Sicher & effektiv

IT-Security und Compliance

Krankenkassen | Mit dem Inkrafttreten des Digitalgesetzes im März 2024 werden alle gesetzlichen Krankenkassen in Deutschland verpflichtet, bei Beauftragung Dritter durch geeignete vertragliche Vereinbarungen sicherzustellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards B3S GKV/PV durch den Dritten gewährleistet ist. Regelungen, die bis Ende 2023 nur für wenige große Krankenkassen gemäß Kritisverordnung anzuwenden waren, gelten seitdem für alle gesetzlichen Krankenversicherungen. Dies stellt Krankenkassen vor die Herausforderung, ihre Verträge und die Praktiken ihrer Dienstleister umfassend zu überprüfen und anzupassen.

Unser Beratungs- und Unterstützungsangebot ermöglicht es Krankenkassen, die IT-Sicherheit ihrer Dienstleister effektiv zu managen und die Einhaltung der neuen IT-Sicherheitsvorgaben zu gewährleisten.

Unser IT-Security Check verbessert das Risikomanagement, minimiert potenzielle Sicherheitsvorfälle und unterstützt Krankenkassen dabei, gesetzliche Anforderungen zu erfüllen. Durch eine detaillierte Analyse und Risikoeinschätzung werden Schwachstellen identifiziert und durch gezielte Handlungsempfehlungen adressiert. Dies schafft ein höheres Maß an Sicherheit für die Daten der Versicherten und stärkt das Vertrauen in die digitale Infrastruktur der Kassen.

Modul 1. Compliance-Prüfung: Identifizieren der Dienstleisterlandschaft und Analyse der Verträge

Dieses Modul ermöglicht eine gründliche Überprüfung und Analyse aller bestehenden Verträge mit Dienstleistern. Es beinhaltet die Identifizierung aller Dienstleister, die Verarbeitung von Versichertendaten durchführen, sowie die Prüfung der Vertragsinhalte und der technisch-organisatorischen Maßnahmen (TOMs).

Leistungen:

  • Identifikation aller relevanten Dienstleister, die in irgendeiner Form Versichertendaten verarbeiten.
  • Überprüfung und Analyse der bestehenden Verträge auf Übereinstimmung mit aktuellen gesetzlichen Anforderungen.
  • Prüfung der technisch-organisatorischen Maßnahmen (TOMs), die im Vertrag vereinbart wurden.
  • Diskussionen und Vertragsüberarbeitungen mit Dienstleistern zur Sicherstellung der Compliance.

Ziel: Sicherstellen, dass alle Verträge den aktuellen gesetzlichen Anforderungen entsprechen und alle notwendigen Sicherheitsmaßnahmen umfassen.

Sie erhalten: Einen detaillierten Bericht über ihre Dienstleisterlandschaft, der eine Bewertung der Vertragskonformität jedes Dienstleisters enthält. Dieser Bericht wird auch Empfehlungen für notwendige Änderungen in den Verträgen umfassen, um vollständige Compliance sicherzustellen.

Modul 2. Business-Impact-Analyse: Risikoeinschätzung der Verträge (nach BSI-Kriterien)

Auf der Grundlage der detaillierten Vertragsanalyse erfolgt eine Risikobewertung jedes einzelnen Dienstleisters. Dieses Modul verwendet BSI-Kriterien, um das Risiko zu klassifizieren und eine Kritikalitäts-Einstufung vorzunehmen. Die Ergebnisse werden in einer Risikomatrix dargestellt, die die Krankenkasse dabei unterstützt, Prioritäten für weitere Maßnahmen zu setzen.

Leistungen:

  • Durchführung einer detaillierten Risikoanalyse jedes Dienstleisters basierend auf den Ergebnissen von Modul 1.
  • Klassifizierung des Risikos jedes Vertrages unter Verwendung von BSI-Kriterien.
  • Erstellung einer Risikomatrix, die den potenziellen Schaden und die Wahrscheinlichkeit eines Sicherheitsvorfalls darstellt.

Ziel: Entscheidungsgrundlage für weitere Maßnahmen auf Basis der jeweiligen Risikopotenziale zu erhalten: Das Sicherheitsrisiko, das von jedem Dienstleister ausgeht, wird quantifiziert und klassifiziert, um eine Priorisierung der Sicherheitsinitiativen zu ermöglichen.

Sie erhalten: Eine Risikomatrix, die eine visuelle Darstellung der Risikoeinschätzung aller Dienstleister bietet. Diese Matrix hilft Ihnen, kritische Risikobereiche zu identifizieren und Ihre Aufmerksamkeit auf die dringendsten Sicherheitslücken zu richten.

Modul 3. Aktionsplan: Handlungsempfehlungen auf der Grundlage der individuellen Risikoeinschätzung

Basierend auf der Risikoeinschätzung werden spezifische Handlungsempfehlungen für jeden Dienstleister ausgearbeitet. Dies kann die Notwendigkeit von Vertragsanpassungen, die Implementierung zusätzlicher Sicherheitsmaßnahmen oder die Durchführung von Audits umfassen.

Leistungen:

  • Erarbeitung von Handlungsempfehlungen für jeden Dienstleister basierend auf der Risikoklassifizierung.
  • Beratung bei der Implementierung von Sicherheitsmaßnahmen und gegebenenfalls bei der Durchführung von Audits.
  • Unterstützung bei der Anpassung der Verträge zur Integration von erforderlichen Sicherheitsklauseln und Auditrechten.

Ziel: Sicherheitsstandards kontinuierlich zu verbessern und die Compliance mit dem neuen Gesetz sicherzustellen.

Sie erhalten: Einen Aktionsplan, der detaillierte Schritte zur Verbesserung der Sicherheit umfasst, einschließlich der vorgeschlagenen Vertragsanpassungen und der Planung von Sicherheitsaudits. Dieser Plan wird speziell auf die Bedürfnisse und Risikoprofile der einzelnen Dienstleister abgestimmt sein.

Im Ergebnis begleiten wir eine Veränderung der Art, wie über IT-Sicherheit, Business Continuity und Auftragsverarbeitung im Unternehmen nachgedacht wird.

Nutzen Sie mit dem IT-Security Check die Chancen für IT-Sicherheit in Ihrer Krankenkasse und gewährleisten Sie die Sicherheit der Versichertendaten durch unser umfassendes Beratungs- und Unterstützungsangebot!

Unser Angebot bietet Ihnen völlig neue Möglichkeiten, gesetzliche Anforderungen sicher und effektiv zu erfüllen. Mit unseren drei Modulen – Compliance-Prüfung, Business-Impact-Analyse und Aktionsplan – sind Sie bestens gerüstet, um IT-Sicherheitsrisiken präzise zu überprüfen, zu bewerten und die Verträge mit Ihren Dienstleistern anzupassen.

Wie Sie diese sicher und effektiv ergreifen, beleuchten wir gerne mit Ihnen gemeinsam in einem Gespräch.

E-Mail
Nennen Sie uns Ihr Anliegen!

Ihr Ansprechpartner: Dr. Kai-Uwe Morgenstern

E-Mail