Gesetze fordern das Risikomanagement im Krankenhaus, vor allem, um die Patientensicherheit zu verbessern. Dennoch tun sich viele Krankenhäuser damit schwer.
Dieser Artikel stellt die wichtigsten regulatorischen Anforderungen vor und gibt Tipps zur Umsetzung.
1. Typische Risiken im Krankenhaus
a) Risiken für Patienten
Zu den wichtigen Risiken für Patienten zählen:
- Risiken durch fehlerhafte Diagnosen und Behandlungen, z. B. Medikationsfehler und Komplikationen bei Operationen
- Risiken durch unzureichende Pflege, die beispielsweise zu Dekubitus führen kann
- Risiken durch mangelnde Hygienestandards (bzw. deren Einhaltung), was wiederum Infektionen begünstigt
- Risiken durch unsichere oder fehlerhaft verwendete und verbundene Medizinprodukte
- Risiken durch unzureichenden Datenschutz, der durch böswillige externe Angriffe ebenso wie durch interne Fehler zur Preisgabe persönlicher Daten führt
b) Risiken für alle Personen im Krankenhaus
Zudem sind die Patienten, aber auch das medizinische Personal und andere Personen wie Besucher allgemeinen Risiken ausgesetzt:
- Risiken durch mangelnde Arbeitssicherheit, wozu Risiken durch Gase, Gifte, Strahlung, Spritzen und Stürze zählen
- Risiken durch Gewalteinwirkung und Diebstahl
- Risiken durch Feuer (z. B. brennbare Gase) und elektrische Energie
c) Risiken für das Krankenhaus als Organisation
Auch die Krankenhäuser selbst sowie andere Betreiber sind Risiken ausgesetzt:
- Finanzielle Risiken insbesondere durch unsichere Finanzierung, steigende Preise und durch Klagen
- Regulatorische Risiken, da das Gesundheitswesen ein hochregulierter Markt ist
- Risiken durch den Fachkräftemangel und eine mangelnde Versorgung mit bezahlbarer Ausstattung und Verbrauchsmaterialien
- Sonstige Geschäftsrisiken wie politische Entscheidungen
2. Gesetzliche Anforderungen an das Risikomanagement im Krankenhaus
Um insbesondere die Risiken für die Patienten zu beherrschen, müssen Krankenhäuser viele gesetzliche Anforderungen erfüllen:
a) Sozialgesetzbuch V
Das SGB V verpflichtet die Krankenhäuser in § 135a zur Qualitätssicherung der erbrachten Leistung. Welche Kriterien ein Qualitätsmanagementsystem erfüllen muss, bestimmt laut § 136 der Gemeinsame Bundesausschuss.
Der Gemeinsame Bundesausschuss (G-BA) ist das oberste Beschlussgremium der gemeinsamen Selbstverwaltung der Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser und Krankenkassen in Deutschland. Er bestimmt in Form von Richtlinien den Leistungskatalog der gesetzlichen Krankenversicherung (GKV) für mehr als 70 Millionen Versicherte und legt damit fest, welche Leistungen der medizinischen Versorgung von der GKV erstattet werden. Weiterhin beschließt der G-BA Maßnahmen der Qualitätssicherung für den ambulanten und stationären Bereich des Gesundheitswesens.
Der G-BA hat auch Mindeststandards an das Risikomanagement und die Fehlermeldesysteme festgelegt, über welche die Krankenhäuser u. a. in den Qualitätsberichten gemäß § 136b informieren müssen. § 135a erwähnt direkt die „einrichtungsinternen und einrichtungsübergreifenden Risikomanagement- und Fehlermeldesysteme“.
Erwähnenswert ist der SGB V § 75c, der explizit auf IT-Security eingeht und damit indirekt ein Risikomanagement fordert.
b) Vorgaben des Gemeinsamen Bundesausschusses (G-BA)
Details zu den Fehlermeldesystemen legt der Gemeinsame Bundesausschuss in seinen Bestimmungen „üFMS-B“ fest. Der G-BA legt in seiner Qualitätsmanagement-Richtlinie (QM-RL) diese Fehlermeldesysteme als besonders wichtige Bausteine des Qualitäts- und Risikomanagements fest.
Die Qualitätsmanagement-Richtlinie ist für Vertragsärzte und Krankenhäuser verbindlich. Sie fordert
- ein Qualitätsmanagement mit den Phasen Plan – Do – Check – Act (Abb. 1),
- Risikomanagementsysteme und
- Fehlermeldesysteme in der medizinischen Versorgung, u. a. im Kontext von OPs, Medizintechnik, Hygiene und Arzneimitteltherapiesicherheit.
§ 2 der Richtlinie fordert, dass „durch die Identifikation relevanter Abläufe, ihre sichere Gestaltung und ihre systematische Darlegung (…) Risiken erkannt und Probleme vermieden werden [sollten].“
Auf Medizintechnik oder IT geht die Leitlinie nicht explizit ein. Eine Ausnahme bildet die Forderung nach „Informationssicherheit und Datenschutz“. Die Risiken durch mangelnde IT-Sicherheit stellen aber einen nennenswerten Teil der Risiken im Krankenhaus dar.
Im Vergleich zur ISO 14971 sind die Vorgaben der Leitlinie zum Risikomanagement unkonkret.
c) Patientenrechtegesetz
Das Patientenrechtegesetz hat ebenfalls zum Ziel, Risiken bzw. Fehler bei der Behandlung zu verringern. Die Forderungen des Patientenrechtegesetzes fanden Eingang in das BGB und das SGB V (siehe oben).
d) Medizinprodukte-Betreiberverordnung (MPBetreibV)
Die Medizinprodukte-Betreiberverordnung (MPBetreibV) stellt Anforderungen an das Errichten, Betreiben, Anwenden und Instandhalten von Medizinprodukten und richtet sich somit an Betreiber wie die Krankenhäuser.
Die MPBetreibV verpflichtet diese Betreiber in doppelter Hinsicht zum Risikomanagement:
- Sie müssen Risiken in ihren Organisationen beherrschen.
- Sie sind Teil eines übergeordneten Systems zur Risikobeherrschung, weshalb sie zu Meldungen von Risiken verpflichtet sind.
ad 1: Risiken beherrschen
Die Forderung zur Gewährleistung der Sicherheit findet sich beispielsweise in § 4 der MPBetreibV:
Miteinander verbundene Medizinprodukte sowie mit Zubehör einschließlich Software oder mit anderen Gegenständen verbundene Medizinprodukte dürfen nur betrieben und angewendet werden, wenn sie dazu unter Berücksichtigung der Zweckbestimmung und der Sicherheit der Patienten, Anwender, Beschäftigten oder Dritten geeignet sind.
Quelle: MPBetreibV § 4, Absatz (4)
Damit bildet die Verordnung die gesetzliche Basis, um Krankenhäuser und andere Anbieter im Gesundheitswesen zum Risikomanagement zu verpflichten, sobald sie Medizinprodukte vernetzten bzw. in ein IT-Netzwerk integrieren:
- Die Anbindung, Kombination bzw. Integration darf nur im Rahmen der Zweckbestimmung des Herstellers des Medizinprodukts erfolgen.
- Die Anbindung, Kombination bzw. Integration darf nur erfolgen, wenn nachgewiesen wird, dass diese für die Sicherheit von Patienten, Anwendern und Dritten geeignet ist.
Die Forderung, die Eignung einer „Kombination“ für die Sicherheit von Patient, Anwender und Dritten nachzuweisen, lässt sich auf zwei Wegen erfüllen:
- Eine entsprechende Dokumentation über das Risikomanagement im Krankenhaus
- Die Hersteller selbst legitimieren bestimmte Kombinationen durch die kommunizierte Zweckbestimmung der Einzelprodukte.
Bei einem Blutdruckmessgerät steht in der Gebrauchsanweisung, dass das Gerät die Messwerte über eine Datenschnittstelle überträgt, die mit jedem gängigen KIS kommunizieren kann. Dann kann sich der Betreiber auf solche Angaben berufen. Wenn eine Kombination nicht beschrieben ist, stellt der Betreiber ein System her, für das er selbst die Verantwortung übernehmen muss.
Das bedeutet: Vernetzt ein Betreiber wie ein Krankenhaus ein Medizinprodukt wie ein bildgebendes Ultraschallgerät mit dem IT-Netzwerk, um Daten darüber zu senden und auszutauschen, muss das Krankenhaus überlegen, wie es nachweist, dass § 4 der MPBetreibV erfüllt wird.
Bei der Integration eines Ultraschallgeräts in das IT-Netzwerk kann man die DIN EN 80001-1 heranziehen, um über das in dieser Norm beschriebene Risikomanagement im Krankenhaus den Nachweis zu führen, dass diese Vernetzung sicher ist für Patient, Anwender und Dritte.
Lesen Sie hier mehr zur DIN ISO 80001-1 und zur Beherrschung von IT-Risiken im Krankenhaus.
ad 2: Risiken melden
Die MPBetreibV verwendet den Begriff „Risiko“ nur in § 6 „Beauftragter für die Medizinproduktesicherheit“. Diese Person muss Risiken von Medizinprodukten melden, wie das die Medizinprodukte-Anwendermelde- und Informationsverordnung vorschreibt.
Qualitätssicherungssystem für medizinische Laboratorien
Für die diagnostischen Laboratorien im Krankenhaus fordert die MPBetreibV in § 9 ein Qualitätssicherungssystem mindestens nach Teil A der Richtlinie der Bundesärztekammer zur Qualitätssicherung laboratoriumsmedizinischer Untersuchungen (Rili-BÄK) einzurichten. Die Rili-BÄK verlangt eine „risikobasierte Qualitätssicherung“ sowie eine Beschreibung des Risikomanagements.
e) MDR und IVDR
Krankenhäuser, die Eigenherstellungen von Medizinprodukten und IVD vornehmen, müssen für diese jeweils Artikel 5, Absatz 5 der MDR bzw. IVDR erfüllen. Das beinhaltet die Umsetzung des Anhangs I der jeweiligen Verordnung mit den darin gestellten Anforderungen an das Risikomanagement. Für die Krankenhauslabore ist zur Erfüllung der Anforderungen die Einhaltung der Norm ISO 22367 dabei zu empfehlen.
f) Weitere Vorgaben
Artikel 35 der EU-DSGVO beschreibt die Notwendigkeit der Datenschutzfolgeabschätzung. Diese wiederum benötigt eine Risikoabschätzung und -bewertung.
Artikel 32 (1) der DSGVO spricht explizit von Eintrittswahrscheinlichkeit und Schweregrad der Risiken.
3. Umsetzung des Risikomanagements im Krankenhaus
a) Best Practices
Ein Risikomanagementsystem sollte – wie vom G-BA gefordert – Teil des übergeordneten Qualitätsmanagementsystems sein. Das Risikomanagementsystem sollte über folgende Elemente verfügen:
Oberste Leitung
Die „oberste Leitung“, typischerweise die Geschäftsführung, muss das Risikomanagement im Krankenhaus einfordern und eine Fehlerkultur fördern.
Prozesse und QM-System
Damit das Risikomanagement im Krankenhaus tatsächlich stattfindet, muss es in die Prozesse des QM-Systems eingebettet sein. Beispiele für solche Prozesse sind:
- Prozess, um jährlich die Ziele des Risikomanagements neu zu justieren und die Erreichung dieser Ziele zu überprüfen
- Behandlungsprozesse, die Schnittstellen zum Risikomanagement haben (z. B. Maßnahmen für den Fall, dass kritische Situationen auftreten)
- Alle Prozesse für das Erfassen und Verarbeiten von Fehlern und Beschwerden
- Prozesse zur Änderung der IT-Landschaft oder Medizintechnik
- Prozesse für die Korrektur- und Vorbeugemaßnahmen
Infrastruktur und Ressourcen
Wie vom G-BA gefordert, bedarf es eines Fehlermeldesystems (Critical Indicent Reporting System, CIRS), um (auch anonym) Informationen über Fehler systematisch zu sammeln und daraus zu lernen.
Für all diese Elemente muss die oberste Leitung ausreichend Ressourcen (Personen, Ausstattung) bereitstellen.
Methodik und Kompetenzen
Ein wirkungsvolles Risikomanagement setzt voraus, dass die Mitarbeitenden über die notwendigen Kompetenzen verfügen, um z. B.
- Gefährdungen zu identifizieren, beispielsweise mithilfe der FTA, FMEA, PHA
- Risiken zu bewerten und dafür Wahrscheinlichkeiten und Schweregrade möglicher Schäden abzuschätzen
- über die Akzeptanz von Risiken zu entscheiden
- geeignete Maßnahmen zu identifizieren und umzusetzen
- die am Risikomanagement beteiligten Personen zu orchestrieren und Meetings zu moderieren
Risikomanagement ist eine Teamaufgabe, an der Ärztinnen und Ärzte ebenso beteiligt werden müssen wie die Pflege sowie Expertinnen und Experten für Qualitätsmanagement, Medizintechnik und IT.
b) Worst Practices
„Der Fisch stinkt vom Kopf“. Das gilt auch für das Risikomanagement.
- Wenn die Geschäftsführung glaubt, das Thema vollständig delegieren zu können, ist die Botschaft an die Organisation klar: „Risikomanagement im Krankenhaus ist nicht so wichtig, zumindest nicht in unserem.“
- Führungskräfte, die eigene Fehler nicht eingestehen, bilden kein gutes Vorbild für eine Fehlerkultur.
- Zu betonen, wie wichtig das Risikomanagement sei, aber keine Ressourcen bereitzustellen, ist unehrlich, zumindest inkonsequent.
Die Hoffnung wird enttäuscht werden, dass mit der Einführung eines Tools die Aufgabe erledigt ist. Genauso wenig wird die Hoffnung erfüllt, dass allein ein funktionierendes Fehlermeldesystem die gesetzlichen Anforderungen an das Risikomanagement nachweist.
4. Auswirkungen auf die Hersteller
Die Anforderungen an das Risikomanagement in Krankenhäusern und anderen Einrichtungen wirken sich ggf. auch auf die Hersteller von Medizinprodukten und IT-Lösungen aus:
- Die Hersteller müssen in der Zweckbestimmung festlegen, mit welchen Produkten ihr Medizinprodukt welche Daten austauscht.
- Sie sollten konkrete Vorgaben machen, wie die Betreiber die Systeme integrieren und das Funktionieren dieser Integration prüfen sollten.
- Dazu zählt auch die Festlegung, wer diese Integration durchführen darf (Hersteller, Betreiber, Dritte im Auftrag des Betreibers).
- Hilfreich für das Risikomanagement der Betreiber sind Angaben des Herstellers zu den Folgen (Risiken), die sich aus einer fehlerhaften Integration ergeben.
- Die Hersteller müssen die Anforderungen an den Betrieb der Systeme festlegen, einschließlich der Anforderungen an die IT-Sicherheit und die Netzwerke. Das fordern auch MDR bzw. IVDR:
Die Gebrauchsanweisung enthält alle folgenden Angaben:
MDR Anhang I, Abschnitt 23 (ab)
bei […] Software […] Mindestanforderungen bezüglich Hardware, Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff, die für den bestimmungsgemäßen Einsatz der Software erforderlich sind.
5. Fazit und Zusammenfassung
Das Risikomanagement im Krankenhaus muss ein integrierter Teil des Qualitätsmanagements sein.
Begründung:
- Die Prozesse greifen ineinander.
- Schlechte Qualität führt zu Risiken für Patienten, das Personal und Dritte.
- Ein schlecht ausgebildetes und überlastetes Personal vergrößert die Risiken.
Umgekehrt wird ein gutes Risikomanagement nicht nur die Risiken verringern, sondern auch zum Erfolg des Krankenhauses beitragen. Denn gute Qualität zahlt sich aus.
Das Risikomanagement ist Chefinnen- bzw. Chefsache. Auch im Krankenhaus.
Änderungshistorie
- 2024-03-26:
- Ergänzung von 2. d) zu Anforderung der MPBetreibV an medizinische Laboratorien
- Neuer Unterpunkt 2. e) zu den Anforderungen der MDR und IVDR
- 2023-12-05: Beitrag komplett neu geschrieben
- 2018-05-02: Erste Version des Beitrags erstellt
Überlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall
Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!
Danke für den nützlichen Beitrag. Ich finde , dass Fehlermanagement im Krankenhaus sowie auch Risikomanagement durch geeignete Software ein ganzheitliches Qualitätsmanagement unterstützen und
letztendlich sowohl den Patienten als auch den Mitarbeitenden zugute kommen. Grüße
Danke, Herr Werkmann, für Ihre wertvollen Gedanken!
Die Software ist in der Tat sehr hilfreich.
Sie ersetzt nicht das Bewusstsein und den Willen, das Thema wirklich anzugehen. Es gibt Krankenhäuser, bei denen das der Engpass wird. Software löst diesen leider nicht auf.
Nochmals besten Dank!
Viele Grüße, Christian Johner
Danke für diesen Beitrag!Das Qualitätsmanagement für Krankenhäuser ist ein wichtiges Thema.
DAnke für den Beitrag. Spitäler und Krankenhäuser sollten sich, aufgrund der Fehleranfälligkeit, ein Beratungsunternehmen im Gesundheitswesen ins Haus holen. Viele Themen wie Abrechnung, DRG Grundlagen, Medizincontrolling könnten dann verbessert werden.