In Gesprächen mit Informationssicherheitsbeauftragten wurde immer wieder die Frage gestellt: Wie bekomme ich denn die Patientensicherheit mit meinem IT-Risikomanagement zusammen?

In diesem Beitrag gehen wir der Fragestellung nach und Sie erfahren, wie Sie mit einem entsprechend umgesetzten IT-Risikomanagement einen wesentlichen Beitrag zu Patientensicherheit leisten können.

Patientensicherheit als übergeordnetes Ziel des Krankenhauses

Patientensicherheit im Krankenhaus ist eine Grundvoraussetzung. Nach dem Kano-Modell ist die Patientensicherheit ein Basis-Merkmal, welches für den Patienten so grundlegend und selbstverständlich ist, dass es ihm erst bei Nichterfüllung bewusst wird und damit gleichzeitig zur Unzufriedenheit führt.

Übergeordnet findet sich in den Unternehmenszielen der Krankenhäuser das Thema Patientensicherheit wieder, weshalb es unternehmensweit zu integrieren ist.

Der kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) freigegebene branchenspezifische Sicherheitsstandard (B3S) weist explizit auf die Patientensicherheit hin. Dort wird die Patientensicherheit wie folgt beschrieben: „…als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.“.

Risikomanagementsysteme sind bereits etabliert

Das Risikomanagement ist hierfür ein geeignetes Instrument, um dies im Krankenhaus umzusetzen. Risiken lassen sich in unterschiedliche Kategorien, wie z. B. medizinisch/klinische, betriebswirtschaftliche oder (informations-) technische Risiken einteilen. Im klinischen Kontext ist Risikomanagement bereits häufig mit dem Qualitätsmanagement verbunden. Viele Krankenhäuser oder deren Abteilungen, Zentren oder Institute sind nach Qualitätsmanagement-Normen, wie KTQ oder ISO 9001, zertifiziert. Diese Normen enthalten ein umfangreiches Risikomanagement, um den hohen Qualitätsansprüchen gerecht zu werden. Auch in der Medizintechnik wird im Rahmen der DIN 80000-1 ein ausführliches Risikomanagement für vernetze Systeme gefordert.

In der Informationssicherheit spielt das Risikomanagement ebenso eine entscheidende Rolle und ist Teil der einschlägigen Standards und Rahmenwerke (z.B. ISO 27001). Die Risikoanalyse gilt hierbei als Basis für die Auswahl der zu implementierenden Sicherheitsmaßnahmen. Ein Informationssicherheits-Risiko kann dabei ebenfalls ein Risiko für die Patientensicherheit darstellen, z. B. wenn eine Manipulation von Daten die Behandlung beeinflusst und somit die Patientensicherheit gefährdet.

Nun stellt sich die Frage, wie sich die Patientensicherheit sinnvoll in die Informationssicherheit integrieren lässt?

Schutzziel Patient

Werden die gängigen Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität/Authentizität, Vertraulichkeit) mit den Zielen einer Gesundheitsorganisation, also der Patientensicherheit, kombiniert, ergibt sich ein neuer Blickwinkel auf das Thema Sicherheit.

Die Integrität und Authentizität, also die Unversehrtheit und Echtheit von Informationen haben direkten Einfluss auf die Qualität der Behandlung, da z. B. bei falschen Blutwerten verheerende Diagnosen erstellt und Fehlbehandlungen durchgeführt werden könnten.

Oder die Verfügbarkeit von Systemen und deren Informationen, welche notwendig sind, um wichtige medizinische Entscheidungen zu treffen. Ist die Verfügbarkeit nicht gegeben, hat dies einen direkten Einfluss auf die Patientensicherheit.

Das Schutzziel der Vertraulichkeit reicht sogar bis in das alte Griechenland, wo der Eid des Hippogrades Ärztinnen und Ärzte dazu veranlasst, anvertrauten Geheimnissen auch über den Tod der Patienten hinweg zu wahren. Dies gilt heute mehr denn je, da die Informationen in digitaler Form gespeichert werden. Erhielte man zur damaligen Zeit nur durch Bruch des Eides die Informationen, genügt heute ein Datenleck in der IT um an streng vertrauliche Patientendaten zu gelangen.

Umsetzungsbeispiel

Einen Ansatz, wie Sie im konkreten Fall bei Ihrer Risikoanalyse vorgehen und welche Einstufungen Sie treffen können, liefert das BSI.

Es gibt in seinem Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ eine mögliche Integration der Patientensicherheit in das Risikomanagement vor. Hierbei werden zur Bewertung der Kritikalität von (IT-)Risikoobjekten auch messbare Kriterien für die Patientensicherheit definiert.

Kritikalität Verfügbarkeit
(max. Ausfallzeit)
Integrität / Vertraulichkeit
(Kompromittierung)
Auswirkungen (Schaden)
Sehr hoch < 4 Stunden Betrifft Behandlungs- und lebensnotwendige Daten Schwerer Gesundheitsschaden mit Dauerfolgen und dauerhafter Pflegebedürftigkeit, Tod des Patienten/ Mitarbeiters
Hoch 4-24 Stunden Betrifft Behandlungs- aber nicht lebensnotwendige Daten Schwerer Gesundheitsschaden mit Dauerfolgen ohne dauerhafte Pflegebedürftigkeit jedoch mit Berufseinschränkung2
Normal 24-48 Stunden Allgemeine, nicht behandlungs- oder lebensnotwendige Daten Column 4 Value 3
Niedrig > 48 Stunden Allgemeine Daten Leichter Gesundheitsschaden mit vorübergehenden Beschwerden

Achten Sie deshalb bei der Auswahl einer Risikomanagement-Software unbedingt darauf, dass Sie bei der Risikoanalyse eine entsprechende Bewertung der Patientensicherheit durchführen können.

Fazit

Durch die stetig wachsende Vernetzung und Digitalisierung, gerade auch im medizintechnischen Bereich, ist die Patientensicherheit nur unter zusätzlicher Berücksichtigung der Informationssicherheit möglich. Eine ganzheitliche, interdisziplinäre Betrachtung aller Risiken ist deshalb für das übergeordnete Ziel der Patientensicherheit unabdingbar. Die Informationssicherheit im Krankenhaus und das damit verbundene Risikomanagement ist daher für den Schutz der Patienten ebenfalls elementar.