Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte.
Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der Patient im Hause war, umso geringer waren die internen Kosten und umso mehr blieb von der durch die Kassen für diesen Fall gezahlten Pauschale hängen. „Blutige Entlassung“ wurde das von Kritikern spottend genannt.
Dieser Trend könnte sich nun nach der Einführung des IT-Sicherheitsgesetzes und den Verordnungen zu KRITIS-Umgebungen umkehren.
Was ist KRITIS?
Mit KRITIS werden sogenannte kritische Infrastrukturen bezeichnet. Kritische Infrastrukturen sind solche, bei deren Ausfall die öffentliche Sicherheit und Ordnung eingeschränkt werden oder gar zusammenbrechen könnte. Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, bestimmte Anforderungen an Informationssicherheit zu erfüllen und geeignete Nachweise gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zu erbringen. Der Nachweis kann über ein Audit mit anschließender Zertifizierung erbracht werden. Dazu sind verschiedene Standards wie z.B. ISO/IEC 27001, BSI-Grundschutz oder auch spezifische Branchenstandards etabliert. Das Bundesministerium des Inneren gliedert kritische Infrastrukturen in neun Sektoren verschiedener Branchen – einer davon ist der Sektor Gesundheit. Dieser umfasst medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore.
Sinn und Unsinn von Schwellenwerten
Im Sektor Gesundheit wurden für Krankenhäuser Schwellenwerte festgelegt, ab wann sie in den Bereich der kritischen Infrastrukturen fallen. Das Bemessungskriterium bei der stationären medizinischen Versorgung liegt bei 30.000 vollstationären Fällen im Jahr. Es gibt noch weitere Schwellenwerte, die beispielsweise für Krankenhäuser mit angeschlossenen Laboren eventuell relevant sein könnten. So fallen auch Kommunikationssysteme zur Auftrags- oder Befundübermittlung mit mehr als 1.500.000 Aufträgen im Jahr in den Bereich von KRITIS.
Diese Schwellenwerte wurden völlig unabhängig vom konkreten Versorgungsauftrag eines Krankenhauses festgelegt, was durchaus kritikwürdig erscheint. Eine große Reha- oder Rheumaklinik im Schwarzwald wird auf diese Weise genauso behandelt, wie ein auf Polytraumen spezialisiertes Schwerpunktkrankenhaus, das voll in Katastrophenschutzplanungen zur Beherrschung von Großschadenslagen eingebunden ist und dessen Versorgungsbereich möglicherweise deutlich über die deutschen Landesgrenzen hinausreicht. Aus meiner Sicht ist das kein sinnvolles Vorgehen und wird der tatsächlichen Bedeutung eines Krankenhauses für die Versorgung der Bevölkerung nicht gerecht.
Herausforderung Informationssicherheit: knappe Kasse, wenig Personal, keine Zeit
Die Einführung und Aufrechterhaltung eines strukturierten Informationssicherheitsmanagements mit anschließender Auditierung und Zertifizierung erfordert den Einsatz erheblicher personeller und finanzieller Ressourcen. Diese Mittel dürften in den wenigsten Krankenhäusern zur Verfügung stehen und sie deshalb vor große Herausforderungen bei der Umsetzung stellen. Gegenüber dem BSI muss der Nachweis der Umsetzung der gesetzlichen Anforderungen von KRITIS-Betreibern aus dem Sektor Gesundheit bis zum Juli 2019 erfolgen.
IT-Sicherheitsgesetz fördert Gesundheit
Zugegeben, eine provokante These… Aber warum? Rein ökonomisch betrachtet ist es für einige Krankenhäuser unter Umständen weniger kostenintensiv, die durchschnittliche Verweildauer der Patienten zu erhöhen, um bei angenommener gleichbleibender Auslastung unter den Schwellenwert von 30.000 vollstationären Patienten zu kommen. Dadurch fielen sie möglicherweise nicht mehr in den Geltungsbereich des IT-Sicherheitsgesetzes und wären auch nicht mehr verpflichtet, die entsprechenden Nachweise zu erbringen. Eine längere Verweildauer wiederum könnte sich positiv auf die gesundheitliche Versorgung auswirken.
Ob sich der Gesetzgeber das so gedacht hat, bleibt wohl zu bezweifeln.