Im ersten Teil, der letzten Mittwoch erschien, ging es um IT-Strategien und dass es ohne sie nicht geht. Heute nun richten wir unseren Blick auf das neue E-Health-Gesetz und Risikomanagement im Gesundheitwesen.

Risikomanagement im Gesundheitswesen
Ein wichtiger Aspekt bei der Planung von langfristigen IT-Strategien für medizinische Bereiche ist das Risikomanagement: Es ist sinnvoll, sich z. B. bei der Planung der Integration eines medizinischen Geräts in ein bestehendes IT-Netzwerk vorab über mögliche Risiken Gedanken zu machen. Es ist festzulegen, wie im Falle eines „Worst-Case-Szenarios“ wie z. B. einem Netzwerkausfall/einer Störung oder bei Datenverlust/-manipulation zu agieren ist.

Die Norm IEC 80001 («Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten») ist derzeit in Deutschland für Institutionen mit medizinischen IT-Netzwerken nicht verpflichtend. Nichtsdestotrotz unterstützt sie bei den vorgenannten Punkten und ist nützlich, um möglichen Haftungsansprüchen vorzubeugen.

Anders sieht es bei Kliniken aus. Hier schreiben die Richtlinien des «Gemeinsamen Bundesausschusses» ein klinisches Risikomanagement vor. Dieses hat u. a. die Steigerung der Patientensicherheit durch präventive Maßnahmen, das Schaffen von Transparenz für Risikofaktoren in Behandlungsprozessen oder die Senkung von Haftpflichtschäden zum Ziel. So müssen Krankenhäuser ein patientenorientiertes Beschwerdemanagement etablieren und ein einrichtungsübergreifendes Fehlermeldesystem einführen.

Auch die DIN EN 15224, die einen Standard für Qualitätsmanagementsysteme im Gesundheitswesen definiert und den Punkt «Risikomanagement» beinhaltet, konzentriert sich explizit auf klinische Risiken. Diese Norm harmonisiert die europaweit unterschiedlichen Auffassungen des Qualitätsmanagements von medizinischen Dienstleistungen. Sie bietet Organisationen einen roten Faden, u. a. zu Themen wie Patientensicherheit, Kontinuität der Versorgung, angemessene/richtige Versorgung etc.

Das E-Health-Gesetz – ein großer Schritt in Richtung Digitalisierung
Seit Mitte 2016 wird das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz) umgesetzt. Dies soll für eine sichere digitale Infrastruktur sorgen, in der Datenschutz und Patientennutzen im Fokus stehen. Konkret bedeutet das u. a. die Einführung elektronischer Gesundheitskarten, auf denen – auf Wunsch des Versicherten – medizinische (Notfall-)Daten gespeichert werden und ein einheitliches Stammdatenmanagement angelegt wird. Auch soll die Möglichkeit zum Anlegen elektronischer Patientenakten gefördert und getestet werden, ob in Zukunft die Kommunikation im Gesundheitswesen über Smartphones erfolgen kann. Bis Mitte/Ende 2018 soll die Umsetzung abgeschlossen sein.

Die Anwendung des Gesetzes bedeutet, dass Millionen von höchst sensiblen Daten digital verfügbar sein werden. Es ist daher umso wichtiger, auf durchdachte und zukunftsfähige IT-Strategien und ein konsequentes Risikomanagement zu setzen: Zur Erhöhung der Patientensicherheit, der Etablierung einer Sicherheitskultur und um gesetzlichen Anforderungen gerecht zu werden.

Fazit
Organisationen der Gesundheitsversorgung müssen schnell handeln. Wurden sie bisher nicht so häufig wie z. B. Einzelhandelsunternehmen oder Finanzdienstleister Opfer von Cyberangriffen, wird sich dies voraussichtlich in den nächsten Jahren ändern. Gestohlene Kreditkarteninformationen sind zwar ärgerlich, aber die Karten lassen sich sperren und neu ausstellen. Genau das ist bei persönlichen Gesundheitsdaten nicht möglich. Im schlimmsten Fall sind sogar Menschenleben in Gefahr!

Neben der Einführung von Standards wie der IEC 80001 sollten Organisationen ihre Prozesse überprüfen und herausfinden, welche davon durch IT-Unterstützung sicherer gemacht werden können bzw. durch eine GAP-Analyse offenkundige Lücken identifizieren. Zudem kann ein Berechtigungsmanagement zielführend sein: Dieses kann aufzeigen, wann welche Mitarbeiter auf welche Daten Zugriff haben. Damit sind organisationsinterne Täter leicht identifizierbar.

Nur wenn Organisationen ihre Risiken realistisch im Auge behalten, gibt es nutzbare Chancen, um mit durchdachten IT-Strategien und einem gelebten Risikomanagement den Weg zu einer gelungenen Digitalisierung zu gehen.

Fangen Sie heute damit an!