NewsÄrzteschaft„Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen“
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

„Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen“

Dienstag, 5. November 2019

Berlin – Mit der zunehmenden Digitalisierung wächst die Abhängigkeit der Arzt- und Zahnarztpraxen von ihren IT-Systemen. Gleichzeitig nimmt auch das Bedrohungspoten­zial durch Cyberangriffe permanent zu. Ähnlich wie beim kürzlich veröffentlichten „bran­chen­spezifischen Sicherheitsstandard für Krankenhäuser“ soll die Datensicherheit auch im ambulanten Sektor durch Festlegung entsprechender Rahmenbedingungen gewähr­leistet werden. Im § 75b des geplanten Digitale Versorgung-Gesetzes (DVG) werden die Kassen­ärztliche und die Kassenzahnärztliche Bundesvereinigung (KBV, KZBV) damit be­auftragt, die IT-Sicherheitsanforderungen für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 31. März 2020 festzulegen.

Die Anforderungen und deren kontinuierliche Fortschreibung haben dabei im Einverneh­men mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im Beneh­men mit dem Datenschutzbeauftragten, der Bundes(zahn)ärztekammer, der Deutschen Krankenhausgesellschaft und den betreffenden Industriebundesverbänden zu erfolgen.

Anzeige

5 Fragen an Thomas Kriedel, Vorstandsmitglied der Kassenärztlichen Bundesvereinigung

DÄ: Das DVG wird voraussichtlich am 7. November vom Bundestag verabschiedet. Was sind die Herausforde­run­gen bei der Erstellung der Sicherheitsrichtlinie für die KBV?
Thomas Kriedel: Grundsätzlich begrüßen wir, dass die Datensicherheit in den Arzt- und Psychotherapeuten­pra­xen im Gesetz thematisiert wird. Sicherheitsfragen spie­len gerade durch den Anschluss an die Telematik­infra­struktur (TI) eine große Rolle. Viele Praxen werden da­durch auf das Problem hingewiesen. Sie müssen zudem viel mehr tun, weil sie ja ab 2021 die elektronische Pa­tientenakte (ePA) befüllen müssen. Dabei spielen ganz andere Fragen der Sicherheit eine Rolle. Es ist daher auf jeden Fall sinnvoll, alle Praxen auf denselben Standard zu verpflichten.

Im Gesetz steht auch, dass wir die Richtlinie „im Einvernehmen“ mit dem BSI machen müssen. Das bedeutet, dass die KBV nicht Herrin des Verfahrens ist. Die Terminvorgabe ist zudem überaus sportlich. Allein aus Zeitgründen werden wir uns daher voraussichtlich auf am Markt befindliche etablierte Standards und Richtlinien fokussieren müssen, ob das nun die entsprechenden DIN-Normen oder das IT-Grundschutz-Kompendium des BSI ist.

Letzte­res ist zwar vor allem für größere Betriebe geeignet, ließe sich aber an die Erfordernisse von Arztpraxen anpassen. Dabei ist zu beachten: Es geht um eine große Spannbreite, angefangen von der psychotherapeutischen Einzelpraxis bis hin zu einem MVZ mit vielleicht zehn, zwanzig Ärzten, für die die Richtlinie passen muss.

Darüber hinaus gilt: Die geforderten Lösungen müssen sicher sein, aber sie müssen auch finanzierbar und umsetzbar, das heißt handhabbar für den Arzt in seinem Praxisalltag sein. Unsere Vorstellung: Wir machen diese Richtlinie zusammen mit dem BSI, sodass klar ist, es handelt sich um eine veritable Richtlinie, die die Praxis so vorbereitet, dass sie auf dieser Basis Sicherheit im Umgang mit den Daten erhält.

DÄ: Wird die Sicherheitsrichtlinie somit deutlich über die bisherigen „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ einschließlich der technischen Anlage hinausgehen?
Thomas Kriedel: Davon gehe ich aus. Allerdings weiß ich derzeit noch nicht, wie die Vorstellungen des BSI dazu aussehen. Das BSI wird möglicherweise die Mindestanforde­rungen festlegen, und wir versuchen dann, ein Stück weit die Praxis mit einzubringen, sodass man einen sinnvollen Kompromiss zwischen Sicherheit und Handhabbarkeit hinbekommt.

Datensicherheit: Mehr Rechtssicherheit für Praxen

Eine Richtlinie soll künftig die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung verbindlich für Ärzte und Psychotherapeuten festschreiben. Mit der zunehmenden Digitalisierung im Gesundheitswesen wächst die Abhängigkeit der Ärzte und Psychotherapeuten von ihren Praxis-IT-Systemen. Gleichzeitig nimmt auch das Bedrohungspotenzial durch Cyberangriffe permanent

Auch die Kostenfrage muss dabei mitbetrachtet werden. Nicht jede Praxis kann sich einen IT-Berater leisten, der ständig zur Verfügung steht. Wir fordern daher, dass die Umsetzung der Richtlinie, die voraussichtlich zusätzliche Anforderungen an die Praxen stellen wird, finanziell von welcher Seite auch immer, ob von den Krankenkassen oder der Gematik, bezuschusst wird, damit diese Richtlinien durch einen Fachmann vor Ort umgesetzt werden kann.

Die Ärzte und Psychotherapeuten sind im Übrigen sehr daran interessiert, ihre Daten sicher zu halten. Ihre größte Sorge ist, dass sie künftig die Daten, die sie im Rahmen der gesetz­lichen Vorgaben zur ePA herausgeben müssen, auch sicher herausgeben können. Was der Patient dann damit macht, steht auf einem anderen Blatt. Aber die Ärzte und Psychothera­peuten sind verpflichtet, den Datenschutz nach den jeweils geltenden Standards zu gewähr­leisten.

DÄ: Wird die Richtlinie neben der Praxis-IT auch die integrierte, Daten produzierende Medizintechnik berücksichtigen?
Thomas Kriedel: Das halte ich für notwendig. Ich weiß aber nicht, ob wir das in der Zeit schaffen werden. Vorrangig wäre sicherzustellen, dass diese Geräte, wie etwa ein Langzeit-EKG oder beim digitalen Röntgen, nicht von sich aus autonom Daten aus der Praxis heraus übertragen, sondern dass die Daten in der Praxis verbleiben oder nur durch die Sicherheits­schleuse mit herausgehen. Wir werden sicherlich in der ersten Version darauf hinweisen, dass hier eine potenzielle Sicherheitslücke besteht, die geschlossen werden muss. Aber ich könnte mir vorstellen, dass die Zeit zumindest am Anfang nicht ausreichen wird, für all diese Dinge Sicherheitsstandards vorzugeben.

DÄ: Der Gesetzgeber fordert neben dem einvernehmlichen Erstellen der Richtlinie gemein­sam mit dem BSI zusätzlich auch die Benehmensherstellung mit weiteren Akteuren. Wie will die KBV das umsetzen?
Thomas Kriedel: Es gibt ein gewisses Vorbild, an dem man sich orientieren könnte, nämlich die Verfahrensordnung für die medizinischen Informationsobjekte (MIOs). Auch dort hat der Gesetzgeber die KBV verpflichtet, sich mit vielen weiteren Beteiligten ins Benehmen zu setzen. In der Verfahrensordnung steht, wie und wann wir welche anderen Parteien mit beteiligen, wo wir unsere Ergebnisse veröffentlichen oder wo es Kommentarmöglichkeiten gibt. „Ins Benehmen setzen“ heißt außerdem nicht, ich übergebe etwas und hefte die Kommentare ab, sondern wir müssen das Feedback aufnehmen, verarbeiten und gute Hinweise einarbeiten.

Wir hoffen, dass die Arztpraxis mit der Richtlinie auch Klarheit zu Haftungsfragen erhält. Zurzeit herrscht eine ungute Situation: Der Arzt ist verpflichtet, die Daten in seiner Praxis zu schützen. Aber im Hinblick auf die Anbindung an die TI ist nicht klar, ab wann er haftet. Wir sind der Auffassung, dass der Konnektor nicht mehr zu seiner Verantwortung gehört, denn das Gerät wird ihm von der Gematik beziehungsweise dem Gesetzgeber vorgegeben.

Aber die Datenschützer haben gesagt: So genau wissen wir das auch nicht, da gibt es eine juristische Grauzone. Der Gesetzgeber muss daher regeln, wer für die technische Sicherheit des Konnektors und dessen Betriebssicherheit zuständig ist. Aus unserer Sicht ist klar: Das kann der Arzt nicht. Andere geben ihm die Spezifikation vor. Wir erwarten, dass dieser Prozess der Richtlinienbildung auch dazu führt, dass klargestellt wird: Die Verantwortung des Arztes endet beim Konnektor.

Auch aus den Befragungen von Ärzten und Psychotherapeuten, die wir in unserem Praxis­monitor veröffentlichen, geht hervor, dass die meisten der Befragten Sorge haben, ihr Praxisverwaltungssystem sei nicht sicher genug. Viele Ärzte sind keine IT-Fachleute und daher unsicher, was etwa Haftungsfragen betrifft. Die Richtlinie zur IT-Sicherheit würde Rechtssicherheit für alle Seiten schaffen.

DÄ: Das Gesetz sieht zusätzlich auch die Möglichkeit einer Zertifizierung von Anbietern durch die KBV vor. Ist die KBV dafür schon gerüstet? Können Praxen künftig nur noch zertifizierte Anbieter beauftragen?
Thomas Kriedel: Das haben wir noch nicht endgültig diskutiert. Das hängt nicht zuletzt von der Komplexität der Richtlinie ab. Ich könnte mir aber vorstellen, dass es dem Arzt mehr Sicherheit gibt, wenn er ­– gegebenenfalls finanziell bezuschusst von den Krankenkassen oder der Gematik - einen zertifizierten Anbieter mit der Überprüfung seiner Praxis beauf­tragt. Wir würden das begrüßen. Die KBV kann zwar Anbieter zertifizieren, aber keine Kassenärztliche Vereinigung kann die Überprüfung selbst vornehmen und in die Praxen gehen. Das ist auch nicht deren Aufgabe.

Das Beste wäre, wenn der jeweilige Praxisbetreuer, das heißt, der für die Wartung der Praxis-IT zuständige Dienstleister vor Ort, auch zertifiziert wäre. Damit könnte der Arzt darauf vertrauen, dass er einen kompetenten Ansprechpartner hat, der ihm bestätigt, ob er die Richtlinie erfüllt oder nicht. Das wäre unsere Idealvorstellung.

Die Wartungsgebühren würden damit wahrscheinlich angehoben, wenn zusätzliche Leistungen erbracht werden. Daher muss aus Sicht der KBV zumindest der Abgleich mit der neu geschaffenen Richtlinie, der wahrscheinlich mehr Aufwand für die Arztpraxis bedeutet, auch mit einer zusätzlichen Kostenerstattung verbunden sein. © KBr/aerzteblatt.de

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

24. November 2020
Berlin – Für eine verbesserte Informationspolitik im Zusammenhang mit der bevorstehenden Einführung der elektronischen Patientenakte (ePA) sprechen sich die Mitglieder des Sachverständigenrates zur
SVR-Experten wollen im März Digitalstrategie vorschlagen
24. November 2020
Berlin – Sanktionen sind das falsche Mittel, um Ärzten zu begegnen, die Vorbehalte gegen die Digitalisierung in Praxen und den Anschluss an der Tele­ma­tik­infra­struk­tur (TI) haben. Das hat der Präsident
Reinhardt: „Jetzt ist nicht die Zeit für Sanktionen“
23. November 2020
Berlin – Die kommendes Jahr startende elektronische Patientenakte (ePA) werde in der medizinischen Versorgung „den Unterschied“ machen, so die Einschätzung von Bun­des­ge­sund­heits­mi­nis­ter Jens Spahn
Elektronische Patientenakte – ein entscheidender Fortschritt
23. November 2020
Berlin – Wissen über Chancen und Risiken von digitalen Anwendungen wird künftig ebenso essenziell für Ärzte sein, wie das Wissen über Medikamente. Das wurde bei einer Konferenz des ständigen Komitees
Digitale Kompetenz wird für Ärzte zum alltäglichen Handwerkszeug
23. November 2020
Koblenz – Der auf Arztpraxen und Apotheken spezialisierte Softwareanbieter Compugroup baut sein Geschäft in den USA durch eine Übernahme aus. Dafür werde die US-Gesellschaft eMDs gekauft, teilte
Compugroup baut USA-Geschäft mit Zukauf aus
23. November 2020
Berlin – Hacker dringen einem Zeitungsbericht zufolge immer häufiger in Computernetze von Krankenhäusern und anderen systemrelevanten Organisationen ein. So registrierte die Bundesregierung 2020 bis
Mehr Cyberangriffe auf Krankenhäuser
18. November 2020
Berlin – Der Verband der Ersatzkassen (vdek) hat den Gesetzentwurf des Bun­des­ge­sund­heits­mi­nis­ters zur Digitalisierung im Gesundheitswesen begrüßt. Gerade die Coronapandemie habe gezeigt, wie wichtig
LNS LNS

Fachgebiet

Stellenangebote

    Anzeige

    Aktuelle Kommentare

    Archiv

    NEWSLETTER