Marcel Thom - Leiter Krankenversicherungen bei Deloitte
Florian Widmer - Leiter Cyber Risk bei Deloitte
In der digitalisierten Welt hat das Vertrauen der Kunden eine noch grössere Bedeutung. Dieses Vertrauen hängt massgeblich von der Fähigkeit der Versicherer ab, persönliche und sensible Daten ihrer Kunden zu schützen. Cybersicherheit, Cyberresilience und Datenschutz sind dabei zentrale Faktoren, um nachhaltiges Kundenvertrauen zu gewährleisten. Eine Deloitte-Umfrage zeigt, dass 84 % der Kunden Datenschutz und Datensicherheit bei ihrem Krankenversicherer wichtig oder sehr wichtig finden. Zudem gewichten 80 % der Kunden diese Faktoren höher oder mindestens gleich hoch wie die Verfügbarkeit innovativer Angebote.
Diese Erkenntnisse setzen Krankenversicherer unter Druck. Einerseits müssen sie sich technologisch weiterentwickeln, beispielsweise durch die Nutzung der Cloud und durch künstliche Intelligenz gestützte Services. Andererseits müssen sie jedoch auch neue Fragestellungen in Bezug auf Datenschutz und -sicherheit beantworten. Oftmals werden technologische Neuerung forciert, ohne die potenziellen Datenrisiken vollumfänglich zu verstehen und notwendige Schutzmassnahmen erarbeitet zu haben. Nachhaltiges Kundenvertrauen in der digitalen Welt erfordert von Schweizer Krankenversicherern ein umfassendes Konzept aus Cybersicherheit, Cyberresilience und Datenschutz.
Cybersicherheit umfasst Massnahmen zur Verhinderung unbefugten Zugriffs auf die Daten der Kunden. Für Krankenversicherer ist dies besonders wichtig, da sie eine Vielzahl sensibler Gesundheitsdaten verwalten. Eine verschärfte Bedrohungslage macht diese Aufgabe noch dringlicher. In den letzten Jahren wurden mindestens zwei Schweizer Krankenversicherer Opfer eines Cyberangriffs und haben dabei teilweise Personendaten verloren. Internationale Fälle wie der von UnitedHealth (USA, März 2024) zeigen, dass der finanzielle Schaden sowie der Vertrauensverlust enorm sein können.
Die meisten Schweizer Krankenversicherer gehen von weiteren gravierenden Cyberattacken aus. Daher ist es wichtig, auch proaktiv in Cyberresilience zu investieren. Cyberresilience stärkt die Fähigkeit einer Organisation, trotz Cyberangriffen oder anderen digitalen Bedrohungen weiterhin effektiv zu arbeiten. Sie umfasst die Vorbeugung, Erkennung, Abwehr und schnelle Wiederherstellung von IT-Systemen und Daten nach einem Sicherheitsvorfall. Ziel der Cyberresilience ist es, die Auswirkungen von Cyberangriffen zu minimieren und den Geschäftsbetrieb so schnell wie möglich wiederherzustellen. Cyberresilience geht über reine Cybersicherheit hinaus, indem sie auch die Anpassungsfähigkeit und Widerstandsfähigkeit der gesamten IT-Infrastruktur und der organisatorischen Prozesse berücksichtigt.
Krankenversicherer sollten ihre Angriffsfläche kennen, diese systematisch reduzieren und ihre Reaktionsbereitschaft sicherstellen. Dies beinhaltet die regelmässige Überprüfung und Aktualisierung der Sicherheitssysteme sowie die Schulung der Mitarbeitenden im Umgang mit Cyberbedrohungen.
Datenschutz bezieht sich auf den Schutz der Rechte der Kunden in Bezug auf die Nutzung ihrer Daten. Die Einhaltung von Datenschutzgesetzen und -richtlinien ist hierbei unerlässlich. Schweizer Krankenversicherer müssen neben der Sicherstellung der Vertraulichkeit und der Verhinderung unbefugten Zugriffs auf persönliche und medizinische Daten auch Aspekte wie Datenminimierung und -löschung sowie Transparenz bei der Datenerhebung und -verarbeitung und die benötigte Einwilligung von Kunden beachten.
Die Umsetzung eines zeitgemässen Datenschutzes gestaltet sich allerdings bei Schweizer Krankenversicherern aufgrund einer zunehmenden Komplexität des IT-Setups nicht immer einfach: Oftmals sind noch IT-Landschaften mit zahlreichen (Alt-)Systemen und Schnittstellen im Einsatz, die es den Versicherern erschweren, den Datenüberblick zu behalten und den Datenschutz sicherzustellen. Ferner sind sensible Kundendaten oft in der IT-Landschaft verstreut und werden nicht systematisch wiederkehrend gelöscht. Letztlich erhöht auch die zunehmende Vernetzung des Gesundheitswesens die Komplexität.
Krankenversicherer sollten ein einheitliches Datenmanagement- und Datenlöschkonzept erarbeiten und dieses systematisch umsetzen. Dazu gehört die regelmässige Überprüfung der Datenspeicherorte und die Implementierung von automatisierten Löschprozessen für nicht mehr benötigte Daten.
Weitere Erkenntnisse zu Cybersicherheit, Cyberresilience und Datenschutz sowie wichtigen Entwicklungen in der Branche finden Sie in der