ISDSG-Stellungnahme zum Referentenentwurf KRITIS V Krankenhäuser

Mittwoch, 12. April 2017

Stellungnahme

ISDSG-Stellungnahme zum Referentenentwurf KRITIS V Krankenhäuser

 

12.04.2017. Düsseldorf.

Der zum Ende Februar veröffentlichte Referentenentwurf zur ersten Verordnung zur Änderung der BSI-KRITIS-Verordnung, konkretisiert nun zum ersten Mal die Anforderungen an das Gesundheitswesen des im Jahr 2016 in Kraft getretenen IT-Sicherheitsgesetzes. Die gewählte Definition ist nach unserer Auffassung für eine flächendeckende medizinische Versorgung der Bevölkerung ungeeignet und erscheint uns daher nicht zielführend.

In der eigenen KRITIS-Sektorstudie „Gesundheit“ hat das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) dazu bereits im letzten Jahr festgestellt, „neben reinen Größen- und Versorgungskennzahlen ist der Aspekt zu berücksichtigen, dass einige Einrichtungen zwar nur eine vergleichsweise geringe Anzahl von Personen versorgen, für diesen Kreis aber teils überlebenswichtig sind.“ [BSI2016]

Welche Krankenhäuser gelten nach dem Referentenentwurf als kritische Infrastruktur?

Die Maßzahl für die Festlegung, ob nach dem vorliegenden Referentenentwurf des Bundesministeriums des Inneren (BMI) ein Krankenhaus als kritische Infrastruktur gewertet wird, ist die Anzahl der stationären Fälle im Kalenderjahr. Die Bewertung erfolgt einzeln für jedes nach §108 SGB V zugelassene Krankenhaus, das über ein eigenes Institutskennzeichen verfügt. Dazu ist konkret festgelegt, dass jede Einrichtung mit mehr als 30.000 stationären Fällen pro Jahr die KRITIS Kriterien erfüllen muss [KRITIS-VO]. Im Kalender 2015 sind deutschlandweit in den 1.956 zugelassenen Krankenhäuser in Summe 19.239.574 stationäre Fälle (Durchschnitt etwa 9836 Fälle je Einrichtung) behandelt worden. Der Durchschnitt variiert je nach Bundeland zwischen 6182 (Schleswig-Holstein) und 15.090 (Bremen) Fällen. Die meisten Aufnahmen entfallen auf die Fachabteilungen Kardiologie (1.271.499 Fälle), die Unfallchirurgie (1.039.161 Fälle) und die Neurologie (929.506 Fälle) [DESTATIS].

Die intensiv-medizinische Versorgung hatte dabei einen Anteil von etwa 11% (2015: 2 2.150.568. Fälle) [DESTATIS]. Es kann angenommen werden, dass die bis zu 10% aller Aufnahmen eines Krankenhauses für den Patienten eine lebensbedrohliche Situation darstellen [PosNotV]. Das Lukaskrankenhaus in Neuss, das im letzten Jahr in Folge eines Ransomware-Befalls in der Presse vielfach als Beispiel für dieses neue Gefahrenpotenzial Erwähnung fand, zählt mit knapp 28.500 Fällen im Übrigen nicht dazu [GBA].

 

Warum ist die Definition für stationäre Einrichtungen aus Sicht des ISDSG problematisch?

Mit dieser recht simplen Klassifizierung werden nach unserer Meinung in keiner Weise die Komplexität der Krankenhauslandschaft in Deutschland abgebildet oder in irgendeiner Form die regionalen Versorgungsstrukturen berücksichtigt. Mit der Maßzahl („stationäre Fälle“) wird per Definition nur die Menge von Behandlungsfällen gemessen, wobei dabei alle Krankenhausbehandlungen (von der akuten Notfallversorgung bis zur elektiv/disponierbaren Operation) zusammengefasst sind. Ein Krankenhaus (Abteilung), das sich auf operative Eingriffe mit kurzen Verweildauer der Patienten spezialisiert und seine Prozesse dahingehend optimiert hat, wird bei gleicher Bettenzahl eine höhere Fallzahl erzielen, als ein vergleichbares Haus, das den selben Eingriff eben nicht so effizient durchführt.

Die reine Fallzahl ist also vielmehr ein Kriterium für die Effizienz eines Krankenhauses (bzw. einer Abteilung) und nicht unbedingt ein Indikator für die Systemrelevanz des Krankenhauses. Je nach Fachgebiet liegt der Anteil der geplanten (elektiven) Aufnahmen zwischen 40 und 80% [PosNotV]. Eine vorgeplante Operation, wie bspw. eine Knie-TEP (Einsatz eines Ersatzgelenkes) oder das Entfernen von Osteosynthesematerial (z.B. Marknagel) hat in der Regel keine oder eine mittlere Dringlichkeit, die ohne wirklichen Nachteil für den Patienten auch verschoben werden kann. Aber insbesondere die notfallmedizinische Relevanz eines Krankenhauses oder einer spezifischen Abteilung wird auf diesem Wege nicht hinreichend berücksichtigt.

In den großen Städten (Hamburg, Berlin, Köln, München, usw.) und den Metropolregionen (Ruhrgebiet, Rhein-Ruhr, Rhein-Main, u.ä.) finden sich in geringer räumlicher Nähe genug alternative Aufnahme- und Behandlungskapazitäten, die den (Teil-)Ausfall eines Krankenhauses kompensieren können. Die Abmeldung (nach dem Herunterfahren der IT-Systeme) des Lukaskrankenhaus Neuss führte zu einer Überlastung der Aufnahme- und Behandlungskapazitäten in den anderen Krankenhäusern im Stadtgebiet. Dies stellte jedoch kein größeres Problem dar, da in direkter Nähe (z.B. Düsseldorf) ausreichend Alternativen vorhanden sind und der kommunale Rettungsdienst die längeren Transportzeiten gut kompensieren konnte.

Mit der bisherigen Definition wird aber gerade keine flächendeckende Versorgung erzielt und in Flächenkreisen kann ein Krankenhaus, das pro Jahr deutlich weniger als 30.000 stationäre Fälle versorgt, für die Bevölkerung notfallmedizinisch sehr wichtig und somit systemrelevant sein. Die Landeskrankenhauspläne nutzen daher, um auch die regionale Bevölkerungsdichte und die tatsächliche Inanspruchnahme von stationären Einrichtungen zu berücksichtigen, häufig die Hill-Burton-Formel. In diese Formel fließen zur Berechnung des Bettenbedarfes die Faktoren Einwohnerzahl, Verweildauer im Krankenhaus und der Bettennutzungsgrad ein [DKG].

Unsere Argumentation darf nun nicht so interpretiert werden, dass in Metropolen keine kritischen Infrastrukturen notwendig wären, da ja ausreichend andere Versorgungskapazitäten vorhanden sind. Vielmehr möchten wir damit verdeutlichen, dass dem gewählten Schwellwert nur eine geringe Aussagekraft zur tatsächlichen Systemrelevanz eines Krankenhauses in der Region zuzusprechen ist und in keiner Weise eine flächendeckende medizinische Versorgung der Bevölkerung gewährleistet. Diese kann eben nicht punktuell durch einige große Kliniken sichergestellt werden.

 

Notfallmedizinische Betrachtung

In den anderen Regelungsbereichen (z.B. Versorgung mit Elektrizität, Gas, Wasser, etc.) ist die Grundlage für die Bewertung als kritische Infrastruktur immer die Anzahl potenziell betroffener Menschen. Mit der stationären Fallzahl je Kalenderjahr wurde nun versucht eine ähnliche Regelungsgröße für das Gesundheitswesen zu finden. In Bezug auf das Gesamtkollektiv einer Region mag das auch prinzipiell zutreffend sein, aber die individualmedizinische Versorgung von Notfallpatienten wird eben nicht beachtet. Auf Basis der Empfehlungen des „Eckpunktepapier 2016“ zur Strukturplanung und dem leitlinienkonformen, notfallmedizinischen Vorgehen, sowie den Anforderungen an die geeignete Zielklinik ist, insbesondere aus dem Zeitmanagement, eine andere Bewertungsgrundlage zu fordern.

Das Papier ist ein „Konsensus von ausgewiesenen Fachexperten, den wissenschaftlichen Fachgesellschaften und den an der notfallmedizinischen Versorgung beteiligten Organisationen“, welches das zentrale Anliegen hat, allen an der Rettungskette beteiligten „Gliedern“, planerische Kriterien mitzugeben. An der Erstellung haben aktiv 30 Fachgesellschaften, Institutionen und Organisationen mitgewirkt [EP2016].

Die Prähospitalzeit (das Zeitintervall von der Notrufmeldung in der Leitstelle bis zur Übergabe in einem geeigneten Krankenhaus) ist dabei eines der wesentlichen Kriterien. Für praktisch alle sieben gewählten Tracerdiagnosen (zeitkritische Notfallbilder) wird eine Prähospitalzeit von maximal 60 Minuten, so dass ein definitiver Behandlungsbeginn nach 90-120 Minuten möglich ist, gefordert [EP2016].

Die geeignete Zielklinik ist in aller Regel immer das nächstgelegene Krankenhaus, mit den erforderlichen strukturellen und personellen Voraussetzungen, die für die unmittelbare und leitliniengerechte Versorgung des jeweiligen Krankheitsbildes erforderlich sind. Abhängig vom Krankheitsbild ist dies unter anderem die 24/7 Verfügbarkeit einer Stroke-Unit mit CT, eines Herzkatheterlabors oder eines zertifizierten Traumazentrums [EP2016].

Das Papier fordert abschließend, dass die Daseinsvorsorge für die Bevölkerung den Gesichtspunkten einer erreichbarkeitsorientierten Versorgung folgen muss und hebt insbesondere die Prähospitalzeit, da eine definitive Versorgung meist erst in einer Klinik möglich ist, als die zentrale Planungsgröße hervor [EP2016]. Folgerichtig muss daraus geschlossen werden, dass die Definition von kritischen Infrastrukturen im Gesundheitswesen diese Strukturvorgaben der Notfallmedizin berücksichtigen. Vielmehr dürfen also nicht nur einzelne große Kliniken, als kritische Infrastruktur eingestuft werden, sondern dies muss für das Gesamtsystem der Notfallmedizin gelten. Die Sicherstellung einer wirklich flächendeckenden Versorgung der Bevölkerung ist nur möglich, wenn auch kleinere Krankenhäuser an der Umsetzung beteiligt werden.

 

Alles oder Nichts-Prinzip

Per Definition gelten die Anforderungen des BSI-Gesetzes natürlich immer nur für die zur Leistungserbringung erforderlichen IT-Systeme [BSIG, §8a]. Das Bewertungskriterium „stationärer Fälle“ hingegen impliziert, dass in einem Krankenhaus immer die Gesamtheit aller IT-Systeme unter die KRITIS-Regelung fällt, da diese -je nach Krankheitsbild- alle eine Relevanz haben können. Nach dem aktuellen Konzept wird mit 30.000 stationären Fällen ein harter Cut-off definiert. Die betroffenen Krankenhäuser (Betreiber) tragen in dem Konzept die Hauptlast der Umsetzung für die kritischen Infrastrukturen. Demgegenüber werden an Betreiber kleinerer Einrichtungen gar keine Anforderung gestellt. Die Forderung, dass jedes an der notfallmedizinischen Versorgung teilnehmende Krankenhaus nun im Ganzen kritische Infrastruktur ist, wäre zwar generell wünschenswert, aber muss unter ökonomischen Aspekten als ebenso nicht zielführend angesehen werden.

 

Lösungsvorschlag für kleinere Krankenhäuser

Für kleinere Betreiber muss eine stärkere Fokussierung der Anforderungen auf die von ihnen notfallmedizinisch versorgten Krankheitsbilder (Tracerdiagnosen) möglich sein. Ein Krankenhaus, das nicht grundsätzlich unter die KRITIS Kriterien fällt, muss nach diesem Vorgehen die Anforderungen beispielweise für seine Stroke-Unit mit CT oder die Intensivstation-on (oder usw.) erfüllen.

 

Heterogene Stände des Digitalisierungsgrades müssen berücksichtigt werden

Abhängig vom Digitalisierungsgrad einer Einrichtung kann dies den notwendigen Aufwand deutlich reduzieren. Auf der einen Seite haben manche Häuser eine durchweg digitale und revisionssichere, institutionelle elektronische Patientenakte, bei der alle Anforderungen ausschließlich mittels Order-Entry möglich sind. Natürlich ist dann das gesamte KIS (inklusive aller Subsysteme) als kritische Infrastruktur zu werten.

Demgegenüber nutzen andere Kliniken das KIS „nur“ als patientenführendes System, zur Organisation und zur Abrechnung, aber die eigentliche Fallakte stellt ausschließlich die Papierdokumentation dar. In dieser Konstellation ist denkbar, dass nur die zur medizinischen Versorgung der Tracerdiagnose notwendigen Sub- und Fachabteilungssysteme (bei denen ggf. auch eine lokale Eingabe der Patientendaten möglich sein kann) unter den KRITIS-Regelungsbedarf fallen. In der Realität gibt es, neben dieser simplifizierten „schwarz-weiß“ Sichtweise, natürlich vielfältige Zwischenstufen. Aber gerade der Pflegebetrieb auf den peripheren Stationen, wo der Großteil der Patienten versorgt wird, kann oft auch ohne eine tiefe IT-Unterstützung abgebildet werden. Mit der Ausweitung der KRITIS-Anforderungen für akute Krankheitsbilder auf kleinere Häuser wird eher eine flächendeckende notfallmedizinische Versorgung sichergestellt. Ein ähnliches Prinzip hat sich bereits mit den DGU Traumanetzwerken, einer Versorgungsstruktur für die Schwerverletztenversorgung im Fachgebiet der Chirurgie, etabliert [DGU]. In dem Konzept müssen lokale Traumazentren ebenfalls gewisse (medizinische) Qualitäts- und Ausstattungskriterien erfüllen, aber eben nicht in dem Umfang, wie ein überregionales Traumazentrum. Um die Versorgung in der Fläche sicherzustellen müssen auch kleinere Betreiber einen Anteil an der Umsetzung leisten. Diesen Häusern muss aber die Möglichkeit geboten werden, eine starke Fokussierung auf die zur Notfallversorgung relevanten Bereiche vorzunehmen.

 

Ambulante Versorgung

Neben der stationären Versorgung wird in dem Referentenentwurf keine Aussage zum ambulanten Sektor getroffen. Die Notaufnahmen der Krankenhäuser übernehmen, neben der geplanten vertragsärztlichen Versorgung durch ermächtigte Krankenhausärzte -insbesondere außerhalb der normalen Praxiszeiten- einen wesentlichen Beitrag in der vertragsärztlichen Versorgung [DGINA]. Von unserer Seite ist mit dieser Feststellung keine Wertung verbunden, ob die Menge dieser ambulanten Versorgung nun wirklich notwendig ist. Ebenso gibt es Leistungserbringer, die über das Abrechnungsverfahren in den ambulanten Sektor einzuordnen sind und daher -abgesehen von Laboren- gar nicht von der Verordnung erfasst werden. Im ambulanten Sektor gibt es ebenso einen Trend zur Bildung von Verbünden und größeren Organisationen. Bei diesen Leistungserbringern ist es nach unserer Auffassung noch mal schwerer einen Bewertungsmaßstab zu finden, da diese oft an mehreren Standorten agieren. Beispielsweise haben Krankenhäuser komplette Abteilungen (z.B. Radiologie, Dialyseabteilungen) an einen Fremdbetreiber ausgegliedert. Der Ausfall eines solchen Leistungserbringers ist lokal zwar in aller Regel gut zu kompensieren, aber kann -auf Grund der Größe des Leistungserbringers- trotzdem erhebliche Auswirkungen haben.

Mit der Telematikinfrastruktur werden alle ambulanten Leistungserbringer an ein IT-Netzwerk, was derzeit bereits in einigen Regionen getestet wird, angebunden [TI2016]. Dieser Bereich wird von der Versordnung derzeit nicht abgedeckt. Nach unserer Auffassung ergeben sich dann gerade in den Arztpraxen, welche in der Regel weder über geschultes IT-Personal, noch ein großes IT-Budget verfügen, wesentliche Risiken. Um auch große ambulante Leistungserbringer ebenfalls mit der Verordnung zu erfassen, sollten nicht die „stationären Fälle“ die relevante Maßzahl sein, sondern allgemein von Patientenkontakten (die dann auch die ambulante Versorgung einschließen) gesprochen werden. Alle Leistungsbringer, die eine systemrelevante Anzahl von ambulanten Patienten versorgen müssen ebenfalls von der Verordnung erfasst werden.

 

Abrechnungs- versus Betriebsstruktur

Auf Grundlage der gewählten Definition werden alle Krankenhäuser eines Verbundes, soweit sie jeweils ein eigenes Institutskennzeichen haben, auch einzeln betrachtet [KRITIS-VO]. In der Realität decken sich die Abrechnungsstrukturen aber oft nicht mit den tatsächlichen Betriebsstrukturen. Ein wesentlicher Treiber für die Bildung von Krankenhausverbünden, in lokalen und teilweise auch überregionalen Strukturen, ist die Nutzung von Synergieeffekten. Häufig sind dies die Konzentration von Abteilungen an einem Standort und unter anderem der gemeinsame Betrieb der Informationstechnologie. Die Fallzahl eines einzelnen Krankenhauses erscheint als Bewertungsgrundlage ungeeignet. Bei Einrichtungen, die eine gemeinsame IT-Infrastruktur nutzen, müssen die Fallzahlen (Patientenkontakte), unabhängig ob jede Einrichtung über ein eigenes Institutionskennzeichen verfügt, mindestens kumuliert werden. Nach unserer Ansicht muss der Fokus auf die IT-Systeme, die das zu schützende Gut der kritischen Infrastrukturen sind, gelegt werden. Daher sollte die Definition allgemein über die Betreiber von IT-Systemen im Gesundheitswesen erfolgen.

 

Moderne telemedizinische Versorgungsformen

Der Großteil aller Behandlung wird natürlich noch klassisch, im direkten Arzt-Patienten-Kontakt, durchgeführt. Trotzdem gewinnt die Telemedizin perspektivisch immer mehr an Bedeutung, dem mit der bisherigen Definition jedoch nicht Rechnung getragen wird. Die Telemedizin wird bereits erfolgreich bei der Schlaganfallversorgung (Tele-Stroke), bei der Beurteilung des Akuten Koronarsyndrom (Herzinfarkt) und auch der Betreuung auf der Intensivstation angewandt. [DGN] Sicher ist der telemedizinische Anteil an allen Behandlungen derzeit noch zu vernachlässigen und die medizinische (Grund-)Versorgung ist durch die vor Ort behandelnden Ärzte natürlich prinzipiell immer gewährleistet. Trotzdem kann nach Ansicht der Fachgesellschaften nur durch Telekonsultationen die notwendige fachliche Expertise flächendeckend sichergestellt werden [DGAI]. Mit der zunehmenden Zentren- und Netzwerkbildung wird die Telemedizin deutlich zu nehmen und ist bereits heute für die Versorgung von Schlaganfallpatienten in einigen Bereichen sehr relevant. Analog der obigen Forderung, dass die zur notfallmedizinischen Versorgung relevanten Einrichtungen als kritische Infrastruktur gelten müssen, so ist dies dann auch analog für entsprechende Telemedizinverfahren zu fordern.

Regionale Planung

In Deutschland wird die bedarfsgerechte und wohnortnahe Versorgung der Bevölkerung durch die Landeskrankenhausgesetze gesetzlich geregelt. Das operative Instrument für die Verwirklichung dieser Ziele ist der Landeskrankenhausplan. Auf diese Weise wird insbesondere eine Beachtung von besonderen regionalen und geographischen Strukturen ermöglicht (z.B. [KGNRW]). Die Regelungen der KRITIS-Verordnung werden davon vollkommen losgelöst getroffen und beachten eben diese Besonderheiten nicht. Weiterhin muss der (teilweise) Ausfall eines Krankenhauses mit anderen lokalen/regionalen Versorgungsstrukturen bewältigt werden. Um diesen beiden Aspekten Rechnung zu tragen, erscheint es mittelfristig notwendig die Anforderungen der KRITIS-Verordnung in die Landeskrankenhausgesetze bzw. die Landeskrankhauspläne (analog zur Qualitätssicherung, Hygiene, Großschadensereignisse, etc.), als regionales Steuerungselement, aufzunehmen.

 

Unsere Meinung - Zusammenfassung

  • Die stationäre Fallzahl ist kein geeignetes Bewertungskriterium. Einige große „KRITIS-Krankenhäuser“ sichern nicht die notfallmedizinische Versorgung der Bevölkerung.
  • Die notfallmedizinische Relevanz muss das führende Bewertungskriterium werden. Jedes Krankhaus, das die Versorgung für eine der Tracerdiagnosen des „Eckepunktepapiers 2016“ übernimmt und/oder eine Intensivstation betreibt, muss Maßnahmen im Bereich der IT-Sicherheit treffen.
  • Die IT-Systeme und die Anzahl der damit erbrachten medizinischen Versorgungen (Patientenkontakte) müssen die Grundlage für die Bewertung bilden und nicht die Abrechnungsstrukturen (Institutskennzeichen, IK).
  • Im Sinne der Allgemeingültigkeit für zukünftige Behandlungsformen (Stichwort: Telemedizin) und die Abdeckung des ambulanten Sektors muss die Definition von „Betreibern von IT-Systemen im Gesundheitswesen“ und von „Patientenkontakten“ sprechen.
  • Krankenhäusern mit lokaler/regionaler Relevanz muss es ermöglicht werden die KRITIS-Kriterien nur in den jeweilig relevanten Bereichen (z.B. Intensivstation, Herzkatheterlabor, usw.), entsprechend den von ihnen versorgten Tracerdiagnosen, erfüllen zu müssen.
  • Um die regionalen Strukturen zu berücksichtigen, muss die KRITIS Einstufung mittelfristig durch die Landeskrankhauspläne vorgenommen werden.
  • Die Kriterien der IT-Sicherheit und des Datenschutzes müssen Bestandteil bei allen Zertifizierungen von Zentren (z.B. zum DGU Traumazentrum, Stroke-Unit, Cardiac Arrest Center, etc.) werden [CAC].

 

Unser Vorschlag für eine alternative Definition

In den anderen Regelungsbereichen findet sich häufig eine Berechnung auf Grundlage von 500.000 betroffenen Menschen. Bezogen auf die „stationären Fälle“ (2015: ca.19,2 Mio.) würden dann nur Einrichtungen mit etwa 115.000 Fällen je Jahr unter den KRITIS Regelungsbedarf fallen. Die Berechnungsgrundlage für die Ermittlung der Maßzahl von 30.000 stationären Fälle pro Jahr ist in dem Entwurf der Verordnung leider nicht erläutert und dem ISDSG auch nicht bekannt. In den vorhergehenden Abschnitten haben wir dargestellt, dass die Krankhausplanung auf komplexen Berechnungen basiert und daher nach unserer Auffassung die Definition zu KRI-TIS grundsätzlich Bestandteil der Landeskrankenhausplanung werden muss. Insbesondere müssen dabei die Aspekte der erreichbarkeits-orientierten Versorgung, entsprechend der jeweiligen Strukturempfehlungen der Fachgesellschaften und sonstige regionalen, geographischen Faktoren einfließen.

Uns liegen keine evidenzbasierten Erkenntnisse zu der Bewertung der Systemrelevanz von einzelnen Krankenhäusern vor. Vor diesem Hintergrund kann auch unser Definitionsvorschlag, für einen ersten deutschlandweit gültigen Schwellenwert, nur als Fachmeinung verstanden werden.

  1. Jedes Krankenhaus mit überregionaler Bedeutung (in der Vergangenheit oft als Maximalversorger oder Schwerpunktkrankenhaus bezeichnet) bzw. jedes Universitätsklinikum oder Krankenhäuser mit mehr als 600 Betten müssen die Anforderungen der KRITIS-Verordnung inklusive Zertifizierung und Meldeverfahren für die gesamte Einrichtung erfüllen (2015: 174).
  2. Alle Krankenhäuser (2015: 1177) die über Betten zur intensiv-medizinischen Versorgung (ITS) verfügen müssen für diesen Bereich bzw. für diese Leistungserbringung ein Managementsystem zur IT-Sicherheit (ISMS) einführen.
  3. Jedes Krankenhaus, dass eine Abteilung (Stroke Unit mit CT, Herzkatherlabor, usw.) zur Versorgung einer (oder mehrerer) der notfallrelevanten Tracerdiagnosen (vgl. [EP2016]) betreibt, müssen für diesen Behandlungsprozess bzw. die daran beteiligten IT-Systeme ein Managementsystem zum IT-Sicherheit (ISMS) einführen.
  4. Soweit telemedizinische Prozesse für die notfallmedizinische Versorgung erforderlich sind, so ist auch für dieses Verfahren ein Managementsystem zur IT-Sicherheit (ISMS) einzuführen.
  5. Die Betreiber, die nicht unter die Regelung nach (1) fallen, haben prinzipiell keine Verpflichtung zur Umsetzung des branchenspezifischen Standards, zur Eirichtung einer Meldestelle oder zu einer Zertifizierung.
  6. Um sicherzustellen, dass für die zur Notfallversorgung relevanten Bereiche vom Betreiber wirklich ein ISMS aufgebaut wurde, müssen die medizinischen Zertifizierungsverfahren für die Notfallversorgung (DGU Traumanetzwerk, GRC Cardiac-Arrest-Center, DSG Stroke-Unit, etc.) dies als Qualitätsmerkmal einfordern.

 

Quellen:

[BSI2016] Bundesamt für Sicherheit in der Informationstechnik, Bonn; KRITIS-Sektorstudie „Gesundheit“; 2016

[KRITIS-VO] Bundesministeriums des Innern, Berlin; Referentenentwurf: Erste Verordnung zur Änderung der BSI-Kritisverordnung; 2017

[DESTATIS] Statistisches Bundesamt, Wiesbaden; Grunddaten der Krankenhäuser; 2016

[PosNotV] Riessen, et al; Positionspapier für eine Reform der medizinischen Notfallversorgung in Deutschland; 2014

[GBA] Lukaskrankenhaus, Neuss; strukturierter Qualitätsberichts nach § 137 Abs. 3 SGB V; 2015

[DKG] Deutsche Krankenhausgesellschaft, Berlin; Bestandsaufnahme zur Krankenhausplanung und Investitionsfinanzierung in den Bundesländern; 2007

[EP2016] M. Fischer, et al; Notfall Rettungsmed
DOI 10.1007/s10049-016-0187-0


[BSIG] Bundesgesetzblatt, Bonn; Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz); 2009

[DGU] Deutsche Gesellschaft für Unfallchirurgie e. V., Berlin; Weißbuch Schwerverletzten-versorgung; 2012

[DGINA] Deutsche Gesellschaft interdisziplinäre Notfall- und Akutmedizin e. V., Berlin; Gutachten zur ambulanten Notfallversorgung im Krankenhaus; 2015

[GEMATIK] Heise Medien, Hannover; Gematik: Online-Pilottest der elektronischen Gesundheitskarte hat begonnen; 2016

[DGN] Deutsche Gesellschaft für Neurologie e.V., Berlin; Akuttherapie des ischämischen Schlaganfalls; 2012

[DGAI] G. Marx; Anästh Intensivmed 2015;56:257-261

[KGNRW] Krankenhausgestaltungsgesetz des Landes Nordrhein-Westfalen (KHGG NRW);2007

[CAC] Notfall Rettungsmed DOI 10.1007/s10049-017-0288-4

 

 

Autor: 
Magnus Welz
Copy: 
Erledigt

Buchhinweis Datenschutz im Gesundheitswesen

Bild

Neue Studie

ISDSG-Kundenmagazin

BildJetzt zum Download