„ISMS Projekt“ im Krankenhaus – Treffen mit dem Geschäftsführer

(by Pd4u [WTFPL or CC0], from Wikimedia Commons)

Wie bereits im ersten Beitrag zum Projekt erwähnt, muss die Geschäftsführung hinter dem ISMS stehen, damit es ein Erfolg werden kann. Deshalb haben wir den Leiter IT um ein gemeinsames Gespräch beim Geschäftsführer des Krankenhauses gebeten, sprich dem letztendlich Verantwortlichen.

Nach meiner Erfahrung haben Meetings mit Geschäftsführern immer eine gewisse Unberechenbarkeit. Trotz gewissenhafter Vorbereitung und akribischer Planung gibt es häufig Wendungen oder Fragen, mit denen keiner gerechnet hat. Vermutlich liegt es daran, dass nur Personen mit besonderen persönlichen Eigenschaften in diese Positionen drängen, in fast allen Fällen sind natürlich Ehrgeiz und gewisses Auftreten dabei. Wenn man Glück hat (wie in unserem Fall), ist dies gepaart mit Entscheidungsfreude, Pragmatismus und schneller Auffassungsgabe. Das führt dann nämlich dazu, dass man zügig voran kommt.

Wenn man Pech hat, trifft man stattdessen auf den Typ „Fehlervermeidung durch Nichtstun“ getarnt durch die üblichen Nebelkerzen wie „es sei ja noch nie was passiert“, „es muss wirtschaftlich bleiben“, „wir müssen flexibel bleiben“ oder – auch hier gibt es immer wieder Überraschungen – erst kürzlich von einem Geschäftsführer gehört „wir haben keine Lust zu dokumentieren“; wer hat das schon 😉 ? Also im Grunde immer frei nach unserem ehemaligen Arbeitsminister Norbert Blüm: Wer arbeitet macht Fehler, wer viel arbeitet macht viele Fehler, wer nicht arbeitet, macht keine Fehler – wer keine Fehler macht, wird befördert! Hier kann man versuchen, mit Geduld zu arbeiten, und sich für den Fall vorzubereiten, wenn die Dinge sich schlagartig ändern. Kommt es zum Beispiel zu einem Vorfall oder wird ein überraschendes Audit angekündigt, ist es gut, alle Pläne bereits in der Schublade zu haben, um sofort mit der Umsetzung beginnen zu können.

Aber zurück zum konkreten Projekt. Das Überraschende war diesmal, dass der Geschäftsführer innerhalb kürzester Zeit das Prinzip des Management-Systems nach ISO 27001 verstanden hatte – andere benötigen dazu immerhin eine 5 Tages-Schulung. Das Puzzlestück, das ihm fehlte war ein anderes. Seine Frage war, was denn eigentlich das Ziel des Ganzen sei, warum man das denn überhaupt mache. Weil es die Gesetze fordern? Geschenkt. Weil die Bedrohungen wachsen? Logo. Wegen der Digitalisierung? Klar. Das war es aber alles nicht, was er suchte. 

In der Erinnerung an die Grundlagen unserer Vorlesung „IT-Sicherheitsmanagement“ an der FOM Hochschule, quasi das Einmaleins der IT-Sicherheit, versuchte ich es mit „Verfügbarkeit, Integrität und Vertraulichkeit der Patientendaten, sprich die Behandlungen müssen stattfinden können, die Patientendaten müssen richtig zugeordnet werden und sie müssen selbstverständlich auch im digitalen Umfeld vertraulich bleiben“. Bingo. Das war genau das Puzzleteil, das dieses Mal gefehlt hatte. Der Rest war Routine:

  • Bestätigung, dass wir nach ISO 27001 arbeiten wegen der Möglichkeiten einer späteren Zertifizierung und den damit verbundenen Vorteilen
  • Bestätigung, dass wir den stationären Behandlungsprozess betrachten (Scope)
  • Unterstützung, dass wir zu einem späteren Zeitpunkt alle 2000 Mitarbeiter in ein Awarenessprogramm aufnehmen werden
  • Unterstützung, dass wir Vertreter von Ärzteschaft und Pflege ins ISMS Projekt einbeziehen
  • Unterstützung, dass wir mit einem Workshop beginnen, der die sogenannten interessierten Parteien und deren Anforderungen ermittelt, Sicherheitsziele vorschlägt, Risiken identifiziert und bewertet, sowie einen Maßnahmenplan erstellt, sprich das PLAN des Plan-Do-Check-Act Demingzyklus ausarbeitet
  • Erwartung, dass wir die Planungsprozesse des ISMS (PLAN) zügig abschliessen und die Ergebnisse vorstellen

Um in einem einzigen Workshop mit Ärzten und Pflegern die Planung tatsächlich durchführen zu können, und uns dabei nicht in endlosen Diskussionen zu verzetteln, die allen die Zeit stehlen und keine Ergebnisse produzieren, wenden wir ein paar „Indianertricks“ an. 

Beispielsweise wird genau ein Arzt und genau ein Pflegedienstleiter zur Teilnahme am Workshop ausgewählt. Dadurch bleibt die Arbeitsgruppe klein und schlagkräftig. Außerdem werden wir den ganzen Workshopprozess einmal mit dem IT-Leiter durchlaufen und so provisorische Ergebnisse erzeugen, d.h. Arzt und Pflegedienst müssen später nur noch bestehende Ergebnisse kommentieren und verbessern, was wesentlich einfacher ist, als eigene Ergebnisse zu erarbeiten. (Fortsetzung folgt)

Tags: , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.