NewsThemenE-HealthDatensicherheit: Mehr Rechtssicherheit für Praxen
E-Health

E-Health

POLITIK

Datensicherheit: Mehr Rechtssicherheit für Praxen

Dtsch Arztebl 2019; 116(45): A-2057 / B-1687 / C-1651

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Eine Richtlinie soll künftig die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung verbindlich für Ärzte und Psychotherapeuten festschreiben.

Mit der zunehmenden Digitalisierung im Gesundheitswesen wächst die Abhängigkeit der Ärzte und Psychotherapeuten von ihren Praxis-IT-Systemen. Gleichzeitig nimmt auch das Bedrohungspotenzial durch Cyberangriffe permanent zu. Ähnlich wie beim kürzlich veröffentlichten „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ soll die Datensicherheit auch im ambulanten Sektor durch Festlegung entsprechender Rahmenbedingungen gewährleistet werden. Zwar fallen Arzt- und Psychotherapeutenpraxen als kleine und mittlere Unternehmen nicht unter das BSI-Gesetz zu kritischen Infrastrukturen. Dennoch besteht aus Sicht des Gesetzgebers auch für die im ambulanten Sektor eingesetzten IT-Systeme ein großes Bedrohungspotenzial.

In § 75 b des geplanten Digitale-Versorgung-Gesetzes (DVG) werden die Kassenärztliche (KBV) und die Kassenzahnärztliche Bundesvereinigung daher damit beauftragt, die IT-Sicherheitsanforderungen für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 31. März 2020 festzulegen. Das Gesetz soll am 7. November vom Bundestag (nach Redaktionsschluss) verabschiedet werden. Die Anforderungen und deren kontinuierliche Fortschreibung müssen dabei laut DVG im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im Benehmen mit dem Datenschutzbeauftragten, der Bundes(zahn)ärztekammer, der Deutschen Krankenhausgesellschaft und den betreffenden Bundesverbänden der Industrie festgelegt werden.

Anzeige

Ersteres heißt, die KBV ist „nicht Herrin des Verfahrens“, wie Dr. rer. soc. Thomas Kriedel, KBV-Vorstandsmitglied, gegenüber dem Deutschen Ärzteblatt erläuterte, sondern sie muss die Richtlinie vom BSI absegnen lassen (siehe auch „5 Fragen an . . .“). Letzteres bedeutet, dass sich die KBV, wie schon bei der Definition der medizinischen Informationsobjekte, die im Kontext der semantischen Standardisierung der elektronischen Patientenakte benötigt werden, mit weiteren Partnern abstimmen muss. Die hierfür erarbeitete Verfahrensordnung könnte auch als Orientierung zur Benehmensherstellung für die IT-Sicherheitsrichtlinie dienen.

Kompromiss zwischen Sicherheit und Handhabbarkeit

Die Terminvorgabe sei zudem „überaus sportlich“, betonte Kriedel. Allein aus Zeitgründen werde sich die KBV daher voraussichtlich auf am Markt befindliche etablierte Standards und Richtlinien fokussieren müssen, wie etwa auf das IT-Grundschutz-Kompendium des BSI. Aus Sicht der KBV ist darüber hinaus darauf zu achten, dass entsprechende Lösungen auch finanzierbar und umsetzbar für den Arzt in seinem Praxisalltag sind. „Das BSI wird möglicherweise die Mindestanforderungen festlegen, und wir versuchen dann, ein Stück weit die Praxis mit einzubringen, sodass man einen sinnvollen Kompromiss zwischen Sicherheit und Handhabbarkeit hinbekommt“, meinte Kriedel. Zudem fordert die KBV, dass etwaiger Mehraufwand für die Praxen, um die Anforderungen der Richtlinie zu erfüllen, auch mit einer zusätzlichen Kostenerstattung verbunden sein muss.

Aus Sicht der KBV könnte die IT-Sicherheitsrichtlinie auch dazu beitragen, dass mehr Klarheit über die datenschutzrechtliche Verantwortlichkeit innerhalb der Tele­ma­tik­infra­struk­tur (TI) geschaffen wird. So wurde seit Längerem diskutiert, ob der Praxisinhaber oder die verantwortliche Betriebsgesellschaft gematik für die Konnektoren als Bindeglied zwischen Praxis und TI datenschutzrechtlich verantwortlich ist. „Wir sind der Auffassung, dass der Konnektor nicht mehr zu seiner Verantwortung gehört, denn das Gerät wird ihm von der gematik beziehungsweise dem Gesetzgeber vorgegeben“, erklärte Kriedel.

Die Datenschutzbeauftragten von Bund und Ländern hatten Mitte September festgestellt, dass sowohl der Vertragsarzt als auch die gematik für den dezentralen Bereich der TI „datenschutzrechtlich mitverantwortlich“ sind, und an den Gesetzgeber appelliert, hier eine gesetzliche Regelung zu schaffen, um in dieser Frage für mehr Rechtssicherheit zu sorgen. „Wir erwarten, dass dieser Prozess der Richtlinienbildung auch dazu führt, dass klargestellt wird: Die Verantwortung des Arztes endet am Konnektor“, so Kriedel.

Heike E. Krüger-Brand

5 Fragen an . . .
Dr. rer. soc. Thomas Kriedel:
www.aerzteblatt.de/n107138
oder über QR-Code.

Geplante Regelungen

  • Die KBV und die Kassenzahnärztliche Bundesvereinigung müssen bis zum 31. März 2020 die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertrags(zahn)ärztlichen Versorgung verbindlich festlegen.
  • Ziel ist es, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme und -Prozesse in der vertragsärztlichen Versorgung sicherzustellen.
  • Die Richtlinie muss im Einvernehmen mit dem BSI sowie im Benehmen mit weiteren Partnern wie dem Bundesdatenschutzbeauftragten und der Bundes­ärzte­kammer festgelegt und aktualisiert werden.
  • Die KBV kann im Einvernehmen mit dem BSI Anbieter zertifizieren, die geeignet sind, die Praxen bei der Umsetzung der Richtlinie zu unterstützen.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.