbeitsschutz, das Risikomanagement und weitere Beauftragte des Hauses dazu genommen werden sollten, ist zumindest diskussionswürdig.
Einen CISO in der IT anzusiedeln, wäre hingegen genauso fernliegend wie eine im Einkauf oder in der Finanzbuchhaltung angesiedelte Innenrevision. Trotzdem gibt es vereinzelte Stimmen, die eine Zuordnung des CISO in die IT eher als zielführend sehen. Informationssicherheit und das zugehörige Management sind ein unbedingtes Führungsthema. Es ist an der Zeit, dass sich die Führungskräfte dieses Themas mit aller Konsequenz annehmen. Die IT wird sie bei dieser Aufgabe nach Kräften unterstützen.