Krankenkassen verweigern sich der IT-Sicherheit in Kliniken
18.12.2019 -
Mehrere niedersächsische Kliniken verfassen offenen Brief.
Entsetzen in vier großen niedersächsischen Krankenhäusern: Für zwingend erforderliche IT-Sicherheitsmaßnahmen, die aufgrund von Gesetzesvorgaben umzusetzen sind, erhalten die Kliniken in Lüneburg, Rotenburg/Wümme, Stade/Buxtehude und Wolfsburg keine finanzielle Unterstützung. Ihren Anträgen über Zuschüsse aus dem Strukturfonds stimmten die Krankenkassen im Krankenhausplanungsausschuss des Landes nicht zu.
Sie plädierten stattdessen dafür, aktuell nur Strukturmaßnahmen wie das Zusammenlegen von Klinikstandorten sowie das Schaffen von zusätzlichen Ausbildungskapazitäten in der Pflege zu fördern.
Den Krankenhäusern drohen erhebliche Bußgelder, wenn sie die IT-Sicherheitsvorgaben nicht erfüllen. Mit einem offenen Brief wenden sie sich nun an die Vertreter der Krankenkassen. Die Kliniken fordern kurzfristig ein Umdenken beziehungsweise einen konkreten Vorschlag für eine Refinanzierung der notwendigen Investitionen im Bereich der IT-Sicherheit – auch im Sinne der Patienten.
„IT- Sicherheit ist kein Sahnehäubchen, mit dem wir uns schmücken wollen, sondern ein zu recht geforderter Standard, um für die gesundheitliche Versorgung der Bevölkerung Cyberattacken abwehren und Patientendaten vor unerlaubten Zugriffen schützen zu können“, so die Wolfsburger Klinikumsdezernentin Monika Müller: „Die Krankenkassen in Niedersachsen verweigern zu Lasten ihrer Versicherten ihre Zustimmung und setzen damit die Sicherheit der Gesundheitsversorgung leichtfertig aufs Spiel.“
Allein das Klinikum Wolfsburg muss rund 4 Mio. € investieren, um die vom Bund festgelegten IT-Sicherheitsauflagen zu erfüllen. „Davon sind gut 1,5 Mio. € sehr kurzfristig zu finanzieren“, erklärt Klinikumsdirektor Wilken Köster. Das Klinikum und die Stadt als Trägerin seien nun gefordert und gewillt alle Vorgaben schnellstmöglich umzusetzen, allerdings fehlten die zwingend erforderlichen Mittel. „Wir erwarten deshalb, dass die Vertreter der Krankenkassen doch noch einer ausreichenden finanziellen Unterstützung zustimmen“, fordert Köster.
Betroffen ist auch das Agaplesion Diakonieklinikum Rotenburg/Wümme. Geschäftsführer Detlef Brünger verweist auf das Bundesversicherungsamt: „Der Strukturfonds soll die IT-Sicherheit in Gesundheitseinrichtungen fördern. Auch das niedersächsische Gesundheitsministerium hat betont, dass die geplanten und zwingend erforderlichen IT-Maßnahmen der Kliniken förderfähig sind. Die Verweigerungshaltung der Krankenkassen steht dazu im eklatanten Widerspruch.“
Auch bei Siegfried Ristau, Geschäftsführer der Elbe Kliniken Stade-Buxtehude, trifft die Ablehnung auf Unverständnis: „Mit der aktuellen Entscheidung werden über den Strukturfonds im Land nur langfristige Projekte gefördert, die in den kommenden Jahren umgesetzt werden. Dass jetzt unmittelbar wichtige Projekte realisiert werden müssen und in den Krankenhäusern dafür dringend Geld benötigt wird, ignorieren die Krankenkassenvertreter im Planungsausschuss. Sie werden damit in keiner Weise der besonderen Bedeutung des Themas gerecht.“
Dr. Michael Moormann, Geschäftsführer des Klinikums Lüneburg, schließt sich der Kritik gegenüber der ablehnenden Haltung der Krankenkassenvertreter zur Förderung von IT-Sicherheitsinvestitionen an: „Hackerangriffe auf eine Gesundheitseinrichtung wie in Rheinland-Pfalz oder aktuell in Fürth sind klare Warnsignale. Der Gesetzgeber drängt auf die kurzfristige Umsetzung der im IT-Sicherheitsgesetz geforderten Maßnahmen und verweist auf Unterstützung durch den Strukturfonds. Genau das haben die Krankenkassen im Planungsausschuss abgelehnt. Jetzt sind wir wieder gezwungen, die Investitionen für IT-Sicherheit selbst aufzubringen. Auf der anderen Seite haben Vertreter dieser Krankenkassen uns Kliniken erst vor wenigen Tagen vorgeworfen, wir würden zu viele Gelder, die eigentlich für die Patientenversorgung vorgesehen seien, für Investitionen zweckentfremden. Eine solch widersprüchliche Argumentation ist nicht nachvollziehbar, zumal an dieser Stelle der Wille des Gesetzgebers schlichtweg ignoriert wird.“
Gemeinsam fordern die Geschäftsführer und Direktoren der vier Kliniken die Krankenkassen auf, ihre Blockadehaltung aufzugeben und endlich zu ihrer Verantwortung für die Sicherheit von Patientendaten zu stehen. Gemäß der dualen Finanzierung der Krankenhäuser ist das Land Niedersachsen für Investitionen verantwortlich, die Krankenkassen für die Betriebsmittel, also Personal- und Sachkosten. Zusätzlich können die Krankenhäuser aktuell Mittel aus dem Strukturfonds für Strukturmaßnahmen, aber auch für Maßnahmen zur IT-Sicherheit beantragen.
Hintergrundinformationen
Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz sind Betreiber kritischer Infrastrukturen (KRITIS) wie Energieversorger oder Telekommunikationsunternehmen verpflichtet, ihre IT-Systeme auf den Stand der Technik zu bringen. Seit zwei Jahren gelten diese Vorgaben im Gesundheitswesen auch für Krankenhäuser mit mindestens 30.000 vollstationären Fällen im Jahr. Sie müssen organisatorische und technische Vorkehrungen treffen, um ihre IT-Sicherheit zu verbessern und z.B. Patientendaten sowie vernetzte medizinische Geräte vor Angriffen von außen bestmöglich zu schützen. Um auch weiter auf dem neuesten Stand der Technik zu sein, stehen das Klinikum Lüneburg, das Agaplesion Diakonieklinikum Rotenburg/Wümme, die Elbe Kliniken Stade-Buxtehude und das Klinikum Wolfsburg vor Investitionen in Höhe von insgesamt 10 Mio. €.