Am 18. September 2020 hat der Deutsche Bundestag das Krankenhauszukunftsgesetz (KHZG) verabschiedet, um die Digitalisierung des Gesundheitswesens zu unterstützen. Das Gesetz stellt dafür 3 Milliarden Euro über ein entsprechendes Finanzierungsprogramm, den Krankenhauszukunftsfonds (KHZF) des Bundesamtes für Sozialversicherung (BAS), zur Verfügung. Weitere 1,3 Milliarden Euro werden durch Kofinanzierung der Länder und der Krankenhausträger selbst bereitgestellt.
Alle Krankenhäuser, die in den Krankenhausplan eines Bundeslandes aufgenommen sind, können KHZG-Mittel beantragen. Auch Universitätskliniken können einen Antrag stellen, allerdings können nur 10 % der dem Land zur Verfügung stehenden Mittel für Projekte unter Beteiligung von Universitätskliniken verwendet werden. KRITIS-Einrichtungen, die zu den kritischen Infrastrukturen zählen, sind von der KHZG-Förderung ausgeschlossen, da sie bereits über den Krankenhausstrukturfonds für die IT-Sicherheitsförderung in Frage kommen. Private Krankenhäuser können sich ebenfalls nicht bewerben.
Förderungswürdige Projekte nach KHZG
Es gibt elf Kategorien von Projekten, die für eine KHZG-Förderung in Frage kommen:
- Modernisierung der technischen/IT-Ausstattung der Notaufnahme eines Krankenhauses
- Entwicklung von Patientenportalen für ein digitales Aufnahme- und Entlassungsmanagement
- Einführung der elektronischen Dokumentation von Pflege- und Behandlungsleistungen
- Aufbau von teil- oder vollautomatisierten klinischen Entscheidungsunterstützungssystemen
- Digitale Medikationsmanagementsysteme
- Einführung krankenhausinterner digitaler Prozesse zur Beantragung von Leistungen
- Implementierung von Cloud-Computing-Systemen und Koordination der Leistungsangebote mehrerer Krankenhäuser durch gemeinsame Leistungsstrukturen
- Digitale Bettenmanagementsysteme zur Verbesserung der Zusammenarbeit zwischen Krankenhäusern und anderen Pflegeeinrichtungen
- Beschaffung, Ausbau oder Entwicklung von informations-, kommunikations- und robotergestützten Einrichtungen, Systemen oder Verfahren, die für die Behandlung von Patienten und den Aufbau telemedizinischer Netzwerkstrukturen erforderlich sind
- Beschaffung, Ausbau oder Entwicklung von informationstechnischen oder kommunikationstechnischen Einrichtungen, Systemen oder Verfahren zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Verfahren, die für die Funktionsfähigkeit eines Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen erforderlich sind
- Anpassung von Patientenzimmern an besondere Behandlungserfordernisse im Falle einer Epidemie.
Seit der Verabschiedung des Krankenhauszukunftsgesetzes im September 2020 ist die Antragstellung für die KHZG-Förderung offen. Bis zum 31. Dezember 2021 können Krankenhäuser und klinische Versorgungseinrichtungen in Deutschland ihre Förderanträge auf Landesebene stellen. Mindestens 15 Prozent der beantragten Mittel müssen für die Verbesserung der IT-Sicherheit verwendet werden.
Der digitale Reifegrad der Krankenhäuser wurde am 30. Juni 2021 bewertet und wird am 30. Juni 2023 erneut bewertet. Ziel dieser Evaluierungen ist es, festzustellen, ob das Investitionsprogramm den digitalen Reifegrad der geförderten Krankenhäuser verbessert und Anreize für eine weitere Digitalisierung geschaffen hat.
Während es für die Umsetzung der geförderten Projekte keine Frist gibt, müssen die Krankenhäuser ab dem 1. Januar 2025 für jeden voll- und teilstationären Fall mit einem Abschlag von 2 % auf den Rechnungsbetrag rechnen. Um Strafzahlungen zu vermeiden, sollten die Krankenhäuser daher ihre Digitalisierungsprojekte bis zum 31. Dezember 2024 abschließen.
Datenschutz und das Krankenhauszukunftsgesetz
Die Digitalisierung bringt zwar eine Fülle von Vorteilen für die Krankenhäuser und ihre Patienten mit sich, aber sie bedeutet auch, dass sich die Gesundheitseinrichtungen in Deutschland den damit verbundenen Risiken stellen müssen. Digitale Patientenakten sind anfälliger für Diebstahl und Verlust als physische Akten und werden daher durch verschiedene Datenschutzgesetze geschützt. Krankenhäuser, die sich der Digitalisierung unterziehen, stehen daher vor einer weiteren Herausforderung: der Einhaltung von Vorschriften.
In Deutschland werden personenbezogene Daten durch die EU-Datenschutz-Grundverordnung und ihr nationales Ergänzungsgesetz, das Bundesdatenschutzgesetz (BDSG), geschützt. Für Krankenhäuser gelten weitere Datenschutzbestimmungen nach Landesgesetzen und gesundheitsspezifischen Gesetzen wie dem Arzneimittelgesetz, dem Patientendatenschutzgesetz oder dem Sozialgesetzbuch. Die Nichteinhaltung dieser Vorschriften kann zu hohen Geldstrafen und Reputationsschäden führen. Für Krankenhäuser ist es daher wichtig, bei der Erstellung ihrer Digitalisierungspläne vorausschauend zu denken.
Schutz digitaler Patienteninformationen durch Data Loss Prevention
Lösungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) sind zu einem wesentlichen Bestandteil der Bemühungen von Unternehmen um Datenschutz und Compliance geworden. Sie verfügen häufig über vordefinierte Profile für bestimmte Datenschutzgesetze wie DSGVO, aber auch für bestimmte Kategorien sensibler Daten wie personenbezogene Daten oder Gesundheitsdaten. Krankenhäuser können diese Definitionen je nach ihren Bedürfnissen auch anpassen. Sobald die Definitionen vorhanden sind, können Richtlinien zur Identifizierung, Überwachung und Kontrolle sensibler Daten angewendet werden.
Mit DLP-Lösungen können Krankenhäuser sicherstellen, dass sensible Daten nicht außerhalb des Krankenhausnetzwerks oder über unsichere Kanäle wie Messaging-Apps, persönliche E-Mails oder File-Sharing-Dienste übertragen werden können. DLP verfügt auch über Gerätekontrollfunktionen, die es Krankenhäusern ermöglichen, Mitarbeiter oder Außenstehende daran zu hindern, sensible Dateien auf Wechseldatenträger zu kopieren. Dies kann durch die Sperrung von USB- und Peripherieanschlüssen sowie Bluetooth-Verbindungen oder durch die Beschränkung ihrer Nutzung auf vorab genehmigte Geräte erfolgen.
Einige DLP-Lösungen wie Endpoint Protector verfügen auch über ein erzwungenes Verschlüsselungsmodul, das sicherstellt, dass alle Daten, die auf USB-Geräte kopiert werden, automatisch mit 256-Bit-AES-CBC-Verschlüsselung verschlüsselt werden. Administratoren haben auch die Möglichkeit, Passwörter zurückzusetzen, falls sie kompromittiert wurden, und USB-Geräte aus der Ferne zu löschen, indem sie das Gerät zurücksetzen und alle darauf befindlichen Dateien löschen. Diese benutzerfreundlichen und hocheffizienten Lösungen stellen sicher, dass ein gestohlener oder verlorener USB-Stick nicht von Dritten eingesehen werden kann.
Die Beschaffung von Datenschutzlösungen kann problemlos in Förderanträge im Rahmen der KHZG-Förderkriterien aufgenommen werden, die die Beschaffung, Erweiterung oder Entwicklung von Informationstechnologien, Systemen oder Verfahren umfassen, die für die Sicherheit der verarbeiteten Patientendaten erforderlich sind. Der Datenschutz spielt bei der Umsetzung des KHZG eine entscheidende Rolle und ist eine Möglichkeit, die neu entstehenden digitalen Gesundheitsakten gegen zukünftige Diebstahl- oder Verlustrisiken zu sichern.