Strukturen für ISDS-Fragen schaffen

ICT Governance und Patientendaten

Der Umgang mit Patientendaten stellt erhöhte Anforderungen an die ICT-Compliance vor allem im Bereich des Datenschutzes. Im Umsetzungsprojekt „ICT-Compliance“ des Spitals STS AG Thun hat sich schnell gezeigt, dass es nicht genügt, nur die verlangten Regelungen und Vorgaben zu erstellen, sondern dass es wichtig ist, die Einhaltung der Regelkonformität in die betrieblichen Prozesse einzubinden. Also weg vom Papiertiger zur täglich gelebten Aufgabe. 

Das Audit des Klinikinformationssystems, welches von der Datenaufsichtsstelle des Kantons Bern von einer Beratungsfirma erstellt wurde, ergab eine Liste von 42 Umsetzungsempfehlungen. Aufgrund dieses Berichts wurde die Keller Unternehmensberatung beauftragt, eine Umsetzungsplanung in Zusammenarbeit mit den Verantwortlichen der Informatik zu erarbeiten. Die Projektplanung sah dabei vor, die Umsetzung in zwei Hauptphasen „zentrale Themen (Gesamtspital)“ und „applikationsspezifische Themen“ zu unterteilen und die Umsetzung dieser Aufgaben zu priorisieren und zu terminieren. Diese Projektplanung wurde gutgeheissen und die Aufarbeitung und Umsetzung in Angriff genommen. Zudem wurde die Datenschutzaufsichtsbehörde informiert, bis wann die Empfehlungen und Anforderungen aus der Analyse umgesetzt werden können. 

Während der Erstellung und Aktualisierung von Dokumenten wie Datenschutzhandbuch, Risikokatalogen pro Applikation, Informatik-Sicherheits- und Datenschutz- Konzept (ISDS-Konzept) wurde in den Diskussionen schnell klar, dass diese Regelungen mit den dazugehörenden Prozessen noch besser in den Betriebsablauf eingebettet werden müssen und auch an die Ansprechpartner ausserhalb der Informatik verständlich zu kommunizieren sind. 

Es wurden daher neben der Bereinigung der Dokumentationen und der Prozesse, klare Verantwortlichkeiten definiert und Gremien geschaffen, welche den Unterhalt des Hauses „ICT Governance“ mit einer der tragenden Säulen „ICT Risk, Security- und Compliance Management“ sicherstellen. 

So wurde neben dem Datenschutzbeauftragten auch ein Beauftragter ICT Sicherheit benannt, welcher frühzeitig ins Projekt eingebunden wurde und dabei wichtige Akzente, auch in der Sicherstellung der kontinuierlichen Überwachung und Überführung, in die laufenden IT-Aufgaben setzen konnte. Bei jedem Thema wurde analysiert, welche Massnahmen nötig sind, damit die Regelungen auch gelebt und deren Einhaltung periodisch überprüft werden kann. Dies jedoch immer mit dem Ziel, die knappen IT-Ressourcen so wenig wie möglich zu belasten. 

Mit diesem Vorgehen konnten in einem kleinen Team die Anforderungen und Empfehlungen umgesetzt und zeitgerecht in den Betrieb genommen werden. 

Wir sind überzeugt, dass mit dieser Einbettung in die IT-Betriebsprozesse die geforderten Datenschutzmassnahmen und auch die übrigen ICT-Compliance Anforderungen wie Informatiksicherheit, Verfügbarkeit und Datenaufbewahrung laufend aktuell gehalten und die eingeführten Prozesse so sukzessive verbessert werden. Mit dem Abschluss des Einführungsprojektes ist die ICT-Compliance nicht nur dokumentiert, sondern die Einhaltung der Compliance- Regelungen als aktuelle, tägliche Aufgabe implementiert.

Artikel als PDF

Interview mit Ueli Dummermuth

Leiter Informatik Spital STS AG Thun

Zum Interview...

IT Compliance

IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. IT-Compliance als Teilbereich fokussiert diejenigen Aspekte von Compliance-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Unternehmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen können.

IT-Gonvernance

IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informationstechnik (IT) die Unternehmensstrategie und -ziele unterstützt. Unter IT wird in diesem Zusammenhang die gesamte Infrastruktur verstanden, aber auch die Fähigkeiten und die Organisation, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Verwaltungsrates und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.

Keller Unternehmensberatung AG

Unsere Beraterinnen und Berater verfügen alle über eine qualifizierte Aus- und Weiterbildung sowie eigene Branchenerfahrung. Zahlreiche Projekte und Beratungsaufträge entwickeln unser Know-how und unsere Kompetenz kontinuierlich weiter. Wir verfolgen zudem die Entwicklungen der Branche, um frühzeitig neue Trends und Anforderungen aufnehmen zu können.

Qualität für unsere Kunden

Die Zufriedenheit unserer Kunden ist unser oberstes Ziel. Wir legen Wert auf eine hohe Qualität unserer Beratungsleistungen und Produkte. Unsere Firma ist seit über 10 Jahren ISO-zertifiziert und arbeitet ständig daran, ihre Prozesse und Beratungsleistungen weiter zu verbessern.

Unternehmensstrategie systematisch gestalten

Die Erarbeitung einer nachhaltigen Strategie ist unabdingbar, wenn sich das Unternehmen nicht zufallsgetrieben entwickeln soll. Eine transparente Ausgangslage, ergänzt z.B. durch eine Einschätzung durch die VR- und GL-Mitglieder mit einer Online-Umfrage, bildet die Basis für die folgende kreative Entwicklungsarbeit.

Wirkungsvolle Unternehmenssteuerung

Die Etablierung eines zeitgemässen Budgetprozesses, der Aufbau eines etwas bewegendes Controllings und Reportings gehören zu den Basisinstrumenten der finanziellen Führung. Verschiedene anerkannte Instrumente, wie zum Beispiel REKOLE® bei den Spitälern und Kliniken, werden aber nach wie vor ungenügend genutzt. Warum?

Messen Sie sich mit den Besten

Die Keller Unternehmensberatung AG verfügt über vielfältige Erfahrungen im Benchmarking von Spitälern, Kliniken, Psychiatrien sowie Alters- und Pflegezentren. Die Benchmarks beinhalten vielfach umfassende Leistungs-, Kosten- und Ressourcenkennzahlen und erlauben, sich und seinen eigenen Betrieb sehr schnell zu positionieren. Mit HEBES Heim-Benchmarking Schweiz steht eine moderne Internet-Lösung zur Verfügung.

Machen Sie die Prozesse schlank und sicher

Die erfolgreiche Optimierung der Prozesse scheitert nicht an der Wahl der Managementmethode. Wichtiger sind: Engagement des Managements, Zielklarheit, verbindliche Verantwortlichkeiten, echte Verfügbarkeit der Schlüsselpersonen, konstruktive Kooperation zwischen den Bereichen, eine gute Kommunikation, Einbezug der Betroffenen, professioneller Einsatz von Instrumenten zur Prozessanalyse und das konsequente Messen der Resultate.

ICT-Strategie entwickeln und umsetzen

Mit einer Abstützung der ICT-Strategie auf die Unternehmensstrategie stellen Sie sicher, dass die Mittel wirkungsvoll und auf das Business ausgerichtet eingesetzt werden. Die Strategie legt den Grundstein für die zu realisierenden Weiterentwicklungen, neue Projekte oder Optimierung der Infrastruktur.

Projekt- und Projektportfolio-Management

Projekte sauber strukturiert abzuwickeln bedingt Erfahrungen im Projektmanagement. Voraus geht immer die Erarbeitung eines klaren, verbindlichen Projektauftrages (Projektcharter). Unsere Berater verfügen über hohe Kompetenzen im Projektmanagement und Projektcontrolling, nicht nur von ICT-Projekten.

Qualität ist unser Credo

Keller Unternehmensberatung Qualität