Offener Brief von vier Kliniken aus Niedersachsen: Krankenkassen verweigern sich der IT-Sicherheit in Krankenhäusern
Im Offenen Brief wird auf die Gefahren für die IT der Krankenhäuser verwiesen: „Hackerangriffe auf Computernetzwerke, von denen in Rheinland-Pfalz und im Saarland sowie aktuell in Fürth auch bereits Kliniken betroffen waren, sind klare Warnsignale und zeigen, wie dringlich die Investitionen sind. Fälle wie diese führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung von einer sicheren IT ist und wie wichtig Maßnahmen zum Schutz sensibler Patientendaten sind.“
In einer Pressemitteilung vom 18.12.2019 erklären die Verfasser*innen: „Entsetzen in vier großen niedersächsischen Krankenhäusern – für zwingend erforderliche IT-Sicherheitsmaßnahmen, die aufgrund von Gesetzesvorgaben umzusetzen sind, erhalten die Kliniken in Lüneburg, Rotenburg/Wümme, Stade/Buxtehude und Wolfsburg keine finanzielle Unterstützung. Ihren entsprechenden Anträgen über Zuschüsse aus dem sogenannten Strukturfonds stimmten die Krankenkassen im Krankenhausplanungsausschuss des Landes nicht zu. Sie plädierten stattdessen dafür, aktuell nur Strukturmaßnahmen wie das Zusammenlegen von Klinikstandorten sowie das Schaffen von zusätzlichen Ausbildungskapazitäten in der Pflege zu fördern. Den Krankenhäusern drohen somit erhebliche Bußgelder, wenn sie die IT-Sicherheitsvorgaben nicht erfüllen… Die Kliniken fordern kurzfristig ein Umdenken beziehungsweise einen konkreten Vorschlag für eine Refinanzierung der notwendigen Investitionen im Bereich der IT-Sicherheit… Gemäß der dualen Finanzierung der Krankenhäuser ist das Land Niedersachsen für Investitionen verantwortlich, die Krankenkassen für die Betriebsmittel, also Personal-und Sachkosten. Zusätzlich können die Krankenhäuser aktuell Mittel aus dem Strukturfonds für Strukturmaßnahmen,aber auch für Maßnahmen zur IT-Sicherheit beantragen.Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz sind Betreiber sogenannter kritischer Infrastrukturen (KRITIS) wie Energieversorger oder Telekommunikationsunternehmen verpflichtet, ihre IT-Systeme auf den Stand der Technik zu bringen. Seit zwei Jahren gelten diese Vorgaben im Gesundheitswesen auch für Krankenhäuser mit mindestens 30.000 vollstationären Fällen im Jahr. Sie müssen organisatorische und technische Vorkehrungen treffen, um ihre IT-Sicherheit zu verbessern und zum Beispiel Patientendaten sowie vernetzte medizinische Geräte vor Angriffen von außen bestmöglich zu schützen…“