Bei der weiteren Optimierung des Gesundheitssystems soll die Digitalisierung eine Schlüsselstellung einnehmen – so betont Bundesgesundheitsminister Jens Spahn immer wieder. Für 2021 sind Anpassungen und Neuregelungen geplant, aber auch Entlastungen für die Vertragsärzte.
Das Bundeskabinett hat am 20. Januar den Entwurf eines Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) beschlossen. Das Gesetz soll nach Abschluss des parlamentarischen Verfahrens in Bundestag und Bundesrat Mitte des Jahres in Kraft treten. Mit dem Gesetz sollen unter anderem digitale Pflegeanwendungen (DiPAs) in die Versorgung Einzug halten. Zudem soll der Bereich der Telemedizin sowie die Telematikinfrastruktur (TI) weiter ausgebaut werden. So wird es perspektivisch wohl einen software-basierten Zugang zur TI geben – im Gesetzentwurf als „Zukunftskonnektordienst“ bezeichnet.
Ergänzt werden die geplanten Regelungen unter anderem von einer Stärkung der Interoperabilität und der schrittweisen TI-Anbindung weiterer Leistungserbringergruppen. Mit dem Gesetzentwurf erhalte das Gesundheitssystem in Deutschland ein „digitales Update“, so drückte es Bundesgesundheitsminister Jens Spahn (CDU) aus.
Leistungserbringer entlasten
Neben den geplanten detailreichen Regelungen zur weiteren Ausgestaltung der digitalen Gesundheitsversorgung – und damit einhergehenden Pflichten – sieht das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz aber auch eine Entlastung der Leistungserbringer vor.
Mit dem Gesetz will der Gesetzgeber die sogenannte Datenschutzfolgenabschätzung (DSFA) nach der EU-Datenschutzgrundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten in den Komponenten der dezentralen Telematikinfrastruktur (etwa Konnektoren und Kartenlesegeräte) übernehmen. Das Bundesministerium für Gesundheit (BMG) würde damit erstmals Gebrauch von der Möglichkeit machen, eine solche – sonst individuell zu verantwortende – Folgenabschätzung bereits im Rahmen eines Gesetzgebungsverfahrens durchzuführen. In diesem Rahmen würden die Leistungserbringer auch von der Pflicht zur Benennung eines Datenschutzbeauftragten befreit. Die Kassenärztliche Bundesvereinigung (KBV) begrüßt, dass damit eine von ihr wiederholt vorgetragene Position aufgegriffen wurde.
Das BMG rechnet mit einer Entlastung der Leistungserbringer von Bürokratiekosten in Höhe von rund 731 Millionen Euro für die entfallende erstmalige Datenschutzfolgenabschätzung sowie weiteren 549 Millionen pro Jahr für Abschätzungen, welche regelmäßig aufgrund von Updates der TI anfallen würden. Zudem entfielen 427 Millionen Euro durch die Einschränkung der Pflicht zur Bestellung eines Datenschutzbeauftragten. Das Gesundheitsministerium verweist in diesem Zusammenhang darauf, dass die Entlastungen im Rahmen der „One-in-one-out“-Regel der Bundesregierung auch zur Kompensation von bürokratischen Belastungen aus früheren Vorhaben dienen – genannt werden beispielsweise das Medizinprodukte-EU-Anpassungsgesetz und das Patientendaten-Schutz-Gesetz.
Digitale Pflegeanwendungen
„Gute Pflege braucht menschliche Zuwendung. Sinnvolle Apps und digitale Anwendungen können Pflegebedürftigen aber helfen, ihren Alltag besser zu bewältigen. Deshalb machen wir digitale Helfer jetzt auch für Pflege nutzbar“, erläuterte Spahn einen der zentralen Bestandteile des DVPMG. Pflegebedürftige sollen künftig Digitale Pflegeanwendungen (DiPAs) nutzen können, um den eigenen Gesundheitszustand durch Übungen und Trainings zu stabilisieren oder zu verbessern oder die Kommunikation mit Angehörigen und Pflegefachkräften zu verbessern.
Dazu soll ein neues Verfahren zur Prüfung der Erstattungsfähigkeit digitaler Pflegeanwendungen und zur Aufnahme in ein entsprechendes Verzeichnis beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geschaffen werden. Zudem soll die Versorgung mit digitalen Gesundheitsanwendungen (DiGAs) weiterentwickelt werden: Versicherte erhalten die Möglichkeit, Daten aus DiGAs in ihre elektronische Patientenakte (ePA) einzustellen. Auch soll ein verpflichtendes Zertifikat für die Informationssicherheit der DiGAs eingeführt werden.
Um den Ausbau der Telemedizin voranzutreiben, soll die Vermittlung von Vor-Ort-Arztterminen durch die 116117 um die Vermittlung telemedizinischer Leistungen ergänzt werden – auch der kassenärztliche Bereitschaftsdienst soll telemedizinische Leistungen anbieten. Der Gemeinsame Bundesausschuss (G-BA) soll laut Gesetzentwurf beauftragt werden, die Feststellung der Arbeitsunfähigkeit im Rahmen der ausschließlichen Fernbehandlung zu ermöglichen. Telemedizinische Leistungen sollen zudem auch für Heilmittelerbringer und Hebammen ermöglicht werden.
Bezüglich der TI soll die Gematik den Auftrag erhalten, einen „sicheren, wirtschaftlichen, skalierbaren und an die unterschiedlichen Bedürfnisse der Nutzer angepassten Zugang als Zukunftskonnektor oder Zukunftskonnektordienst“ zu entwickeln. Zusätzlich sollen die sicheren Übermittlungsverfahren zwischen Versicherten, Leistungserbringern und Kostenträgern künftig neben der E-Mail-Funktion auch einen Videokommunikationsdienst und einen Messagingdienst umfassen.
In diesem Zusammenhang sollen Versicherte und Leistungserbringer ab 2023 digitale Identitäten erhalten, um sich zum Beispiel für eine Videosprechstunde sicher authentifizieren zu können. Zur Stärkung grenzüberschreitender Patientensicherheit soll bis spätestens Mitte 2023 eine sogenannte „nationale E-Health-Kontaktstelle“ aufgebaut werden, sodass Versicherte ihre Gesundheitsdaten auch Ärztinnen und Ärzten im EU-Ausland sicher und übersetzt zur Verfügung stellen können.
E-Rezept und ePA
Für die Bereiche der häuslichen Krankenpflege, der außerklinischen Intensivpflege, der Soziotherapie, der Heil- und Hilfsmittel, der Betäubungsmittel und weiterer verschreibungspflichtiger Arzneimittel sollen gestaffelt bis 2022 beziehungsweise 2023 elektronische Verordnungen eingeführt werden. Um hierbei eine flächendeckende Nutzbarkeit der jeweiligen elektronischen Verordnungen sicherzustellen, werden die entsprechenden Erbringer der verordneten Leistungen (etwa Pflegedienste oder auch die Heil- und Hilfsmittelerbringer) zum sukzessiven Anschluss an die Telematikinfrastruktur verpflichtet. Die ihnen dadurch entstehenden Kosten sollen erstattet werden. Bei der Gematik sollen die Voraussetzungen dafür geschaffen werden, dass das Interoperabilitätsverzeichnis zu einer „Wissensplattform“ weiterentwickelt und eine neue Koordinierungsstelle für Interoperabilität im Gesundheitswesen eingerichtet wird. So sollen die Bedarfe für die Standardisierung identifiziert und entsprechende Empfehlungen für die Nutzung von Standards, Profilen und Leitfäden entwickelt und fortgeschrieben werden.
Für das bereits bestehende Nationale Gesundheitsportal soll die Datenbasis weiter ausgebaut werden, in dem dort künftig noch mehr Informationen zur vertragsärztlichen Versorgung zugänglich gemacht werden. Auf die Kassenärztliche Vereinigungen (KVen) kommt in diesem Rahmen die Pflicht zu, entsprechende Daten zusammenzuführen und nutzbar zu machen. Versicherte sollen künftig auch über die elektronische Patientenakte und das elektronische Rezept (E-Rezept) Informationen direkt auf dem Portal abrufen können.
Die Bundesärztekammer plädierte im Zusammenhang mit der Vorlage eines neuerlichen Digital-Gesetzentwurfes dafür, die rechtlichen Grundlagen für eine kontinuierliche Evaluation der digitalen Neuausrichtung des Gesundheitswesens zu schaffen – vor allem angesichts der geplanten massiven und nachhaltigen Veränderungen und den damit einhergehenden Investitionen in Milliardenhöhe.
Krankenhauszukunftsgesetz
Ein weiterer Ausbau der digitalen Gesundheitsinfrastruktur im stationären Bereich wird mit dem Krankenhauszukunftsgesetz (KHZG) gefördert: Bund und Länder stellen 4,3 Milliarden Euro für den Ausbau digitaler Prozesse in den deutschen Krankenhäusern bereit. Mit dem KHZG wurde dazu beim Bundesamt für Soziale Sicherung (BAS) ein Fonds eingerichtet, aus dem die Fördermittel an die Krankenhausträger fließen.
Seit September 2020 können die Träger Förderbedarf bei den Bundesländern anmelden. Gefördert werden zum Beispiel digitale Patientenportale, die elektronische Dokumentation von Pflege- und Behandlungsleistungen oder Maßnahmen zur IT-Sicherheit. Eine Evaluierung des Stands der Digitalisierung in den Krankenhäusern ist jeweils zum 30. Juni 2021 und zum 30. Juni 2023 vorgesehen. In entsprechenden Förderrichtlinien hat das BAS konkretisiert, welche digitalen Prozesse die Krankenhäuser umsetzen sollen. Wer die vorgesehenen digitalen Prozesse bis 2025 nicht eingerichtet hat, muss Abschläge zahlen.
Anforderungen an IT-Sicherheit
Damit die Standards bei Datenschutz und Datensicherheit in den Arzt- und Psychotherapeutenpraxen mit dem fortschreitenden Ausbau der digitalen Anwendungen und Infrastruktur mithalten, gelten ab Januar neue verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der Kassenärztlichen Bundesvereinigung hatte dazu im Dezember die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Zuvor hatte es lange Diskussionen zwischen KBV, Bundesamt für Sicherheit in der Informationstechnik (BSI) und BMG zu einem möglichst ausgewogenen Kompromiss zwischen Sicherheitsniveau und Aufwand für die Praxen gegeben.
„Es ist uns mit dieser Fassung der IT-Sicherheitsrichtlinie gelungen, praktikable und realistische Vorgaben für Praxen zu erarbeiten, die aufwandsarm umzusetzen sind“, erklärte Dr. Thomas Kriedel, Mitglied des Vorstands der KBV. Die Inhalte der Richtlinie arbeiten Punkte wie generelles Sicherheitsmanagement oder das Aufspüren von Sicherheitsvorfällen ab (siehe Kasten). Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen und Risiken wie Datenverlust oder Betriebsausfall zu minimieren.
„Vieles davon wird im Praxisalltag bereits angewendet, da es durch die europäische Datenschutzgrundverordnung vorgegeben ist. Die Richtlinie konkretisiert die Verordnung und macht sie praxistauglich“, betonte Kriedel. André Haserück
KBV-Richtlinie zur Datensicherheit
Der Gesetzgeber hatte Kassenärztliche Bundesvereinigung (KBV) und Kassenzahnärztliche Bundesvereinigung (KZBV) mit dem Digitale-Versorgung-Gesetz beauftragt, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln und jährlich zu aktualisieren – diese Richtlinie wurde von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und ist am 23. Januar in Kraft getreten. Eine weitere Richtlinie regelt die Zertifizierung von Dienstleistern in IT-Sicherheitsfragen.
Mittels der Festlegung von technischen Anforderungen und Mindestansprüchen an die zu ergreifenden Maßnahmen, um die Anforderungen der IT-Sicherheit zu gewährleisten, sollen die Risiken der IT-Sicherheit minimiert werden. Erste Schritte – zum Beispiel den Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollen Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die umzusetzenden Anforderungen richten sich nach der Größe der Praxis. Es gilt Folgendes:
- Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen.
- Mittlere Praxis: Eine mittlere Praxis ist eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.
- Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in den über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (zum Beispiel Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
Insgesamt 5 Richtlinien-Anlagen handeln die verschiedenen Sicherheitsaspekte ab. Praxen haben die Anforderungen aus Anlage 1und 5 umzusetzen, mittlere Praxen die Anforderungen aus Anlage 1, 2 und 5 und Großpraxen die Anforderungen aus Anlage 1, 2, 3 und 5. Sofern in der Praxis medizinische Großgeräte (wie Computertomografen) eingesetzt werden, sind ergänzend die Anforderungen aus Anlage 4 umzusetzen. Die Inhalte der Anlagen in der Kurzübersicht:
Anlage 1 beinhaltet Vorgaben zur Sicherheit von Rechner-Programmen, mobile Apps und Internet-Anwendungen – etwa hinsichtlich regelmäßiger Updates und der optimalen Einstellung. Zudem sind Vorgaben zur Hardware gelistet. Dies betrifft Datei- und Freigabeberechtigungen, die regelmäßige Datensicherung oder auch die sichere Grundkonfiguration für mobile Geräte.
Anlage 2 beinhaltet auf dieser Basis zusätzliche Anforderungen für mittlere Praxen: Etwa eine Zugriffskontrolle bei Webanwendungen oder auch Richtlinien für Mitarbeiter zur Benutzung von mobilen Geräten.
Anlage 3 definiert zusätzliche Anforderungen für Großpraxen. Enthalten sind unter anderem Vorgaben für ein umfassendes „Mobile-Device-Management“ sowie die Datenträgerverschlüsselung.
Anlage 4 befasst sich mit der Nutzung medizinischer Großgeräte. Hierbei soll eine Protokollierung und Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen beachtet werden und eine Trennung von der weiteren Praxis-IT erfolgen.
Anlage 5 listet Maßnahmen die dezentralen TI-Komponenten betreffend auf. Unter anderem sollen die Vorgaben der gematik sowie der IT-Hersteller beachtet und regelmäßige Updates durchgeführt werden.
Informationen der KBV zum Thema: https://hub.kbv.de/site/its
Die IT-Sicherheitsrichtlinie: http://daebl.de/YY17.
