5. Juli 2021

B3S im Krankenhaus: mehr als IT-Sicherheit

Von Joachim Reinke

Juli 5, 2021

B3S, Krankenhaus

Bis zum 31.12.2021 muss der umgesetzt sein - der B3S im Krankenhaus: mehr als IT-Sicherheit? Aber auf jeden Fall! Wir erklären Ihnen, wieso die Anforderungen des § 75c SGB V und des B3S der DKG e.V. weit über IT-Sicherheit hinausgehen.

Der B3S der DKG e.V. fordert den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zur ganzheitlichen Regelung der Informationssicherheit im Krankenhaus.

Informationssicherheit bedeutet: alle wichtigen Informationen im Krankenhaus werden angemessen und wirksam geschützt.

Aber was bedeutet das eigentlich genau?

Informationssicherheit - die Basis des Ganzen

Informationssicherheit ist die Basis des B3S und bedeutet:

  1. Vertraulichkeit: wichtige Informationen dürfen nicht unabsichtlich den falschen Personen zugänglich sein;
  2. Integrität und Authentizität: nur berechtigte Personen können wichtige Informationen ändern - und Informationen sind "echt", d.h. stammen nur von tatsächlich autorisierten Quellen;
  3. Verfügbarkeit: autorisierte Personen können auch tatsächlich auf Informationen zugreifen, wenn sie diese benötigen: die Informationen sind da, wenn man sie braucht.

Die o.g. drei Schutzziele sind in Krankenhäusern allgegenwärtig:

  • Stellen Sie sich vor, personenbezogene Patientendaten über Erkrankungen wären öffentlich einsehbar.
  • Überlegen Sie, wie fatal es sein kann, wenn heute dokumentierte Diagnosen oder Therapieentscheidungen morgen verändert wären.
  • Oder: was wäre, wenn alle Informationen aus dem KIS morgen nicht verfügbar wären, weil das System abgestürzt wäre und sich nicht mehr starten lässt!

Vertraulichkeit, Integrität und Verfügbarkeit stammen aus der internationalen Norm für Informationssicherheit, der ISO 27001 und aus dem (mit Abstrichen und eher nur bei Behörden in Deutschland bekannten) BSI IT-Grundschutz.

Sie merken schon: es geht nicht um "Hackingsicherheit von Computern". Der B3S lässt völlig offen, wo die wichtigen Informationen gespeichert sind.

Patientensicherheit und Behandlungseffektivität

Aber: Der B3S belässt es aber nicht bei den drei Schutzzielen Vertraulichkeit, Integrität (und Authentizität) und Verfügbarkeit.

Er definiert darüber hinaus zwei weitere Schutzziele:

  1. Patientensicherheit: die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. (Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.)
  2. Behandlungseffektivität: die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher.

Spätestens hier sehen Sie: diese übergeordneten Ziele gehen über die Tätigkeiten der IT-Abteilung im Krankenhaus weit hinaus:

  • Dass ein Patient frei von unvertretbaren Risiken einer physischen Verletzung bleibt, ist sicherlich unter anderem korrekten und verfügbaren Informationen zuzuschreiben - aber natürlich nicht nur.
  • Eine wirksame Behandlung eines Patienten hat als notwendige Bedingung natürlich Informationen zur rechten Zeit am rechten Ort - aber es gehört mehr dazu.

Die beiden letzteren Schutzziele sind ihrem Wesen nach mehr Qualitätsziele als Informationssicherheitsziele. Der B3S fordert dennoch ihre Erfüllung. Wenn Sie in Ihrem Krankenhaus bereits ein Qualitätsmanagement (bspw. nach ISO 9001) etabliert haben, hilft Ihnen das jetzt deutlich!

IT-Sicherheit

Der B3S fordert in den konkreten operativen Maßnahmen natürlich auch IT-Sicherheit. Das ist aber nur "Mittel zum Zweck". IT-Sicherheit wird häufig mit Informationssicherheit verwechselt.

IT-Sicherheit ist der Informationssicherheit nachgeordnet. Sie bezieht sich ausschließlich auf Informationen, die in Computern - oder allgemeiner: elektronischen Informationssystemen - gespeichert sind. Wie bspw. im KIS im Krankenhaus oder im LIS.

Daher gilt: Informationssicherheit kann teilweise durch IT-Sicherheit hergestellt werden - aber nicht vollständig.

Unser Tipp

B3S im Krankenhaus: mehr als IT-Sicherheit - auf jeden Fall!

Betrachten Sie die Umsetzung des B3S nicht als reines IT-Thema.

Es geht vielmehr darum, dass Sie in Ihrem Krankenhaus verbindlich regeln, wie Sie das Thema ganzheitlich angehen möchten. Wie Sie Ihre Zusammenarbeit so regeln, dass dabei Informationssicherheit entsteht.

Haben Sie Fragen zum Thema? Dann vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!

Kennen Sie weitere Begriffe in diesem Umfeld, die wir einordnen sollen? Dann kommentieren Sie gerne unter diesem Beitrag.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.