Interview: So verbessert Caspar Health Datenschutz und Datensicherheit mit der ISMS-Zertifizierung
von Jann Gerrit Ohlendorf am 25. April 2023
Das ISMS-Team um Abhilash Thobias mit Christian Otto, Elisabeth Hegele, Max von Waldenfels, Nadiia Kotelnikova, Cordula Siepmann und Konstantin Dubiel, sowie Britta Robens und Sebastian Knapp (im Bild eingefügt, weil beim Fototermin nicht dabei) freut sich über die Zertifizierung.
Für ein Unternehmen, das mit gesundheitsbezogenen Daten arbeitet, sollten Datenschutz und Informationssicherheit höchste Priorität haben. Das ist leider in unserer Branche nicht immer so. Oft fehlt ein Nachweis, dass mit einem besonders hohen Standard im Datenschutz und Datensicherheit gearbeitet wird.
Mit der Zertifizierung zum Informationssicherheitsmanagementsystem (ISMS), das auf einem zertifizierten Managementsystem basiert und dessen Konformität den Anforderungen der weltweit relevanten Norm ISO 27001 entspricht, erbringen wir genau diesen Nachweis.
Abhilash Thobias
Grund genug, unseren Information Security Officer Abhilash Thobias nach den Hintergründen zu befragen: Welche Vorteile hat diese Zertifizierung für Patient*innen und unsere Partner-Kliniken? Was ändert sich durch die Zertifizierung bei Caspar Health? Wieso dauert es bei anderen Unternehmen in der Regel viel länger, bis diese Zertifizierung abgeschlossen ist?
Warum war es für Caspar Health notwendig, den komplexen Zertifizierungsprozess zur Validierung unseres Informationssicherheitsmanagementsystems (ISMS) zu durchlaufen?
Unsere Daten sind ein wertvolles Gut, das wissen wir in Europa und besonders in Deutschland. Als Verbraucher ist es uns wichtig, dass mit unseren Daten, erst recht mit Patientendaten, sehr sorgsam umgegangen wird. Wir wollen uns sicher sein, dass diese Daten nur für den beabsichtigten Zweck verwendet werden.
Bei Caspar Health haben wir dies schon sehr früh verstanden. Wir haben von Anfang an durch sehr viele Maßnahmen zum Schutz sensibler Informationen sichergestellt, dass unsere Patient*innen uns vertrauen können.
Mit der Zertifizierung gehen wir jetzt einen Schritt weiter. Patient*innen und Partner-Kliniken, die sich für eine Zusammenarbeit mit uns entscheiden, erhalten somit ein noch höheres Maß an Datensicherheit.
Was ist ein ISMS in der Praxis - und welche praktischen Vorteile bringt die Zertifizierung den Patient*innen und unseren Partner-Kliniken?
Ein Information Security Management System (ISMS) ist, einfach ausgedrückt, ein Managementstil, der vom Unternehmen festgelegt wird. Das ISMS stellt sicher, dass im gesamten Unternehmen geeignete Maßnahmen ergriffen werden, um Sicherheit für die Informationen zu gewährleisten, die im Unternehmen verarbeitet werden.
Damit können Patient*innen die Gewissheit haben, dass wir alles in unserer Macht Stehende tun, um sicherzustellen, dass ihre Daten bei uns sicher sind.
In der Praxis bedeutet dies, dass von der Anmeldung der Patient*innen bis zum Ende der Therapie jede Information zu jedem Zeitpunkt mit einem Höchstmaß an Datenschutz und Datensicherheit behandelt wird.
Dazu gehört beispielsweise, dass der Zugang zu den Daten ausschließlich autorisierten Personen gewährt wird, und dass immer transparent ist, wer bei Caspar Zugang zu diesen Daten hatte.
Diese zusätzliche Sicherheit für die Patient*innen wird von einem unabhängigen und sehr glaubwürdigen Auditor zertifiziert, der weltweit hohes Ansehen genießt.
Die Zertifizierung ist auch eine sehr gute Nachricht für Partner-Kliniken. Sie können sicher sein und mit dem Zertifikat sofort sehen, dass Caspar Health in allen Bereichen höchste Standards im Datenschutz und bei der Verarbeitung sowie der Speicherung sensibler Daten einhält.
Ein weiterer Vorteil ist auch, dass diese Standards eine exzellente Qualität, sichere Abläufe und schlanke Prozesse in unserem Tagesgeschäft unterstützen und fördern. Denn sie gelten für alle Abteilungen unseres Unternehmens und alle Prozesse.
Gibt es noch weitere Vorteile der Zertifizierung?
Wie bereits erwähnt, stellen wir mit dem ISMS sicher, dass wir standardisierte Arbeitsabläufe anwenden. Dadurch arbeitet unser Team jetzt viel effizienter, was auch für die Patient*innen von Vorteil ist.
Durch die hohe Stabilität in den Prozessen und den optimierten Informationsaustausch passieren weniger Fehler. Alle Mitarbeiter*innen, insbesondere auch die, die noch kein Erfahrungswissen haben, weil sie noch nicht so lang an Bord sind, benötigen weniger Zeit, um ihre tägliche Arbeit effektiv zu erledigen.
Von der ersten Information über die Zertifizierung bis zur erfolgreichen Zertifizierung sind nur wenige Monate vergangen. Warum ging es bei uns vergleichsweise schnell?
Eigentlich dauert der Prozess 12 bis 18 Monate, bis ein Unternehmen ihr Informationssicherheitsmanagementsystem nach ISO/IEC 27001:2013 zertifizieren lassen kann.
Unser Zeitplan war jedoch klar ambitionierter!
Warum wir uns das zugetraut haben? Nun, zum einen leben wir Datenschutz! Die Einhaltung der Vorschriften hatte bei Caspar Health schon immer höchste Priorität. Zum anderen haben wir die feste Überzeugung, beim Datenschutz für unsere Patient*innen über das Notwendige hinauszugehen.
Mit der schnellen und erfolgreiche Zertifizierung können wir nun konkret unseren Patient*innen und Partnern zeigen, wie wir unsere Standards in der Datensicherheit umsetzen. Dadurch bauen wir unsere führende Rolle im Gesundheitsmarkt auch im Bereich der Informationssicherheit weiter aus.
Wie kann der hohe Standard nun dauerhaft gesichert und im Alltag von Caspar Health fest verankert werden?
Mit der Zertifizierung haben wir genau dafür den entscheidenden Schritt getan.
Jetzt geht es darum, den Standard bei Caspar Health jeden Tag weiter zu leben: Sicherheit ist Teil unserer Kultur, so dass wir jedes Mal, wenn wir etwas Neues beginnen, als ersten Schritt einen Prozess anwenden, der die Sicherheit der durchlaufenden Daten gewährleistet.
Diese Zertifizierung ist kein einmaliger Erfolg, sondern wird jährlich durch die Zertifizierungsbehörden überprüft, um sicherzustellen, dass wir die Standards auch einhalten.
Für viele Unternehmen ist dies eine schwierige Aufgabe, da die ständigen Kontrollen für sie sehr anstrengend sind. Für uns ist das einfacher. Denn wir verfügen bereits jetzt über eine solide Grundlage, um diesen hohen Standard, den wir uns selbst gesetzt haben, dauerhaft und im ganzen Unternehmen zu leben.