Für die KKRN Katholisches Klinikum Ruhrgebiet Nord GmbH (KKRN GmbH) als Arbeitgeber im Gesundheitswesen mit ca. 3.000 Mitarbeitenden im nördlichen Ruhrgebiet spielt die Informationstechnologie (IT) eine tragende Rolle und wirkt unterstützend bei allen Prozessen der Patientenversorgung, egal ob im ambulanten, stationären, elektiven oder Notfallbereich. Administrative Aufgaben, wie zum Beispiel das Finanzmanagement, Personalverwaltung, Einkauf und Controlling sind ohne IT nicht effizient zu gestalten.
Für die KKRN GmbH als sogenannte kritische Infrastruktur dürfen Ausfälle in der Verfügbarkeit von IT‐Systemen nicht die Versorgungssicherheit und das Patientenwohl gefährden. Ausfälle sind nicht tolerierbar und müssen jederzeit durch Ersatzverfahren kompensiert werden können. Negative Auswirkungen auf den Behandlungsprozess müssen vermieden werden. Auch in Teilbereichen dürfen die klinischen und verwaltungstechnischen Prozesse nicht vollständig zum Erliegen kommen.
Nicht nur die Verfügbarkeit, sondern auch die Integrität der Daten (Korrektheit, Vollständigkeit und Konsistenz von Daten) zur Krankenversorgung ist von existentieller Bedeutung, um den Behandlungserfolg und die Patientensicherheit sicherzustellen. Weiterhin muss gewährleistet sein, dass die besonderen sensiblen Daten unserer Patienten und Mitarbeitenden nicht an Unberechtigte gelangen (Vertraulichkeit).
Die Geschäftsführung unterstützt alle notwendigen Maßnahmen zur Informationssicherheit und hat die vorliegende Leitlinie zur Informationssicherheit beschlossen, um durch eine sichere IT‐Nutzung und einen sicheren IT‐Betrieb bei der KKRN GmbH sowohl Patientenversorgung als auch Lehre kontinuierlich auf höchstem Niveau betreiben zu können und die Prozesse in der Verwaltung zu unterstützen.
Geltungsbereich und übergeordnete Ziele
Die Leitlinie zur Informationssicherheit richtet sich an alle Mitarbeitende aller Organisationseinheiten, sowohl in der KKRN GmbH als auch bei den Tochtergesellschaften der KKRN GmbH.
Die in dieser Leitlinie beschriebenen Grundprinzipien werden auf alle Beziehungen zu Dritten angewendet, welche z. B. über Lieferanten‐, Dienstleistungs‐ oder Kooperationsbeziehungen Zugang zu Informationen des
Klinikverbundes erlangen. Die Realisierung von angemessener Verfügbarkeit, Vertraulichkeit und Integrität aller verarbeiteten Informationen, sowie die Gewährleistung des Datenschutzes und damit die Sicherstellung der Behandlungseffektivität und der Schutz des Patientenwohls bei informationsverarbeitenden Prozessen, sind neben der Einhaltung aller gesetzlichen und rechtsrelevanten Regelungen die grundlegenden Ziele der Informationssicherheit innerhalb der KKRN GmbH.
Dabei bezeichnet:
Für IT‐Systeme, Daten und Informationen im direkten Behandlungskontext von Patienten gelten maximale Anforderungen.
Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der zu schützenden Informationen und IT‐Systeme stehen.
Ziel ist es, durch geeignete Maßnahmen das Patientenwohl und den Behandlungserfolg zu jeder Zeit sicherzustellen.
Informationssicherheitsvorfälle mit hohen finanziellen und datenschutzrechtlichen Auswirkungen sowie Schäden in Bezug auf die Reputation der KKRN GmbH sollen verhindert werden.
Ein Informationssicherheitsmanagementsystem (ISMS) ist aufgebaut und wird fortgeschrieben. Das ISMS soll die kontinuierliche Überwachung und Verbesserung der Informationssicherheit innerhalb der KKRN GmbH
gewährleisten. Damit kommt die KKRN GmbH den gesetzlichen Anforderungen aus dem IT‐Sicherheitsgesetz (IT‐SiG), der Verordnung für kritische Infrastrukturen (KRITIS V) und dem Sozialgesetzbuch V nach.
Die nachfolgenden Leitsätze bestimmen die Gestaltung der Informationssicherheit in der KKRN GmbH: