Die DQS-Zertifizierung nach ISO 27001 hilft der aLIVE-Service GmbH, sensible Patientendaten bestmöglich zu schützen und sich auf diese Weise vom Wettbewerb abzuheben. Denn das konsequente Einhalten der Sicherheitsvorgaben aus der Zertifizierung nach ISO 27001 sorgt beim Fullservice- und IT-Dienstleister für Krankenkassen und Unternehmen aus dem Gesundheitsmarkt dafür, dass die Sozialdaten zum Teil mit einer höheren Qualität und Sicherheit verarbeitet werden können als es den Krankenkassen selbst möglich wäre.
Zertifizierung als Schlüsselfaktor
Informationen über den gesundheitlichen Zustand einer Person gehören zweifelsohne zu den sensibelsten Bereichen beim Thema Datenschutz. Der rechtskonforme und sichere Umgang mit diesen Informationen ist schlichtweg unerlässlich. Schließlich wären die hier gespeicherten und verarbeiteten Patientendaten für viele Gold wert – egal ob es sich um Pharmafirmen, Versicherungen, Arbeitgeber oder um Hacker handelt, die solche Informationen zu barem Geld machen könnten. Deshalb gelten diese Daten rechtlich auch als ganz besonders schützenswert.
Vor allem für Organisationen, die im Gesundheitswesen arbeiten, ist ein geeignetes Datenschutzkonzept unerlässlich, um einen Missbrauch von sensiblen Informationen zu unterbinden. Aufgrund dessen stand Informationssicherheit von Anfang an ganz oben auf der Agenda von aLIVE-Service. Der Magdeburger Fullservice- und IT-Dienstleister bietet gesetzlichen Krankenversicherern und Unternehmen des deutschen Gesundheitsmarktes diverse Back-Office Lösungen. Dabei geht es beispielsweise um die Erbringung von Dienstleistungen in den Bereichen Beitragseinzug, Forderungsmanagement, Bonus-, Kinderkrankengeld- und Härtefallbearbeitung, Call-Center-Leistungen, Einkommensüberprüfung, Pflegeversicherung, Satzungsleistungen oder ePA-Versichertenhelpdesk (ePA-VHD).
ISO 27001: Schwachstellen entdecken & Risiken minimieren
„Ein fortlaufend funktionierendes Managementsystem der Informationssicherheit ist ganz besonders wichtig, um Schwachstellen zu schließen und Risiken zu minimieren. Denn wir behandeln tagtäglich eine große Menge an sensiblen Patientendaten, die es unbedingt zu schützen gilt“, betont Martin Behmann. Für den Geschäftsführer von aLIVE-Service sind Prozessqualität und Sicherheit deshalb bereits seit der Gründung im Jahr 2013 die Grundpfeiler der Unternehmensphilosophie.
Um sich vom Wettbewerb abzuheben und die Leistungsanforderungen der Kunden bestmöglich zu erfüllen, setzt aLIVE-Service diesbezüglich auf hohe Standards, die sich das Unternehmen regelmäßig belegen lässt. Nicht ohne Grund sind Zertifizierungen inzwischen zu einem der Schlüsselfaktoren des gesamten Geschäftsmodells geworden, sagt Behmann:
„Dabei geht es nicht nur um das Signal unseren Kunden gegenüber. Vielmehr geht es um die verbindliche Durchsetzung von Prozessen und Qualitätsansprüchen in unserem gesamten Unternehmen, um die von uns angestrebte höchstmögliche Qualität dauerhaft zu erhalten.“
— Martin Behmann, Geschäftsführer aLIVE-Service GmbH, Magdeburg
Managementsysteme als Basis
Dafür lässt aLIVE-Service bereits seit 2014 das Qualitätsmanagement jedes Jahr nach der bekannten Norm ISO 9001 zertifizieren. Hierbei stehen erfolgskritische Schlüsselfaktoren im Fokus, wie die Effizienz der internen Prozesse oder die Dienstleistungsqualität. Auch beim Umweltbewusstsein setzt das Unternehmen mit der Einhaltung der Normanforderungen von ISO 14001 ein Zeichen. Aufgrund ständig wachsender Umweltauflagen und steigenden Anforderungen von Kunden und Behörden ist es für die Magdeburger von großer Bedeutung, ein nachhaltiges Umweltmanagementsystem vorzuweisen und großen Wert auf einen verantwortungsbewussten Umgang mit natürlichen Ressourcen zu legen.
Herzstück in punkto Informationssicherheit bildet inzwischen jedoch die Zertifizierung nach ISO 27001, die das Unternehmen seit 2019 von der DQS durchführen lässt. Die Norm – offiziell DIN EN ISO/IEC 27001:2017 – gilt weltweit und trägt dazu bei, ein funktionsfähiges Informationssicherheits-Managementsystem (ISMS) in Organisationen zu errichten, umzusetzen und kontinuierlich weiterzuentwickeln. Dabei muss auch darauf geachtet werden, dass die Verfügbarkeit der beteiligten IT-Systeme sichergestellt ist. Die Anforderungen der international anerkannten Norm sind generell anwendbar. Sie gelten sowohl für private und öffentliche Unternehmen als auch gemeinnützige Organisationen.
ISO 27001 – Zertifizierung durch DQS
„Ein Kollege hat uns hierfür die Zusammenarbeit mit DQS empfohlen. DQS eilt nicht umsonst der Ruf voraus, die Routine und die Fähigkeit zu besitzen, die Stärken und Schwächen von Unternehmen schnell zu erkennen. Die unkonventionelle Hilfe, die man uns sofort anbot, um doch noch kurzfristig an einer Ausschreibung teilnehmen zu können, hat uns in unserer Entscheidung nochmals bestärkt. Denn die DQS reagierte zeitlich flexibel und führte die Zertifizierung schneller als ursprünglich geplant durch“, so Geschäftsführer Behmann.
Für die ISO 27001-Zertifizierung hat aLIVE-Service gemeinsam mit der DQS einen mehrstufigen Prozess durchlaufen: „Dafür kam ein Auditor zu uns ins Haus und startete mit einer Analyse und Bewertung, ob unser Managementsystem überhaupt zertifizierungsreif ist bzw. die Normanforderungen auf unsere existierende Managementprozesse überhaupt anwendbar sind“, berichtete Behmann. Anschließend erstellte die DQS ein auf die individuellen Bedürfnisse von aLIVE-Service zugeschnittenes Angebot.“
Denn jede Zertifizierung wird individuell – abgestimmt auf die jeweiligen Gegebenheiten und Unternehmensziele – geplant. Dafür bringen die Auditoren der DQS langjährige Branchenerfahrung in der Bewertung von Informationssicherheits- und weiteren Managementsystemen mit. Mit ihrer Expertise geben sie wertwolle Impulse, wie die Systeme weiterentwickelt und deren Leistungsfähigkeit gesteigert werden kann.
Unter die Lupe genommen wurden bei aLIVE-Service insbesondere die Informationssicherheitsrichtlinien und deren Organisation, die Zugangsrechte zu Daten und Benutzerverantwortlichkeiten, die Kryptografie von Informationen sowie deren physische und umgebungsbezogene Sicherheit. Bei der Zertifizierung nach DIN EN ISO/IEC 27001:2017 wurden jedoch nicht nur die IT-Prozesse einbezogen. Die Auditoren berücksichtigen auch Aspekte der Unternehmensinfrastruktur wie Organisation, Personal und Gebäude. Die aLIVE-Service erfüllte alle Anforderungen ohne Beanstandungen und erhielt schließlich von der unabhängigen Prüfstelle der DQS das ISO 27001-Zertifikat.
ISO 27001 – mehr als ein Zertifikat
Natürlich ist es mit der einmaligen Zertifizierung nicht getan. Jährlich werden wesentliche Komponenten des Systems vor Ort erneut auditiert, um weitere Verbesserungen zu erzielen. aLIVE-Service beschäftigt sogar einen Mitarbeiter, der in Vollzeit die interne Durchsetzung der Zertifizierung vorbereitet und die Beschäftigten des Unternehmens kontinuierlich auf die Einhaltung der Regularien verpflichtet, sie dabei unterstützt und trainiert.
So gelingt es, neben der permanenten Dokumentation und dem Audit auch eine Qualitätskultur und Fehlerkultur zu entwickeln, die beim kontinuierlichen Aufdecken von Schwachstellen in Prozessen und Leistungen des Unternehmens von zentraler Bedeutung ist. Auf diese Weise sorgt das tägliche Einhalten der eigenen Vorgaben aus der ISO-Zertifizierung dafür, dass aLIVE-Service die Sozialdaten der Krankenkassen prozessual zum Teil mit einer höheren Qualität verarbeiten kann als es der Krankenkasse selbst möglich wäre.
ISO 27001 sorgt für mehr Vertrauen
Eine Kontrolle, ob die Sicherheitsvorgaben auch eingehalten werden, erfolgt außerdem durch externe Prüfer der Krankenkassen. Spätestens hier zeigt sich der Erfolgsbeweis des konsequenten Arbeitens: „Die positiven Prüfergebnisse, die regelmäßig ohne Beanstandungen erfolgen, suchen im Wettbewerbsvergleich ihresgleichen. Wir genießen ein hohes Vertrauen seitens unserer Kunden.“
Bestehende Risiken für unser Unternehmen werden regelmäßig identifiziert, analysiert und durch qualifizierte Maßnahmen behoben. Auf diese Weise schützt aLIVE-Service vertrauliche Daten und verbessert die Integrität und Verfügbarkeit ihrer Dienstleistungen.
Allerdings ist diese Zertifizierung nicht nur ein weiteres Dokument, das sich aLIVE-Service an die Wand hängt. Für Behmann muss diese Zertifizierung auch zum kulturellen Leben im Unternehmen erweckt werden: „Jeder einzelne Mitarbeiter sollte lernen, die Augen offen zu halten. Dabei ist vor allem das Management gefordert. Der Chef ist quasi der Quarterback, der seine Mannschaft mitreißen und die Mitarbeiter motivieren sollte, diese Zertifizierung auch zu leben. Denn wer aufgehört hat besser sein zu wollen, hat aufgehört gut zu sein.“