Ab 2022 ist Informationssicherheit für Krankenhäuser nach § 75c SGB V gesetzlich verpflichtend. Das kann eine Menge an Arbeit machen. Die naheliegende Frage ist also: IT-Sicherheit im Krankenhaus - § 75c umgehen?
Warum das keine so gute Idee ist, darum geht es in diesem Artikel.
Gesetze arbeiten zur Durchsetzung überlicherweise mit Druckmitteln oder Incentivierungen. Grund genug also, den § 75c einmal daraufhin zu untersuchen.
Keine Sanktionen weit und breit...
Schauen wir uns den entsprechenden Paragraphen im SGB V einmal näher an:
(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
Was hier sofort auffällt: Auf die spannende Frage "Was passiert, wenn nicht?" geht das Gesetz nicht ein.
Auch an keiner anderen Stelle - weder im SGB V noch in anderen Werken - findet sich irgendein Hinweis darauf, welche Penalties auf Krankenhäuser zukommen, die der gesetzlichen Auflage nicht nachkommen.
Nächster Stopp also ganz klar: Wenn nicht mit Strafen, dann vielleicht mit Belohnungen?
...und auch keine Incentivierungen
Das ist ja die zweite Variante, die Gesetzen zur Umsetzung verhilft: Zuschüsse, Belohnungen, Incentivierungen bei gesetzeskonformem Handeln.
Auch hier findet sich nicht viel. Zwar fördert das Krankenhauszukunftsgesetz (KHZG) über den Krankenhauszukunfts im Fördertatbestand 10 den Aufbau eines Informationssicherheitsmanagementsystems (ISMS), so dass nicht alle Kosten bei den Krankenhäusern "hängen bleiben".
Aber eine Belohnung im eigentlichen Sinne ist das nicht: "Es kostet etwas weniger als normal!" ist vom Klang her halt weit entfernt von "Hier - eine Belohnung!"
Die Tücken liegen woanders
Es gibt allerdings zwei Richtungen, aus denen dennoch Sanktionierungen für ein fehlendes Informationssicherheitsmanagement kommen können:
Haftungsfragen - was passiert, wenn jemand geschädigt wird?
Im September 2020 wurde das Uniklinikum Düsseldorf Opfer eines konzertierten Cyberangriffs. In Folge dessen gab es einen Todesfall. In Fällen wie diesen ist es durchaus möglich, dass zivilrechtliche Schadensersatzforderungen gegen einen Krankenhausbetreiber erhoben werden. Wenn dieser gesetzliche Vorgaben zur Informationssicherheit nachweislich nicht eingehalten hat, wird es schwierig, sich gegen diese Forderungen erfolgreich zu wehren.
Noch schlimmer: strafrechtliche Folgen
Die zivilrechtliche Seite ist aber noch die glimpflichere - ein Krankenhaus, das wissentlich gesetzliche Auflagen nicht erfüllt, kann sich strafrechtlich auf dünnem Eis bewegen.
Dies gilt insbesondere für Geschäftsführer, die sich hier möglicherweise strafbar machen, wenn sie wider besseren Wissens handeln. Gesetze bewerten solch ein Verhalten typischerweise mindestens als "grob fahrlässig" im strafrechtlichen Sinne. - Was wiederum bedeutet, dass entsprechende Geschäftsführer persönlich haften und Gefahr laufen, sich strafbar zu machen.
Abschließend: Doch eine kleine Belohnung
Dieser Artikel soll aber nicht mit einer Drohkulisse enden - es gibt nämlich eine interessante Entwicklung: Einige betriebliche Haftpflichtversicherungen haben die Zeichen der Zeit erkannt und gewähren Boni auf ihre Prämien, wenn Firmen sich nachweislich um Informationssicherheit gekümmert haben. Fragen Sie Ihre Versicherung doch einfach mal an!
UNSER TIPP: Starten Sie am besten zügig ein Projekt, das zum Ziel hat, ein Informationssicherheitsmanagementsystem aufzusetzen. Es ist nicht nötig, dass Sie es mit all ihren Ressourcen voran treiben, denn Sie können argumentieren, dass die Patientensicherheit nicht darunter leiden darf. Aber getreu dem Motto "Steter Tropfen höhlt den Stein" können Sie auch schon etwas erreichen! Gehen Sie es an!
IT-Sicherheit im Krankenhaus - § 75c umgehen?
Die Antwort ist hier wohl: lieber nicht.
Allerdings ist es kaum möglich, ein gutes Informationssicherheitsmanagement noch bis zum Ende 2022 aufzubauen.
Aber getreu dem Motto "Jedes Bisschen ist besser als gar nichts" empfiehlt es sich, mit dem Aufbau eines Informationssicherheitsmanagementsystems schon einmal anzufangen, um im Zweifelsfall darstellen zu können, dass man sich im Rahmen der Ihnen zur Verfügung stehenden Ressourcen um die Sache gekümmert haben.
Pluspunkt hier: das Krankenhauszukunftsgesetz bezuschusst Ihre Bemühungen!
Haben Sie Fragen zum Thema? Dann vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!