Marcel Thom - Leiter Krankenversicherung bei Deloitte
Jan Seffinga - Leiter Cloud bei Deloitte
Markus Pfister - Advisor bei Deloitte
Eine Cloud-Strategie ist ein strukturierter Plan zur optimalen Nutzung von Cloud-Technologien. Sie orientiert sich an den strategischen und operativen Zielen des Unternehmens und definiert passende Cloud-Dienste, Sicherheitsmassnahmen, Governance-Strukturen sowie die Einhaltung regulatorischer Vorgaben, um die betriebliche Effizienz zu steigern.
Cloud-Lösungen bieten Krankenversicherern zahlreiche Vorteile, um den rasch steigenden Anforderungen einer zunehmend digitalen Welt gerecht zu werden: Flexibilität, Schnelligkeit, Skalierbarkeit und den Zugang zu innovativen Technologien wie künstlicher Intelligenz und maschinellem Lernen. Diese Technologien sind zunehmend nur noch über Cloud-Plattformen zugänglich, was den Umstieg unumgänglich macht. Gleichzeitig müssen Führungskräfte jedoch die potenziellen Risiken, insbesondere in Bezug auf Datenschutz, Compliance und technische Integration, genau im Blick behalten.
Ein solides Datenschutzkonzept ist unverzichtbar. Krankenversicherer verarbeiten hochsensible Gesundheitsdaten, die strengen Anforderungen des Schweizer Datenschutzgesetzes (DSG) und der europäischen DSGVO unterliegen. Die Einhaltung dieser Vorschriften bei Cloud-Lösungen erfordert Verschlüsselung, kontrollierten Zugriff und den Betrieb der Rechenzentren idealerweise in der Schweiz oder der EU. Multi-Faktor-Authentifizierung und regelmässige Sicherheits-Audits sind ebenfalls notwendig, um potenzielle Schwachstellen frühzeitig zu identifizieren.
Neben dem Datenschutz ist die Einhaltung branchenspezifischer regulatorischer Vorgaben, wie dem Versicherungsaufsichtsgesetz (VAG) und der Verordnung über die Krankenversicherung (KVV), von zentraler Bedeutung. Eine robuste Cloud-Governance mit klar definierten Service Level Agreements (SLAs) und regelmässigen Compliance-Audits stellt sicher, dass die rechtlichen Anforderungen kontinuierlich eingehalten werden.
Ein weiterer kritischer Faktor ist die Datenresidenz. Es muss sichergestellt werden, dass die Daten in Regionen gespeichert werden, die den Schweizer oder europäischen Datenschutzstandards entsprechen, um rechtliche und sicherheitsrelevante Risiken zu minimieren. Die Länderliste des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) bietet diesbezüglich Orientierung. Hier bieten Cloud-Anbieter mit Rechenzentren in der Schweiz oder der EU optimale Lösungen. Darüber hinaus kann eine Multi-Cloud-Strategie, bei der mehrere Anbieter genutzt werden, zusätzliche Flexibilität und Sicherheit bieten.
Technische Herausforderungen ergeben sich insbesondere bei der Migration älterer IT-Systeme in die Cloud, da diese oft nicht für die Cloud optimiert sind. Ein hybrider Ansatz, bei dem einige Systeme lokal und andere in der Cloud betrieben werden, kann helfen, Datenverlust und Betriebsunterbrechungen zu vermeiden. Klare Architekturvorgaben und offene Schnittstellen (APIs) sind entscheidend, um eine nahtlose Integration und Interoperabilität zu gewährleisten und den Datenaustausch sicherzustellen.
Die Kostenkontrolle ist ein weiterer wesentlicher Aspekt. Ohne ausreichende Überwachung können die Ausgaben für Cloud-Lösungen schnell steigen. Cloud-Anbieter bieten jedoch zahlreiche Tools zur Kostenüberwachung und -optimierung an, die genutzt werden sollten, um Transparenz zu schaffen und eine optimale Balance zwischen Kosteneffizienz, Flexibilität und Skalierbarkeit zu erreichen.
Ein potenzielles Risiko der Cloud-Nutzung ist das sogenannte Vendor Lock-in. Wenn Krankenversicherungen ihre Daten und Anwendungen zu stark an einen einzelnen Anbieter binden, kann ein Wechsel kostspielig und kompliziert werden. Um dies zu vermeiden, sollten offene Standards und APIs genutzt werden. Eine Multi-Cloud-Strategie, bei der mehrere Anbieter parallel genutzt werden, verringert ebenfalls dieses Risiko. Standardisierte Architekturen ermöglichen zudem langfristig die Flexibilität, zwischen verschiedenen Anbietern zu wechseln.
Schweizer Krankenversicherungen befinden sich in unterschiedlichen Phasen der Cloud-Implementierung. Einige haben bereits umfassende Cloud-Lösungen eingeführt, während andere noch aufgrund regulatorischer Vorgaben, komplexer IT-Strukturen oder Sicherheitsbedenken zögern. Der allgemeine Trend geht jedoch eindeutig hin zu einer verstärkten Nutzung von Cloud-Technologien.
Die Verantwortung für die Umsetzung einer Cloud-Strategie ist auf mehrere Ebenen verteilt. Der Verwaltungsrat trägt die strategische Verantwortung und stellt sicher, dass die Cloud-Implementierung mit den langfristigen Zielen des Unternehmens übereinstimmt. Dabei überwacht er die Risiken in den Bereichen Datenschutz, Compliance und Cybersecurity. Die Geschäftsleitung ist für die operativen Entscheidungen zuständig und sorgt dafür, dass alle rechtlichen und sicherheitsrelevanten Anforderungen erfüllt werden. Der Chief Information Officer (CIO) verantwortet die operative Umsetzung, wählt geeignete Cloud-Anbieter aus, stellt die Datenmigration sicher und überwacht die Integration der bestehenden IT-Systeme. Die IT-Abteilung ist schliesslich für die technische Umsetzung zuständig, während der Datenschutzbeauftragte die Einhaltung der rechtlichen Vorgaben überwacht.
Auch die Fachbereiche müssen sicherstellen, dass die Cloud-Strategie ihre operativen Anforderungen erfüllt. Der Aufbau interner Kompetenzen in Schlüsselbereichen wie Cloud-Sicherheit und Datenmigration ist unerlässlich. Führungskräfte müssen die strategischen Implikationen der Cloud-Nutzung verstehen, um fundierte Entscheidungen treffen zu können. Schulungsprogramme und Sensibilisierungsmassnahmen tragen dazu bei, Risiken zu minimieren und das volle Potenzial der Cloud zu nutzen.
Ein gezieltes Skills-Management ist entscheidend für den Erfolg der Cloud-Implementierung. Der Übergang von On-Premise-Lösungen zu Cloud-Architekturen erfordert ein Umdenken und den Aufbau neuer Fähigkeiten auf allen Unternehmensebenen.
Eine Cloud-Strategie ist als Voraussetzung für einen durchdachten und erfolgreichen Einsatz von Cloud-Technologien unverzichtbar. Sie sollte innerhalb von drei bis sechs Monaten entwickelt sowie abgeschlossen werden und fundierte Grundlagen für die Umsetzung schaffen. Dabei ist die Einbindung von Experten aus IT-Architektur, Datenschutz, IT-Sicherheit und Compliance entscheidend. Externe Fachkräfte können hinzugezogen werden, um von deren Erfahrung zu profitieren und Kompetenzlücken zu schliessen. Die Umsetzung sollte von Anfang an zeitlich und budgetär klar etappiert werden, um eine reibungslose Integration sicherzustellen.
Weitere wichtige Entwicklungen in der Branche finden Sie in der Krankenversicherung Schweiz 2024 Studie.