Herzlich willkommen zu meinen Eindrücken über meinen Aufenthalt in der Notaufnahme als ISB/CISO.
Wie kam es zu dem Aufenthalt ? Zum besseren Verständnis von Fachbereich ( Krankenhausnotaufnahme ) und Informationssicherheit habe ich mich in meiner Rolle als ISB/CISO im Klinikum Bayreuth entschlossen, meinen Bürostuhl mit dem Fachbereich mal zu tauschen und in den Arbeitsalltag der Notaufnahme für vier Wochen abzutauchen.
Zu diesem Zweck habe ich meine „Arbeitskleidung“ gewechselt.
Mein 4-Wochen Dienstplan (jeweils 4-5 Stunden)
4 x Frühschicht
4 x Spätschicht
1 x Wochenendnachtschicht (war ein ausdrücklicher Wunsch von mir)
====================================================================
Meinen Dienst habe ich in einer ziemlich entspannten Zeit beginnen können. Es war nicht viel los und schwere Fälle waren zu dem Zeitpunkt auch nicht in der Aufnahme. Natürlich hatte ich meine CISO-Brille auf und versuchte unsere Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und Patientensicherheit) im Blick zu behalten. Als ein Bildschirm neben mir ein schrilles Geräusch von sich gab und oben links ein Bildschirmausschnitt hektisch rot zu blinken begann, war es soweit. Ein RTW kündigte sich mit einer schwerverletzen Person an. Noch bevor der RTW in der Notaufnahme eintraf, wurde das benötigte Personal und Material organisiert. Wortfetzen flogen durch die Luft oder wurden elektronisch weitergeleitet.
Noch bevor der Patient in der Notaufnahme eintraf, wurden eine Menge Informationen produziert und ausgetauscht.
Mein erster Gedanke: Wird das Schutzziel „Vertraulichkeit“ angemessen berücksichtigt“ ?
Dieser Gedanke sollte sich schon sehr bald stark relativieren.
Nach Eintreffen des Patienten: Viele Informationen (Daten) wurden erstellt und immer wieder modifiziert. Alte Befunde herangezogen und mit aktuellen Untersuchungsergebnissen verglichen. Auch aus externen Datenbanken wurden Informationen zur optimalen Behandlung und Versorgung herangezogen.
Mein zweiter Gedanke: Was wäre, wenn die Informationen nicht zur Verfügung stehen ? Und noch viel schlimmer: Was wäre, wenn die Informationen aufgrund von einer zu hohen Einstufung der Vertraulichkeit nicht zur Verfügung stehen würden und (vielleicht überzogene) IT-Berechtigungskonzepte die Behandlung verzögern oder unmöglich machen ?
Nur einmal zur Erinnerung: Ich befinde mich in der Notaufnahme und nicht auf einer Station, wo die Zeit (meiner Meinung) eine ganz andere Rolle spielt.
!!! Klärt mich auf, wenn ich hier falsch liege !!!
Natürlich stoppte das Gedankenkarusell danach nicht:
Was würde ich einem Kind sagen, dass plötzlich vor mir auftaucht und mich fragt, ob die Mama überlebt und ich genau weiß, dass Informationen aufgrund von „Mein zweiter Gedanke“ (siehe oben) nicht rechtzeitig zur Vergügung stehen ?
Ein gruseliger Gedanke.
Einmal kurz geschüttelt, versuchte ich wieder rational zu denken.
Welchem Schutzziel würde ein Patient in einer lebensbedrohlichen Situation wohl den Vorrang geben ? Vertraulichkeit oder Verfügbarkeit ? Ich persönlich würde der Verfügbarkeit die höhere Priorität einräumen. Aber wie könnte das in einer Situation dem Krankenhauspersonal mitteilen ? Eine Möglichkeit wäre in eine Patientenverfügung einen Passus aufzunehmen, dass ich im Fall, dass ich mich nicht mehr äußern kann, meine Daten von jeglicher Vertraulichkeitseinstufung befreit sind und die Verfügbarkeit Vorrang hat. Ok. Das ändert noch nichts an den Berechtigungskonzepten, die meine Daten abschotten, aber entlastet von gesetzlichen Einschränkungen. Denn ich habe meine Daten ja selbst freigegeben und das ist meines Wissen laut Datenschutz eine Möglichkeit zur Freigabe.
Im Informationssicherheitsprozess wird gerne der PDCA-Zyklus (siehe) herangezogen um ein ISMS aufzubauen und ständig zu verbessern. Das ist in weitgehend regulierten Umgebungen auch ein guter Ansatz. In dynamichen Umgebungen sollte es meiner Meinung jedoch z.B. eine „Turbo-Schutzanalyse“ geben, die in außergewöhnlichen Sitatutionen Neubewertungen und Maßnahmenanpassungen erlaubt. Zu diesen dynamischen Umgebungen gehört garantiert eine Notaufnahme.
Liebe Health-ISB`s/CISOs. Wir müssen anfangen nicht nur starr in ISO/BSI/etc.-Prozessen zu denken, sondern manchmal auch die scharfen Konturen von ISMS-Prozessen aufweichen oder sogar aufbrechen. Zumindest in der Notaufnahme.
Das war die erste Woche. Drei weitere werden folgen.
(Genderhinweis: In diesem Text wird zur besseren Lesbarkeit auf die orthografiche Unterscheidung von Geschlechtern bewußt verzichtet.)
Bildnachweise: Klinikum Bayreuth GmbH (danke für die Genehmigung zur Nutzung) und eigene Bilder
