Netzwerkinfrastruktur 5 Anforderungen an KHZG-konforme Kliniknetze

Zugehörige Themenseiten:
Informationstechnik und KHZG

Auch wenn Kliniknetzen im KHZG kein eigener Fördertatbestand gewidmet ist, kann die Modernisierung der Netzwerkinfrastruktur förderfähig sein. Doch bei der Beschaffung der Netzwerk-Hardware gilt es einiges zu beachten.

Von Thorsten Ramm

Insgesamt 4,3 Milliarden Euro stellen Bund und Länder über das Krankenhauszukunftsgesetz (KHZG) für die Digitalisierung klinischer Prozesse zur Verfügung. Auch wenn dem Kliniknetz an sich kein eigener Fördertatbestand gewidmet ist, herrscht in Fachkreisen Einigkeit darüber, dass auch der Auf- bzw. Ausbau sowie die Modernisierung der Netzwerkinfrastruktur förderfähig sind. Schließlich verlangen nahezu alle Fördertatbestände eine durchgängige Vernetzung – oft über Wireless LAN. Damit die Förderung bewilligt wird, müssen CIOs und IT-Leiter bei der Beschaffung der Netzwerk-Hardware jedoch einiges beachten. Die wichtigsten Anforderungen im Überblick:

Medizinische Zulassung

WLAN Access Points, die im medizinischen Umfeld eingesetzt werden sollen, müssen die europäische Norm EN 60601-1-2 in Bezug auf die Störfestigkeit und elektromagnetische Verträglichkeit erfüllen. Tun sie das nicht, ist der Einsatz in Kliniknetzen nicht erlaubt.

Informationssicherheit

Gemäß Fördermittelrichtlinie muss bei allen Maßnahmen „Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden“. Das ist auch vor dem Hintergrund der verpflichtenden Einführung eines Informationssicherheits-Management-Systems (ISMS) in allen Kliniken bis Ende 2021 von Bedeutung. Konkret heißt das: neueste WLAN-Verschlüsselung (WPA3 Enterprise mit Zertifikaten), Virtualisierung und Client-Authentisierung durch NAC Systeme (Network Access Control). Bei Switches gehört Port-basierte Sicherheit nach 802.1x auf die Checkliste, bei standortübergreifender Kommunikation und Telemedizin greifen Themen wie Verschlüsselung über IPSec VPN.

Datenschutz

Grundsätzlich sind nur Maßnahmen förderfähig, bei denen „datenschutzrechtliche Vorschriften eingehalten werden“. Das betrifft auch Kliniknetze – insbesondere dann, wenn sie über die Cloud verwaltet werden. Hier muss der Cloud-Dienst zwingend DSGVO-konform sein, da er fortlaufend personenbezogene Daten verarbeitet. Seit dem EuGH-Urteil zum Privacy Shield vom Juli 2020 ist das bei Lösungen von US-Anbietern i. d. R. nicht mehr der Fall. Hinzu kommt, dass Geräte und Cloud bei den meisten Herstellern fest verbunden sind. Die Datenschutzfrage muss also bereits bei der Hardware-Beschaffung geklärt werden.

Vertrauenswürdigkeit

Für Kliniken, die unter die KRITIS-Verordnung fallen (mehr als 30.000 vollstationäre Fälle pro Jahr), gehört ein weiterer Faktor auf die Checkliste: die Vertrauenswürdigkeit. Gemäß IT-Sicherheitsgesetz 2.0, das am 28. April vom Bundestag verabschiedet wurde, dürfen sie digitale Kernkomponenten nur noch dann in Betrieb nehmen, wenn eine Erklärung zur Vertrauenswürdigkeit des Herstellers vorliegt. Andernfalls kann die Nutzung untersagt werden. Die Regelung ist eine Folge der Diskussion über die Sicherheit der künftigen 5G-Infrastruktur in Deutschland. Mit IT-SiG 2.0 wurde sie 1:1 auf alle kritischen Infrastrukturen übertragen.

Validierungen & Schnittstellen

Zwar keine Anforderung aus KHZG, IT-SiG, Patientendaten-Schutzgesetz (PDSG) oder DSGVO, aber nicht minder bedeutsam, sind Herstellervalidierungen. Soll das WLAN zur drahtlosen Anbindung von Patientenmonitoring-Systemen oder für Telefonie und Alarmierung genutzt werden, sind die entsprechenden Validierungen der Hersteller (Dräger, Philipps, Ascom o. ä.) ein Muss, um ein reibungsloses Zusammenspiel im Klinikalltag zu gewährleisten. Ist darüber hinaus der Einsatz von Ortungsdiensten (LBS, RTLS) geplant, sollte die WLAN-Infrastruktur zudem Bluetooth (BLE) unterstützen.

Fazit

Kliniken und Krankenhäuser, die ihre Netzwerkinfrastruktur über KHZG-Fördermittel ausbauen oder modernisieren möchten, sollten sich bei der Vorbereitung der Ausschreibung eine ausführliche Datenschutz- und Informationssicherheits-Checkliste bereitlegen. Nur, wenn die geplante Ausstattung die hohen Anforderungen aus KHZG, DSGVO, PDSG und – bei KRITIS – IT-SiG 2.0 erfüllt, sind Förderung und rechtssicherer Betrieb gewährleistet.