Chancen für IT-Security durch das Krankenhauszukunftsgesetz
Autor: Yannick Rech | 18. Mai 2021
Mit Beginn des Jahres 2021 gilt das Krankenhauszukunftsgesetz (KHZG). Was dieses Gesetz ermöglicht und wie die IT-Security in Krankenhäusern davon profitieren kann, erfahren Sie in diesem Beitrag.
Digitalisierung in Krankenhäusern
Spätestens die Corona-Pandemie zeigte, dass der Gesundheitssektor in der Vergangenheit nicht ausreichend priorisiert wurde. Insbesondere in Krankenhäusern treten immer wieder Schwierigkeiten auf, die inzwischen eigentlich vermeidbar wären. Aufholbedarf herrscht vor allem im Bereich der Digitalisierung. Viel zu häufig kommt es beispielsweise zu Problemen durch analoge Patientenakten, die eine Zusammenarbeit zwischen Abteilungen erschweren oder den Datenschutz für die Patienten nicht garantieren. Dadurch entstehen Informations- und Kommunikationsschwierigkeiten, die nicht nur die Mitarbeiter stressen, sondern auch die Sicherheit der Patienten gefährden.
KHZG – Was bedeutet das?
Seit 2021 fördern Bund und Länder mit dem Krankenhauszukunftsgesetz (KHZG) deshalb die Digitalisierung von Krankenhäusern. Durch die finanzielle Unterstützung soll die Modernisierung im Gesundheitssektor beschleunigt werden, um wichtige Bereiche wie die Notfallversorgung nachhaltig auszubauen. Aspekte für förderfähige Projekte umfassen beispielsweise…
- die Einrichtung oder den Ausbau von informationstechnischen oder kommunikationstechnischen Anlagen
- die Bereitstellung von sicheren IT-Infrastrukturen
- die Einrichtung elektronischer Dokumentationen von z.B. Behandlungs- und Pflegeleistungen
- integrierte Notfallstrukturen, insbesondere mit Bedarf von Baumaßnahmen
- die Kapazitäten der Ausbildungsmöglichkeiten
Der Fokus liegt dabei bisher ausschließlich auf der Förderung von (Hochschul-)Kliniken. Für den Erhalt dieser finanziellen Unterstützung müssen die Krankenhäuser ihr Vorhaben offiziell beim Bundesamt für Soziale Sicherung (BAS) beantragen und die notwendigen Schritte einhalten.
Das Ziel ist, dass bis zum Jahr 2025 alle Krankenhäuser den digitalen Verordnungen des Krankenhaus-Strukturfonds entsprechend ausgerüstet sind. Werden diese Anforderungen nicht erfüllt, droht eine Senkung der Diagnosis Related Group Erlöse – kurz: DRG-Erlöse – um zwei Prozent. Für viele Kliniken lohnt es sich deshalb, die Förderung durch das Krankenhauszukunftsgesetz zu beantragen. Dafür sollten die Krankenhäuser dringend die vorgeschriebenen Fristen beachten und einhalten. Diese unterscheiden sich je nach Bundesland.
Voraussetzungen für die Förderung
Um die Unterstützung durch das KHZG zu erhalten, müssen Kliniken einige Fördervoraussetzungen erfüllen. Neben der gemeinschaftlichen Übernahme der Fördermittel und der Einhaltung aller Fristen wird speziell berücksichtigt, dass mindestens 15 Prozent der Mittel in die Verbesserung der IT-Sicherheit fließen. Dabei ist zu beachten, dass der IT-Dienstleister, der das Projekt umsetzt, das vorgesehene Schulungsprogramm der BAS abgeschlossen haben muss.
Unterstützung durch IT-Dienstleister
Bei der Wahl des IT-Dienstleisters ist zu beachten, dass nicht ganze Unternehmen die Zertifizierung des BAS vorlegen, sondern einzelne Berater. Außerdem bietet sich die Unterstützung von Fachleuten mit Kenntnissen über klinische, operative und administrative Abläufe an. Der entsprechende Dienstleister sollte idealerweise auch auf IT-Sicherheitsthemen spezialisiert sein, da hier viele Besonderheiten zu beachten sind.
IT-Security
Wie zuvor schon erwähnt, muss ein Teil des bereitgestellten Geldes in sichere IT-Infrastrukturen investiert werden. Oberste Priorität sollten dabei alle Hardware- und Softwarekomponenten haben, die gewährleisten, dass Krankenhäuser in der Lage sind Patienten vollumfänglich zu bedienen. Dazu gehören in erster Linie Portale, die notwendig zur Planung und Durchführung jeglicher Behandlungen, aber auch zur Bestellung von Medikamenten oder auch zur Einsatzplanung des Pflegepersonals, sind.
Erfahrungsgemäß ist bei IT-Sicherheitsmaßnahmen in der Medizinbranche, neben der gegebenen Sicherheit an sich, vor allem die Umgänglichkeit der Maßnahmen im alltäglichen Betrieb von entscheidender Bedeutung. Eine IT-Sicherheitsmaßnahme, die vom Personal pro Patient eine erhebliche Wartezeit erfordert, ist kaum umsetzbar.
Die Überarbeitung der Berechtigungen nach einem übergreifendes Berechtigungskonzept, in allen relevanten Systemen, ist dabei eine Maßnahme, die erfahrungsgemäß einen hohen Einfluss auf die IT-Sicherheit hat, aber kaum negativen Einfluss auf die Arbeit des Personals nimmt. Eine weitere beliebte Maßnahme ist die Einführung von Single-Sign-On. Das Pflegepersonal meldet sich nicht mehr am Stationscomputer mit Usernamen und Passwort an, sondern verwendet beispielsweise eine PKI-Karte mit einem PIN. So wird nicht nur die Anmeldung vereinfacht, sondern auch sichergestellt, dass ein Eindringling nicht nur eine PIN braucht, sondern auch die Karte an sich.
Eine Maßnahme, die nicht nur empfehlenswert ist, sondern tatsächlich zur Pflicht für Krankenhäuser wird, die zur KRITIS-Gruppe gehören (alle Krankenhäuser > 30.000 stationäre Fälle jährlich), ist die Auswertung Ihrer Systemlogdaten. Diese erheblichen Datenmengen müssen ausgewertet und auf mögliche Compliance-Verstöße und Angriffe von außen ausgewertet werden. Ohne Toolunterstützung ist dies aufgrund der riesigen Datenmengen gar nicht möglich. Diese Maßnahme ist – trotz der Pflicht – über den Finanzierungstopf des KHZG abrechenbar.
Unterstützung für die Umsetzung
Einige unserer Consultants verfügen über die genannte Zertifizierung und sind daher berechtigt, die Überprüfung vorzunehmen. Bei Interesse können Sie sich gerne bei uns melden und gemeinsam erarbeiten wir Ihr Projekt für das KHZG. Schreiben Sie uns eine Mail an info@rz10.de. Wenn Sie mehr Informationen benötigen, können Sie sich auch gerne für unser Webinar Krankenhauszukunftsgesetz – So kann Ihr förderungsfähiges Projekt aussehen anmelden.