Security-Audit bei den Psychiatrischen Diensten Aargau AG
Wie werden Patientendaten im Gesundheitswesen geschützt? Was unternehmen Institutionen, um dem Datenschutz gerecht zu werden? Es hat sich gezeigt, dass sich ein IT-Security-Audit ideal eigent, um sich einen Überblick über die Risiken zu verschaffen und die Wirksamkeit der Schutzmassnahmen zu prüfen. Die Psychiatrischen Dienste Aargau AG gehen mit gutem Beispiel voran.
Psychiatrische Dienste Kanton Aargau AG
Digitalisierung im Gesundheitswesen
Die Digitalisierung im Gesundheitswesen nimmt rasant zu. Ohne die moderne Informationstechnologie läuft auch hier (fast) nichts mehr: Von der Erfassung über die Verarbeitung, hin zur Übermittlung und Archivierung von Patientendaten in Computersystemen wird alles elektronisch abgewickelt. Die Flut der anfallenden Patientendaten wird immer grösser. Davon betroffen sind auch die Psychiatrischen Dienste Aargau AG (PDAG). PDAG macht sich unter anderem auch die moderne Internet-Technologie zu Nutze, um die verschiedenen Dienste (IPD, EPD, KJPD) in den 11 Standorten, verteilt über den ganzen Kanton, miteinander zu verbinden und gemeinsame Informationen zu nutzen.
Sicherheit der Patientendaten
Der Umgang mit Patientendaten ist gerade in der Psychiatrie sehr heikel, da ihr gegenüber in der Öffentlichkeit die meisten Vorurteile bestehen. Doch wie steht es um die Sicherheit der Patientendaten? Wie sicher sind die gespeicherten, transferierten und verarbeiteten Patientendaten wirklich? Wer garantiert, dass diese Daten nicht von aussen eingesehen werden können? Eine schlecht konfigurierte Firewall oder sonstige Unstimmigkeiten in anderen sicherheitsrelevanten Kompo-nenten können verheerende Folgen haben für Patienten und die Klinik. Auch im Gesundheitswesen, wo sich die IT nicht ausschliesslich und täglich mit dem Thema IT-Security auseinandersetzen kann, können sich solche Fehler einschleichen. Womit kann dem aber am besten Abhilfe geschafft werden?
Gewissheit schaffen
Mit einem Audit des professionellen IT-Security-Anbieters terreActive AG wurden die Konfigurationen der verschiedenen Standorte der PDAG genauestens untersucht. terreActive AG lieferte den PDAG nach der Auditierung einen ausführlichen Bericht mit einer Risikoanalyse, sowie einen Massnahmen-Katalog, um diese Bedrohungen zu beheben. Mit dem Audit verschafften sich die PDAG die Gewissheit, dass alle Sicherheitssysteme richtig eingestellt sind und ihren Zweck erfüllen, so dass unter anderem keine Patientendaten von aussen eingesehen werden können.
IT-Security Audit ist in Zukunft fester Bestandteil des IT-Budgets
Herr Voelklin, Leiter Informatik bei den PDAG ist über «die angenehme Teamarbeit» sehr zufrieden. Speziell hat ihm auch die «professionelle Umsetzung des Audits ohne weitere Verkaufsanstrengungen» imponiert. Die Kommunikation bezüglich Aufgaben- und Terminplanung hat «einwandfrei funktioniert», sagt der Verantwortliche. Seine Erwartungen «wurden voll erfüllt, da eine neutrale Beurteilung der Schwachstellen, objektiv und sachlich erkannt und kommuniziert wurde», macht der zufriedene terreActive-Kunde deutlich. Aus dieser Beurteilung wurde anschliessend der Massnahmenplan erstellt. Auf die Frage, ob die PDAG in Zukunft wieder ein IT-Security Audit durchführen werde, antwortete Herr Voelkin: «Selbstverständlich, denn eine Überprüfung der sich stetig ändernden IT-Anforderungen sollte ein fester Bestanteil des IT-Budgets sein.»
