Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische...

37
Block V Informationsmanagement, Compliance und Standards im Gesundheitswesen E-Health Grundlagen | Prof. Zarnekow | Block V

Transcript of Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische...

Page 1: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Block V – Informationsmanagement, Compliance und

Standards im Gesundheitswesen

E-Health Grundlagen | Prof. Zarnekow | Block V

Page 2: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Modelle des Informationsmanagements - Beeinflussung

von Technologie- und Geschäftsphäre

Strategische

Planung

Informations-

technologie

Geschäfts-

planung

Informations-

system-

architektur*

Beeinflussung

Anpassung

Begrenzung Ableitung

Nutzer IT-Bereich

1 5

4

3

2

1 Ableitung der

Geschäftsplanung aus der

Strategischen Planung

Anpassung der

Informationssystemarchitektur

an die Geschäftsziele

Beeinflussung der

Unternehmensstrategie durch

Informationstechnologie

Begrenzung der

Technikoptionen

Strategische Ableitung der

Informationssystemarchitektur

2

3

4

5

*Informationssystemarchitektur:

Die IS-Architektur stellt Modelle und Standards

der Funktionen, der Daten, der Organisation und

der Kommunikation im Unternehmen zur

Verfügung.

Quelle: Krcmar (2010), S. 33

Problemorientierte Ansätze: EWIM Modell (Enterprise-wide Information Management)

Page 3: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Source Make Deliver Source

IT-Leistungserbringer IT-Leistungsabnehmer

Beschaffungs-

wirtschaft

Absatz-

wirtschaft

Produktions-

wirtschaft

Führung, Governance

Deliver Make

Strategische GesamtplanungPlan

Ab

sa

tzm

ark

t

Be

sc

ha

ffun

gs

ma

rkt

Beschaffungs-

wirtschaft

Absatz-

wirtschaft

Modelle des Informationsmanagements - Integriertes

Informationsmanagement (IIM)

Das Modell des Integrierten Informationsmanagements (IIM) beschreibt die zentralen

Funktionsbereiche eines IT-Dienstleisters

Philosophie: „Manage IT as a Business!“

Quelle: Zarnekow (2005), S. 68

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 4: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

eHealth Grundlagen / VL 5 / Informationsmanagement

Seite 4

Agenda

1. Geschäftsarchitekturen und Prozessmanagement

2. IT Governance & COBIT

3. IT Compliance & Gesetzliche Anforderungen (insb. auch an Betrieb von IT & Outsourcing)

Page 5: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Architekturen und Architekturmanagement - Ebenen und

Architekturen des Business Engineering Modells

Geschäftsarchitektur

Prozessarchitektur

Integrationsarchitektur

Applikationsarchitektur

Infrastrukturarchitektur

System

Prozess

Strategie

Quelle: Heutschi (2007)

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 6: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Geschäftsstrategie

– Entscheidungen bzgl. der mittel- bis- langfristigen Entwicklung eines Unternehmens

– Bsp.: Positionierung im Wertschöpfungsnetzwerk und Festlegung der Marktleistungen

– Geschäftsarchitektur • legt die Grundsätze des Geschäfts fest und beschreibt auf der strategischen Ebene den

Gesamtzusammenhang der Leistungsverflechtung in einem Wertschöpfungsnetzwerk Geschäftsprozesse

– Setzen die strategischen Entscheidungen um

– Prozessarchitektur: • beschreibt den Gesamtzusammenhang der Leistungsentwicklung, der Leistungserstellung

und des Leistungsvertriebs

• Hilft, die Aufgabenverteilung und Abläufe innerhalb und zwischen Organisationen zu definieren und bestimmt die Leistungsfähigkeit von Prozessen bzgl. Effizienz, Kundennutzen etc.

Informationssystem – Unterstützt die Prozessebene informationstechnisch

– Systemarchitektur • überführt Entscheidungen auf Strategie- und Prozessebene in die Strukturierung von

Applikationen, Datensammlungen und Integrationsbeziehungen und umfasst die Gesamtheit der computergestützten Informationsverarbeitung innerhalb eines Unternehmens

Architekturen und Architekturmanagement - Ebenen und

Architekturen des Business Engineering Modells (2)

Quelle: Heutschi (2007) eHealth Grundlagen / VL 5 / Informationsmanagement

Page 7: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Kernprozesse Bereich A

9201 Auftrag 301 Aufträge

entgegennehmen

330 Aufträge

bearbeiten 331 Produkt ausliefern

Produkt 9301 Nutzung des

Produkts

320 Statistiken

erstellen

321 Statistiken

ausliefern Statistiken 9307 Statistiken

nutzen

Statistiksystem Statistiksystem Statistiksystem

Fachanw . 1

Geschäftsverwaltung Geschäftsverwaltung Geschäftsverwaltung

9210

Benutzererfahrungen

341

Erfahrungsaustausch

und Anforderungen

342 Produktions -

Anwendungen

betreiben

343 Partner schulen ,

beraten , unterstützen Produktionsmittel 9309 Produktionsmittel

nutzen

Internet Intranet Internet Intranet Internet Intranet Internet Intranet Internet Intranet

9217 Gesuch für

Dokument 381 Auftrag

entgegennehmen 382 Auftrag

bearbeiten ,

entscheiden

383 Dokumente

erstellen , zustellen 9315

Entgegennehmen Entscheid / Dokument

Fachanw . 1 Fachanw . 1 Schriftgut

Legacy - System 1

Legacy - System 1

9202

Informationsquellen

weltweit 345 Informationen

sammeln und

verwalten

346 Informationen

auswerten

347 Informationen zur

Verfügung stellen 9305 Informationen

nutzen

Infodokumente ,

Auswertungen

DMS DMS DMS

DMS

Prozessübersicht Bereich A

Firmenprozess (inbound/process/outbound) Wertschöpfung Nutzung extern Input extern

Architekturen & Architekturmanagement - Prozessarchitektur

Quelle: ITMC, Horgen, Schweiz

Page 8: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Architekturen und Architekturmanagement - Beispielhafte

Prozessarchitektur eines Krankenhauses

Quelle: Rohner, 2012

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 9: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

• Beschreibt die informationstechnischen Komponenten zur Unterstützung der Prozessarchitektur aus einer logischen, funktionalen Sicht

• Umfasst Anwendungssysteme, die Funktionen und Daten zur Unterstützung betrieblicher Aufgaben halten

Applikationsarchitektur

• Beschriebt die Kopplung verteilter Funktionen und Daten über Applikationen hinweg

• Bietet Middlewarekomponenten mit standard. Schnittstellen und Protokollen & unterstützt transparente Kommunikation zw. Applikationen

Integrationsarchitektur

• Umfasst Plattform- und Netzwerkkomponenten für den Betrieb von Middleware und Applikationen

Infrastrukturarchitektur

Architekturen und Architekturmanagement - Ebenen &

Architekturen des Business Engineering Modells

Quelle: Heutschi (2007) eHealth Grundlagen / VL 5 / Informationsmanagement

Page 10: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Architekturen und Architekturmanagement - Beispielhafter

Aufbau einer Infrastrukturarchitektur

Basisplattform

Enterprise Application Integration and Middleware

Applicationserver

Kommunikation und Collaboration

DBMS

OS

Storage

Network

Ma

na

ge

ment a

nd

Op

era

tio

ns

Se

cu

rity

En

viro

nm

ent

System- und

Sicherheitsarchitektur

IS 2

System- und

Sicherheitsarchitektur

IS 2

Quelle: Dern (2006) eHealth Grundlagen / VL 5 / Informationsmanagement

Page 11: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Data

Warehouse

DMS

generell

Workflow Dokumentenverwaltung,

Office-Vorlagen

DMS Fachanwendungen

Betriebswirtschaftliche Informationssysteme (Services)

IT – Plattform

Fachanwendungen

„System X“

Standard-

schittstelle

„Neue Fachanwendungen“„Bestehende

Fachanwendungen“

Anwendungsportal

Office Tools

Office Tools

(aufrufbar aus

Anwendungen)

Office Tools

Office Tools

(aufrufbar aus

Anwendungen)

CM

S

Prä

senta

tions-

bezogene

Inhalte für

WE

B

Externe Externe

PartnerPartner

SAP SD

(Fakturierung)

SAP FI

(DEB / KRED /

HAB)

SAP CO

(RW / Controlling)

SAP HR

(Personal)

„Content Systeme“

Internet

Intranet

IT – Plattform

Partner

Daten-

austausch

(asynchron)

Daten-

übergabe

(asynchron)

Auswertungstools

-

-

Architekturen und Architekturmanagement - Beispielhafte

Applikationsarchitektur einer Behörde

Quelle: ITMC, Horgen, Schweiz eHealth Grundlagen / VL 5 / Informationsmanagement

Page 12: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Tayloristische Vorgangsbearbeitung

Eingabe Ausgabe

Prozessorientierte Vorgangsbearbeitung

Unternehmensorganisation und Informationssysteme -

Funktions- versus Prozessdenken Ein Geschäftsprozess ist eine Folge von logisch zusammenhängenden

Aktivitäten, die für das Unternehmen einen Beitrag zur Wertschöpfung leisten, einen

definierten Anfang und ein definiertes Ende haben, wiederholt durchgeführt werden

und sich in der Regel am Kunden orientieren.

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 13: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 13

Prozesse und Prozessmanagement - Motivation

Quelle: Laudon/Laudon/Schoder, S. 22

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 14: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Unternehmensorganisation und Informationssysteme -

Grundlagen und Zusammenhänge Geschäftsprozesse

Arbeitsabläufe, die Material, Information und Wissen umfassen

unterstützen Hauptfunktionsbereiche oder sind funktionsübergreifend

Informationsfluss und Arbeitsabläufe müssen aufeinander abgestimmt

werden

Anwendungssysteme

unterstützen bereichsinterne und funktionsübergreifende Prozesse

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 15: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Quelle: Laudon/Laudon/Schoder (2010), S. 102

Mit Desktop-Computern, kostengünstiger

CAD-Software und computergesteuerten

Maschinen kann die Genauigkeit,

Geschwindigkeit und Qualität großer

Hersteller erreicht werden.

Große Unternehmen Kleine Unternehmen

Durch individuelle Fertigungssysteme können

große Fabriken maßgeschneiderte Produkte

in kleinen Stückzahlen anbieten.

Durch den sofortigen Informationszugriff

über Telefon und Netzwerke werden

Mitarbeiter zur Informationsbeschaffung

bzw. unternehmenseigene Bibliotheken

nahezu überflüssig.

Führungskräfte können sich mühelos die

Informationen beschaffen, die sie

benötigen, um eine große Anzahl von

Mitarbeitern, die an weitverstreuten

Standorten tätig sind, führen zu können.

Umfangreiche Datenbanken mit Bestelldaten

können analysiert werden, sodass große

Unternehmen die Vorlieben und Bedürfnisse

und ihrer Kunden so einfach wie der Händler

vor Ort bestimmen können.

Informationen können innerhalb des

Unternehmens einfach verteilt werden, um

Mitarbeiter und Arbeitsgruppen unterer

Hierarchieebenen in die Lage zu versetzen,

Probleme eigenverantwortlich zu lösen.

Unternehmensorganisation und Informationssysteme

Informationssysteme steigern die Flexibilität von Unternehmen

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 16: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 16

Prozesse und Prozessmanagement – Ziele

Allgemeine Ziele einer Prozessorientierung:

- Erhöhung der Kundenzufriedenheit (konsequente Ausrichtung auf den Patienten)

- Erhöhung der Servicequalität (inkl. Informationsfluss)

- Messbarkeit der Qualität und der Leistung

Herausforderungen im Krankenhausalltag, die eine Prozessorientierung erfordern:

- Patientendaten sind auf mehrere Systeme verteilt

- Patientendaten nur an einem Ort einsehbar und bei Verlegungen oft nach Eintreffen des Patienten

- Klinische Angaben mehrfach in Formulare übertragen unnötige Doppeldokumentationen,

Gefahr der Fehldokumentation

- Viele Daten (insb. Voruntersuchungen) erst erheblich verzögert & bei Verlegung „logistisch folgen“

Die Defizite im klinischen Prozess und vor allem in der Informationslogistik führen zu

Verzögerungen. Darunter leidet die medizinische Qualität und es entstehen Mehrkosten. Sie

zwingen die beteiligten Ärzte und das Pflegepersonal regelmäßig zur Improvisation und

Mehrarbeit durch Doppeldokumentation und Informationssuche.

eHealth Grundlagen / VL 5 / Informationsmanagement

Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff

Page 17: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 17

Prozesse und Prozessmanagement – Ansätze I

IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme))

- Unterstützung aller medizinischen Prozesse sämtliche relevante Informationen und Funktionen

zum richtigen Zeitpunkt, am richtigen Ort, in der richtigen Qualität & Quantität für alle an

Behandlung beteiligten Personen

- Prozess- und Workflowmodellierung (z.B. mittels BPMN)

- Standards zur Interoperabilität, z.B. HL7

Ursachen für das Scheitern im klinischen Umfeld

- Medizinische Behandlungspfade komplex und nicht ausreichend standardisiert

- Software und Medizintechnik sind nicht ausgereift

- In Krankenhäusern fehlen Grundlagen um komplexe Prozesse einheitlich in IT abzubilden

eHealth Grundlagen / VL 5 / Informationsmanagement

Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff

Page 18: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 18

Prozesse und Prozessmanagement – Ansätze II

Prozessmanagement (Steigerung der Qualität z.B. über PDCA Zyklus)

Qualitätsmanagementsystem (z.B. ISO 9001) für medizinische Prozesse: Norm, die

Anforderungen an ein Qualitätsmanagementsystem definiert mit 8 Grundsätzen:

• Kundenorientierung

• Verantwortlichkeit der Führung

• Einbeziehung der beteiligten Personen

• Prozessorientierter Ansatz

• Systemorientierter Managementansatz

• Kontinuierliche Verbesserung

• Sachbezogener Entscheidungsfindungsansatz

• Lieferantenbeziehungen zum gegenseitigen Nutzen

IT Prozesse (ITIL/ ISO 2000 & ebenfalls ISO 9001) für IT-Prozesse

eHealth Grundlagen / VL 5 / Informationsmanagement

Quelle: Gocke, Debatin (2011), S. 159ff; Schlegel (2010), S. 141ff

Page 19: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 19

Agenda

1. Geschäftsarchitekturen und Prozessmanagement

2. IT Governance & COBIT

3. IT Compliance & Gesetzliche Anforderungen (insb. auch an Betrieb von IT & Outsourcing)

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 20: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Grundlagen der IT-Governance - Corporate Governance

Corporate Governance: – Verantwortliche und auf langfristige Wertschöpfung ausgerichtete Organisation

der Unternehmensleitung und Kontrolle (Rosen 2001)

– Teilgebiet der Unternehmensführung

– Richtlinien: Principles of Corporate Governance (OECD), Deutscher Corporate Governance Kodex

– Empfehlungen z.B. hinsichtlich der Aufgaben und des Zusammenwirkens von Vorstand und Aufsichtsrat sowie der Transparenz der Unternehmenssituation

Sarbanes-Oxley-Act: – US-Gesetz verabschiedet im Juli 2002 als Reaktion auf die Finanzskandale rund

um Enron, Worldcom etc.

– Ziel: Verbesserung der Aussagekraft von Jahresabschlüssen

– Persönliche Haftung von CEO, CFO und Wirtschaftsprüfern für die Richtigkeit des Jahresabschluss

– Wichtigste Sektionen: • 302: Haftung der Gremien für die Abschlüsse

• 404: Managementverantwortung für ein internes Kontrollsystem

• 409: Berichte über Vorfälle innerhalb von 48 Stunden

Michael

J. Oxley

Paul S. Sarbanes

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 21: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

IT-Governance: Führungsmechanismen, Organisationsstrukturen und Prozesse, die

sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt,

Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht

werden. Corporate und Key Asset Governance

Shareholders Corporate

governance

Senior executive team

Monitoring

Other stakeholders

Disclosure

Board

Key assets

Desirable behavior Strategy

Human

assets

Financial

assets

Physical

assets IP assets

Information

and IT assets

Relationship

assets

Financial governance

mechanisms

(committees, budgets, etc.)

IT governance mechanisms

(committees, budgets, etc.) Key asset governance

IT Governance

Grundlagen der IT-Governance - Zusammenhang

Corporate Governance und IT-Governance

Quelle: Weill & Ross (2004)

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 22: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Konformität Leistungsfähigkeit

Grundlagen der IT-Governance - Balanceakt zwischen

Konformität & Leistungsfähigkeit

Business Governance Gesetzeskonformität /

Compliance

Corporate/IT Governance

Verantwortlichkeit

Nachvollziehbarkeit

Wirtschaftlichkeit

Ressourcen Management

Strategie Risiko Management

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 23: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Grundlagen der IT-Governance - Inhalte und Aufgaben der

IT-Governance nach Weill/Ross

Business applications

needs

Specifying the business

need for purchased or

internally developed IT

applications

IT investment and

prioritization

decisions

Decisions about

how much and

where to invest in

IT, including project

approvals and

justification

techniques

IT infrastructure

decisions

Centrally coordinated,

shared IT services that

provide the foundation

for the enterprises‘s IT

capability

IT architecture

decisions

Organizing logic for

data, applications,

and infrastructure

captured in a set of

policies,

relationships, and

technical choices to

achieve desired

business and

technical

standardization and

integration

IT principles decisions

High-level statements about how IT is used in the business

Key IT Governance Decisions

Quelle: Weill & Ross (2004) eHealth Grundlagen / VL 5 / Informationsmanagement

Page 24: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Grundlagen der IT-Governance - Zentrale versus

dezentrale Governance

Business unit

autonomy Enterprise wide Federation

Decentralized Centralized

Typically higher costs

More variability

(in IT competencies)

Poor integration

Less standardization

Few synergies

Increased

Ownership

(business unit)

More responsive

to diverse needs

More control

over priorities

Functional IT leadership

Enterprise perspective

Pooled experience

Synergies

More

standardization

Improved visibility

into costs

Increased scale

Economies

and infrastructure

Critical mass

of skills

Less responsive to users

and business units

No business-unit ownership

Not aligned with the business

Slower time-to-market

Quelle: Luftmann (2012), S 497 eHealth Grundlagen / VL 5 / Informationsmanagement

Page 25: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

COBIT- Referenzmodellrahmen für die IT-Governance

CobiT = Control Objectives for Information

and Related Technology

1996 von der ISACA (Information Systems Audit

and Control Association) entwickelt (aktuell 5.

Version)

Instrument zur Kontrolle der Qualität des IT-

Managements

Systeme und IT-Aktivitäten sollen auf die

Geschäftsziele ausgerichtet werden

Anforderungen hinsichtlich der Qualität,

Sicherheit und Umgangs mit Informationen

CobiT ist für das IT-Management, die IT-Nutzer

und IT-Audit bestimmt

Generischer Referenzmodellrahmen, der für

jedes Unternehmen angepasst werden muss

Domänen

Prozesse

Aktivitäten

Informationskriterien

IT-P

roze

ss

e

Mita

rbe

ite

r

An

we

nd

ungssyste

me

Te

ch

nik

Infr

astr

uktu

r

Date

n

Quelle: Krcmar (2005), S. 38 eHealth Grundlagen / VL 5 / Informationsmanagement

Page 26: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

PO1 Define a strategic IT plan

PO2 Define the information architecture

PO3 Determine the technological direction

PO4 Define the IT organisation and relationships

PO5 Manage the IT investment

PO6 Communicate management aims and direction

PO7 Manage human resources

PO8 Ensure compliance with external requirements

PO9 Assess risks

PO10 Manage projects

PO11 Manage quality

AI1 Identify automated solutions

AI2 Acquire and mantain application software

AI3 Acquire and maintain technology infrastructure

AI4 Develop and maintain IT procedures

AI5 Install and accredit systems

AI6 Manage changes

M1 Monitor the process

M2 Assess internal control adequacy

M3 Obtain independent assurance

M4 Provide for independent audit

DS1 Define service levels

DS2 Manage third-party services

DS3 Manage peformance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6 Identify and attribute costs

DS7 Educate and train users

DS8 Assist and advise IT customers

DS9 Manage the configuration

DS10 Manage problems and incidents

DS11 Manage data

DS12 Manage facilities

DS13 Manage operations

IT RESOURCES

• Data • Application systems

• Technology • Facilities • People

PLAN AND

ORGANISE

ACQUIRE AND

IMPLEMENT

DELIVER AND

SUPPORT

• Effectiveness • Efficiency

• Confidenciality • Integrity

• Availability • Compliance • Reliability

Criteria

MONITOR AND

EVALUATE

COBIT - Übersicht der COBIT-Sollprozesse

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 27: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

COBIT - Beispiel: Domain „Plan and Organise“

Description

This domain covers strategy and tactics, and concerns the identification of how IT

can best contribute to the achievement of the business objectives.

Furthermore, the realisation of the strategic vision needs to be planned,

communicated and managed for different perspectives. Finally, a proper

organisation as well as technological infrastructure must be put in place.

Topics

Strategy and tactics

Vision planned

Organisation and infrastructure

Questions

Are IT and the business strategy aligned?

Is the enterprise achieving optimum use of its resources?

Does everyone in the organisation understand the IT objectives?

Are IT risks understood and being managed?

Is the quality of IT systems appropriate for business needs?

Do

ma

ins

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 28: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

COBIT - Wichtige COBIT Produkte/Inhalte

Control Objectives— “Minimum controls are...” Management Guidelines— “Here is how you measure…” Audit Guidelines— “Here is how you audit...”

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 29: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

COBIT - Beispiel: Control Objectives

AI6 Manage Changes

6.1 Change request initiation and control

IT management should ensure that all requests for changes, system maintenance and supplier

maintenance are standardised and are subject to formal change management procedures. Changes

should be categorised and prioritised, and specific procedures should be in place to handle urgent

matters. Change requesters should be kept informed about the status of their request.

6.2 Impact assessment

A procedure should be in place to ensure that all requests for change are assessed in a structured

way for all possible impacts on the operational system and its functionality.

6.3 Control of changes

IT management should ensure that change management and software control and distribution are

properly integrated with a comprehensive configuration management system. The system used to

monitor changes to application systems should be automated to support the recording and tracking

of changes made to large, complex information systems.

6.4 Emergency changes

IT management should establish parameters defining emergency changes and procedures to control

these changes when they circumvent the normal process of technical, operational and management

assessment prior to implementation. The emergency changes should be recorded and authorised by

IT management prior to implementation.

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 30: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 32

Agenda

1. Geschäftsarchitekturen und Prozessmanagement

2. IT Governance & COBIT

3. IT Compliance & Gesetzliche Anforderungen

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 31: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 33

Gesetzliche Anforderungen - Datenschutz

• Schriftliche Bestellung eines Datenschutzbeauftragten nach §4f BDSG bei der automatisierten

Verarbeitung personenbezogener Daten: Fachkundigkeit, Zuverlässigkeit (persönliche Integrität)

• Grundsätzlich darf dies auch ein externer Datenschutzbeauftragter sein, allerdings nicht wenn es

sich um Daten handelt, die der ärztlichen Schweigepflicht unterliegen (Rechtslage unklar)

• Umgehung ggf. durch Einwilligungserklärung durch Patienten, andererseits ist der

Datenschutzbeauftrage ohnehin zum Schweigen verpflichtet

• 3 Lösungsansätze:

• Interner Datenschutzbeauftragter

• Externer Datenschutzbeauftragter ohne Gehilfen, von einer öffentlichen Stelle &

Genehmigung durch Aufsichtsrat

• Einwilligungserklärung von Patienten (Probleme: Altdaten, sowie Widerruf der Einwilligung)

• Bei Missachtung oder Verstößen können Bußgelder bis 50.000€ verhängt werden (auch wenn

keiner oder nicht-fachkundiger Datenschutzbeauftragter berufen wird)

• Die zuständige Aufsichtsratsbehörde kann auch die Abrufung eines Datenschutzbeauftragten

verlangen

• Bei Verletzung der Schweigepflicht kommt zudem Strafbarkeit nach §203StGB in Betracht

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 32: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 34

Gesetzliche Anforderungen – Datensicherheit (1)

• Grundsätzlich Sicherheitsmaßnahmen zum Schutz personenbezogener Daten

• Zutrittskontrolle, Nr. 1 Anlage zu § 9 S. 1

• Zugangskontrolle, Nr. 2 Anlage zu § 9 S. 1

• Zugriffskontrolle, Nr. 3 Anlage zu § 9 S. 1

• Weitergabekontrolle, Nr. 4 Anlage zu § 9 S. 1

• Eingabekontrolle, Nr. 5 Anlage zu § 9 S. 1

• Auftragskontrolle, Nr. 6 Anlage zu § 9 S. 1

• Verfügbarkeitskontrolle, Nr. 7 Anlage zu § 9 S. 1

• Trennung von zu unterschiedlichen Zwecken erhobenen Daten, Nr. 8 Anlage zu §9S.1

• Im Krankenhaus 3 Kategorien personenbezogener Daten erhoben, verarbeitet und genutzt:

• Patientendaten ("allgemeinen" personenbezogenen Daten und Gesundheitsdaten)

• Mitarbeiter- oder Personaldaten und

• Daten von Dritten, insbesondere Besuchern der Patienten

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 33: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 35

Gesetzliche Anforderungen – Datensicherheit

(Patientendaten) • Dazu zählen „Informationen über die Person des Betroffenen oder einen auf diesen bezogenen

Sachverhalt, namentlich auch Tonaufzeichnungen von einer Person sowie Bilder, biometrische

Daten, Stimmprofil, genetischer Fingerabdruck. Dies ist insbesondere im Rahmen von Kliniken

relevant, da zu den personenbezogenen Daten in diesem Sinne auch Röntgenbilder gehören

sowie Fingerabdrücke oder Gesichtsprofile. Daneben sind Angaben über finanzielle, berufliche,

wirtschaftliche oder gesundheitliche Verhältnisse ebenfalls personenbezogene Daten“

• Diese dürfen KH erheben, verarbeiten und nutzen, wenn es für Begründung, Durchführung oder

Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftähnlichen Schuldverhältnis mit dem

Betroffenen erforderlich ist (BDSG §28) oder zur Wahrung berechtigter Interessen des Klinikums

(schutzwürdige Interesse des Betroffenen nicht überwiegt)

• Dies betrifft nicht nur Patienten sondern auch sonstiger natürlicher Personen (z.B. Besucher)

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 34: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 36

Gesetzliche Anforderungen – Datensicherheit (besondere

personenbezogene Daten) (1) • Besonderen Stellenwert haben bei der Erhebung, Verarbeitung und Nutzung personenbezogener

Daten im Krankenhaus Gesundheits- und Patientendaten, dabei 4 Bereiche:

• Abrechnung durch externe Abrechnungsstellen: strengere Anforderungen (§ 4a Abs. 3):

Bei einer Einwilligung ausdrücklich hingewiesen werden, dass sich Einwilligung auf

besondere personenbezogenen Daten bezieht. (besondere Relevanz, wenn Krankenhaus

zum Zwecke der Abrechnung Patientendaten an eine privatärztliche Verrechnungsstelle

übermitteln möchte)

• Zweckgebundene Verarbeitung zur Gesundheitsversorgung: Ohne Einwilligung des

Patienten Nutzung der besonders sensiblen Daten (§ 3 Abs. 9 BDSG) "Gesundheitsdaten"

zulässig zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der

Gesundheitsversorgung oder der Behandlung erforderlich ist (Verarbeitung nur durch

Personal dahingehenden Geheimhaltungsverpflichtung unterliegt)

• Reichweite der ärztlichen Schweigepflicht (§ 39 BDSG)

• Auftragsdatenverarbeitung (Outsourcing)

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 35: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 37

Gesetzliche Anforderungen – Datensicherheit (besondere

personenbezogene Daten) (1) • Besonderen Stellenwert haben bei der Erhebung, Verarbeitung und Nutzung personenbezogener

Daten im Krankenhaus Gesundheits- und Patientendaten, dabei 4 Bereiche:

• Abrechnung durch externe Abrechnungsstellen

• Zweckgebundene Verarbeitung zur Gesundheitsversorgung

• Reichweite der ärztlichen Schweigepflicht (§ 39 BDSG): Die Patientendaten dürfen nur

für den Zweck verarbeitet oder genutzt werden, für den diese Stelle sie erhalten hat. Die

übermittelten Daten dürfen jedoch von der empfangenden Stelle nur für den Zweck

verarbeitet oder genutzt werden, zu dem sie übermittelt wurden.

• Auftragsdatenverarbeitung (Outsourcing, §11 BDSG): Gesundheitsbezogene Daten

unterliegen der ärztlichen Schweigepflicht (BDSG & § 203 StGB) Offenlegung von

Patientendaten ohne Einwilligung strafbewehrt. Lösungsmöglichkeit: Einwilligung Patient

muss insbesondere wissen, aus welchem Anlass und mit welcher Zielsetzung er welche

Personen von ihrer Schweigepflicht entbindet. Zudem muss er über Art und Umfang der

Einschaltung Dritter unterrichtet sein.

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 36: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 38

Gesetzliche Anforderungen – Elektronische Archivierung • [Archivierungsanforderungen nach HGB, AO & GoBS buchhalterischer Natur]

• Besondere Aufbewahrungspflichten für ärztliche Dokumente (Arztbriefe, Patientenkartei,

Medikamentenverschreibungen, Behandlungsmaßnahmen) idR. 10 Jahre bzw. 30 Jahre für

Röntgen & Behandlungen

• Röntgenaufnahmen dürfen als Wiedergabe auf Datenträger aufbewahrt werden wenn:

• Wiedergabe der Daten inhaltlich oder bildlich übereinstimmen bei Lesbarmachung

• Während der Dauer der Aufbewahrungsfrist verfügbar sind

• Jederzeit innerhalb angemessener Zeit lesbar gemacht werden können

• Sichergestellt sein, dass während Aufbewahrungszeit keine Informationsänderungen oder –

verluste eintreten

• Bei personenbezogenen Daten ist sicherzustellen, dass Urheber, Entstehungsort und –

zeitpunkt eindeutig erkennbar sind, eine unveränderte Aufbewahrung erfolgt, nachträgliche

Änderungen oder Ergänzungen als solche erkennbar sind.

• Verknüpfung der personenbezogenen Patientendaten mit dem erhobenen Befund

(Bilderzeugungsprozess, Bilddaten und sonstigen Aufzeichungen) jederzeit hergestellt

werden können

eHealth Grundlagen / VL 5 / Informationsmanagement

Page 37: Block V Informationsmanagement, Compliance und Standards ... · IT Systeme (ERP/KAS (Klinische Arbeitsplatzsysteme)) - Unterstützung aller medizinischen Prozesse sämtliche relevante

Seite 39

Ende Block V

eHealth Grundlagen / VL 4 / IT Grundlagen