NewsÄrzteschaft„Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen“
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

„Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen“

Dienstag, 5. November 2019

Berlin – Mit der zunehmenden Digitalisierung wächst die Abhängigkeit der Arzt- und Zahnarztpraxen von ihren IT-Systemen. Gleichzeitig nimmt auch das Bedrohungspoten­zial durch Cyberangriffe permanent zu. Ähnlich wie beim kürzlich veröffentlichten „bran­chen­spezifischen Sicherheitsstandard für Krankenhäuser“ soll die Datensicherheit auch im ambulanten Sektor durch Festlegung entsprechender Rahmenbedingungen gewähr­leistet werden. Im § 75b des geplanten Digitale Versorgung-Gesetzes (DVG) werden die Kassen­ärztliche und die Kassenzahnärztliche Bundesvereinigung (KBV, KZBV) damit be­auftragt, die IT-Sicherheitsanforderungen für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 31. März 2020 festzulegen.

Die Anforderungen und deren kontinuierliche Fortschreibung haben dabei im Einverneh­men mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im Beneh­men mit dem Datenschutzbeauftragten, der Bundes(zahn)ärztekammer, der Deutschen Krankenhausgesellschaft und den betreffenden Industriebundesverbänden zu erfolgen.

Anzeige

5 Fragen an Thomas Kriedel, Vorstandsmitglied der Kassenärztlichen Bundesvereinigung

DÄ: Das DVG wird voraussichtlich am 7. November vom Bundestag verabschiedet. Was sind die Herausforde­run­gen bei der Erstellung der Sicherheitsrichtlinie für die KBV?
Thomas Kriedel: Grundsätzlich begrüßen wir, dass die Datensicherheit in den Arzt- und Psychotherapeuten­pra­xen im Gesetz thematisiert wird. Sicherheitsfragen spie­len gerade durch den Anschluss an die Telematik­infra­struktur (TI) eine große Rolle. Viele Praxen werden da­durch auf das Problem hingewiesen. Sie müssen zudem viel mehr tun, weil sie ja ab 2021 die elektronische Pa­tientenakte (ePA) befüllen müssen. Dabei spielen ganz andere Fragen der Sicherheit eine Rolle. Es ist daher auf jeden Fall sinnvoll, alle Praxen auf denselben Standard zu verpflichten.

Im Gesetz steht auch, dass wir die Richtlinie „im Einvernehmen“ mit dem BSI machen müssen. Das bedeutet, dass die KBV nicht Herrin des Verfahrens ist. Die Terminvorgabe ist zudem überaus sportlich. Allein aus Zeitgründen werden wir uns daher voraussichtlich auf am Markt befindliche etablierte Standards und Richtlinien fokussieren müssen, ob das nun die entsprechenden DIN-Normen oder das IT-Grundschutz-Kompendium des BSI ist.

Letzte­res ist zwar vor allem für größere Betriebe geeignet, ließe sich aber an die Erfordernisse von Arztpraxen anpassen. Dabei ist zu beachten: Es geht um eine große Spannbreite, angefangen von der psychotherapeutischen Einzelpraxis bis hin zu einem MVZ mit vielleicht zehn, zwanzig Ärzten, für die die Richtlinie passen muss.

Darüber hinaus gilt: Die geforderten Lösungen müssen sicher sein, aber sie müssen auch finanzierbar und umsetzbar, das heißt handhabbar für den Arzt in seinem Praxisalltag sein. Unsere Vorstellung: Wir machen diese Richtlinie zusammen mit dem BSI, sodass klar ist, es handelt sich um eine veritable Richtlinie, die die Praxis so vorbereitet, dass sie auf dieser Basis Sicherheit im Umgang mit den Daten erhält.

DÄ: Wird die Sicherheitsrichtlinie somit deutlich über die bisherigen „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ einschließlich der technischen Anlage hinausgehen?
Thomas Kriedel: Davon gehe ich aus. Allerdings weiß ich derzeit noch nicht, wie die Vorstellungen des BSI dazu aussehen. Das BSI wird möglicherweise die Mindestanforde­rungen festlegen, und wir versuchen dann, ein Stück weit die Praxis mit einzubringen, sodass man einen sinnvollen Kompromiss zwischen Sicherheit und Handhabbarkeit hinbekommt.

Datensicherheit: Mehr Rechtssicherheit für Praxen

Eine Richtlinie soll künftig die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung verbindlich für Ärzte und Psychotherapeuten festschreiben. Mit der zunehmenden Digitalisierung im Gesundheitswesen wächst die Abhängigkeit der Ärzte und Psychotherapeuten von ihren Praxis-IT-Systemen. Gleichzeitig nimmt auch das Bedrohungspotenzial durch Cyberangriffe permanent

Auch die Kostenfrage muss dabei mitbetrachtet werden. Nicht jede Praxis kann sich einen IT-Berater leisten, der ständig zur Verfügung steht. Wir fordern daher, dass die Umsetzung der Richtlinie, die voraussichtlich zusätzliche Anforderungen an die Praxen stellen wird, finanziell von welcher Seite auch immer, ob von den Krankenkassen oder der Gematik, bezuschusst wird, damit diese Richtlinien durch einen Fachmann vor Ort umgesetzt werden kann.

Die Ärzte und Psychotherapeuten sind im Übrigen sehr daran interessiert, ihre Daten sicher zu halten. Ihre größte Sorge ist, dass sie künftig die Daten, die sie im Rahmen der gesetz­lichen Vorgaben zur ePA herausgeben müssen, auch sicher herausgeben können. Was der Patient dann damit macht, steht auf einem anderen Blatt. Aber die Ärzte und Psychothera­peuten sind verpflichtet, den Datenschutz nach den jeweils geltenden Standards zu gewähr­leisten.

DÄ: Wird die Richtlinie neben der Praxis-IT auch die integrierte, Daten produzierende Medizintechnik berücksichtigen?
Thomas Kriedel: Das halte ich für notwendig. Ich weiß aber nicht, ob wir das in der Zeit schaffen werden. Vorrangig wäre sicherzustellen, dass diese Geräte, wie etwa ein Langzeit-EKG oder beim digitalen Röntgen, nicht von sich aus autonom Daten aus der Praxis heraus übertragen, sondern dass die Daten in der Praxis verbleiben oder nur durch die Sicherheits­schleuse mit herausgehen. Wir werden sicherlich in der ersten Version darauf hinweisen, dass hier eine potenzielle Sicherheitslücke besteht, die geschlossen werden muss. Aber ich könnte mir vorstellen, dass die Zeit zumindest am Anfang nicht ausreichen wird, für all diese Dinge Sicherheitsstandards vorzugeben.

DÄ: Der Gesetzgeber fordert neben dem einvernehmlichen Erstellen der Richtlinie gemein­sam mit dem BSI zusätzlich auch die Benehmensherstellung mit weiteren Akteuren. Wie will die KBV das umsetzen?
Thomas Kriedel: Es gibt ein gewisses Vorbild, an dem man sich orientieren könnte, nämlich die Verfahrensordnung für die medizinischen Informationsobjekte (MIOs). Auch dort hat der Gesetzgeber die KBV verpflichtet, sich mit vielen weiteren Beteiligten ins Benehmen zu setzen. In der Verfahrensordnung steht, wie und wann wir welche anderen Parteien mit beteiligen, wo wir unsere Ergebnisse veröffentlichen oder wo es Kommentarmöglichkeiten gibt. „Ins Benehmen setzen“ heißt außerdem nicht, ich übergebe etwas und hefte die Kommentare ab, sondern wir müssen das Feedback aufnehmen, verarbeiten und gute Hinweise einarbeiten.

Wir hoffen, dass die Arztpraxis mit der Richtlinie auch Klarheit zu Haftungsfragen erhält. Zurzeit herrscht eine ungute Situation: Der Arzt ist verpflichtet, die Daten in seiner Praxis zu schützen. Aber im Hinblick auf die Anbindung an die TI ist nicht klar, ab wann er haftet. Wir sind der Auffassung, dass der Konnektor nicht mehr zu seiner Verantwortung gehört, denn das Gerät wird ihm von der Gematik beziehungsweise dem Gesetzgeber vorgegeben.

Aber die Datenschützer haben gesagt: So genau wissen wir das auch nicht, da gibt es eine juristische Grauzone. Der Gesetzgeber muss daher regeln, wer für die technische Sicherheit des Konnektors und dessen Betriebssicherheit zuständig ist. Aus unserer Sicht ist klar: Das kann der Arzt nicht. Andere geben ihm die Spezifikation vor. Wir erwarten, dass dieser Prozess der Richtlinienbildung auch dazu führt, dass klargestellt wird: Die Verantwortung des Arztes endet beim Konnektor.

Auch aus den Befragungen von Ärzten und Psychotherapeuten, die wir in unserem Praxis­monitor veröffentlichen, geht hervor, dass die meisten der Befragten Sorge haben, ihr Praxisverwaltungssystem sei nicht sicher genug. Viele Ärzte sind keine IT-Fachleute und daher unsicher, was etwa Haftungsfragen betrifft. Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen.

DÄ: Das Gesetz sieht zusätzlich auch die Möglichkeit einer Zertifizierung von Anbietern durch die KBV vor. Ist die KBV dafür schon gerüstet? Können Praxen künftig nur noch zertifizierte Anbieter beauftragen?
Thomas Kriedel: Das haben wir noch nicht endgültig diskutiert. Das hängt nicht zuletzt von der Komplexität der Richtlinie ab. Ich könnte mir aber vorstellen, dass es dem Arzt mehr Sicherheit gibt, wenn er ­– gegebenenfalls finanziell bezuschusst von den Krankenkassen oder der Gematik - einen zertifizierten Anbieter mit der Überprüfung seiner Praxis beauf­tragt. Wir würden das begrüßen. Die KBV kann zwar Anbieter zertifizieren, aber keine Kassenärztliche Vereinigung kann die Überprüfung selbst vornehmen und in die Praxen gehen. Das ist auch nicht deren Aufgabe.

Das Beste wäre, wenn der jeweilige Praxisbetreuer, das heißt, der für die Wartung der Praxis-IT zuständige Dienstleister vor Ort, auch zertifiziert wäre. Damit könnte der Arzt darauf vertrauen, dass er einen kompetenten Ansprechpartner hat, der ihm bestätigt, ob er die Richtlinie erfüllt oder nicht. Das wäre unsere Idealvorstellung.

Die Wartungsgebühren würden damit wahrscheinlich angehoben, wenn zusätzliche Leistungen erbracht werden. Daher muss aus Sicht der KBV zumindest der Abgleich mit der neu geschaffenen Richtlinie, der wahrscheinlich mehr Aufwand für die Arztpraxis bedeutet, auch mit einer zusätzlichen Kostenerstattung verbunden sein. © KBr/aerzteblatt.de

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

18. November 2019
Berlin – Wie lassen sich Überlegungen zur elektronischen Patientenakte (ePA) nach Sozialgesetzbuch V und zur forschungskompatiblen ePA der Universitätskliniken harmonisieren und weiterentwickeln?
Sicherer Austausch von Gesundheitsdaten über Datentreuhänder
15. November 2019
Berlin – Die gematik hat die Zulassung eines ersten E-Health-Konnektors für den Einsatz in der Tele­ma­tik­infra­struk­tur erteilt. Über ein Software-Update wird der Konnektor KoCoBox MED+ der CompuGroup
Software-Update soll Konnektor für Tele­ma­tik­infra­struk­tur fit machen
15. November 2019
Bad Lippspringe – Die Deutsche Atemwegsliga, die Deutsche Gesellschaft für Pneumologie und Beatmungsmedizin und der Verband Pneumologischer Kliniken sehen in der Verwendung digitaler Hilfsmittel eine
Pneumologen hoffen auf Potenzial der Digitalisierung
14. November 2019
Berlin – Wie bereiten sich Krankenhäuser auf den digitalen Wandel vor? Diese Herausforderung, die ausnahmslos alle Häuser betrifft, wird durchaus strategisch unterschiedlich angegangen. Als ein Trend
Digitalisierung im Krankenhaus: Kein Fortschritt ohne Plattformen
14. November 2019
Berlin – Ein Großteil der Arzt- und Psychotherapeutenpraxen, die an die Tele­ma­tik­infra­struk­tur (TI) angeschlossen sind, sollen nicht ausreichend gegen Hackerangriffe geschützt sein. Das
Unsicherer Anschluss an Tele­ma­tik­infra­struk­tur: Kritik an Schuldzuweisung an Ärzte
14. November 2019
Stanford – Die Apple-Watch erkennt Unregelmäßigkeiten im Puls am Handgelenk und gibt einen Hinweis auf mögliches Vorhofflimmern. Die Warnung der Smartwatch bestätigte bei 34 % ein Vorhofflimmern in
Apple-Watch alarmiert bei Verdacht auf Vorhofflimmern nicht immer korrekt
14. November 2019
Lüneburg – Forscher der Leuphana Universität Lüneburg arbeiten gemeinsam mit dem Leipziger Unternehmen Docyet an der Frage, wie sich das Zusammenspiel von Telemedizin und automatisch arbeitenden
LNS LNS

Fachgebiet

Anzeige

Aktuelle Kommentare

Archiv

NEWSLETTER