IT-Sicherheit in der Arztpraxis: alte und neue Herausforderungen

Telematikinfrastruktur

Die Telematikinfrastruktur (TI) wird weiter ausgebaut, insbesondere schließt sie weitere Anwendungsfälle ein, stellt Verknüpfungen mit digitalen Gesundheits- und Pflegeanwendungen bereit etc. An den Ausbau der TI stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hohe Sicherheitsanforderungen. So muss die weiterentwickelte TI zwar Raum für Veränderungen und Anpassungen bieten, gleichwohl jedoch die bisherigen Sicherheitsstandards aufrechterhalten. Die Aufrechterhaltung dieser Standards erfordert nach dem BSI eine Aktualisierung und Erweiterung der Sicherheits- und Risikoanalysen, wobei das BSI von einer ganzheitlichen Betrachtung dieser Prozesse ausgeht.

Die Endgeräte in Arztpraxen, die vertrauliche medizinische Daten verwenden, müssen ebenfalls hinreichende Sicherheitsvorkehrungen beinhalten, die von der TI technisch unterstützt werden müssen. Die Anforderungen an die Verschlüsselungstechniken müssen nach dem BSI ebenfalls gewahrt werden: Es sind zertifizierte kryptographische Sicherheitsanker zu verwenden. Die Kommunikation zwischen der TI und dem Anwender hat – in beiden Richtungen – mit Zwei-Faktor-Authentifizierung und verschlüsselt zu erfolgen. Versicherte müssen unabhängig von den hohen TI-Anforderungen die Möglichkeit haben, alle Dienste zu nutzen, ohne über entsprechende Endgeräte zu verfügen. Die Umstellung auf eine neue TI-Struktur wird ein Migrationskonzept und einen Parallelbetrieb beider Systeme über eine Zeit erforderlich machen.

Digitale Gesundheits- und Pflegeanwendungen

Digitale Gesundheitsanwendungen sollen nach § 33a Abs. 1 Satz 1 SGB V Leistungserbringer und Patienten bei der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten, Verletzungen oder Behinderungen unterstützen, wobei nur Medizinprodukte niedriger Risikoklassen Anwendung finden dürfen. Unter diesen Voraussetzungen haben Versicherte einen Anspruch auf die Versorgung mit solchen digitalen Gesundheitsanwendungen, sofern das Bundesinstitut für Arzneimittel und Medizinprodukte betreffende Anwendungen in das Verzeichnis für digitale Gesundheitsanwendungen nach § 139e SGB V aufgenommen hat und eine entsprechende Verordnung oder eine Genehmigung der Krankenkasse vorliegt.

Das Bundesinstitut für Arzneimittel und Medizinprodukte nimmt digitale Gesundheitsanwendungen in das betreffende Verzeichnis nicht von Amts wegen, sondern auf den Antrag des Herstellers einer Anwendung auf. Ein Hersteller muss nach § 139e Abs. 2 Satz 2 SGB V mit dem Antrag Nachweise erbringen, dass seine digitale Gesundheitsanwendung

“1. den Anforderungen an Sicherheit, Funktionstauglichkeit und Qualität einschließlich der Interoperabilität des Medizinproduktes entspricht,
2. den Anforderungen an den Datenschutz entspricht und die Datensicherheit nach dem Stand der Technik gewährleistet und
3. positive Versorgungseffekte aufweist“.

Digitale Pflegeanwendungen beruhen nach § 40a Abs. 1 Satz 1 SGB XI auf digitalen Technologien und werden genutzt, „um Beeinträchtigungen der Selbstständigkeit oder der Fähigkeiten des Pflegebedürftigen zu mindern und einer Verschlimmerung der Pflegebedürftigkeit entgegenzuwirken, soweit die Anwendung nicht wegen Krankheit oder Behinderung von der Krankenversicherung oder anderen zuständigen Leistungsträgern zu leisten ist“. Zugelassene digitale Pflegeanwendungen werden ebenfalls in einem Verzeichnis erfasst.

Ausbau der elektronischen Patientenakte (ePA)

Die ePA wird weiter ausgebaut sowie um neue Komponenten und Funktionen erweitert. Neben der Einführung des elektronischen Rezepts (E-Rezepts), der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU), der Kommunikationsanwendungen für Leistungserbringer sollen vor allem Nutzungsmöglichkeiten durch Patienten in Bezug auf die ePA schrittweise erheblich ausgebaut werden.

Das Patientendaten-Schutz-Gesetz vom 14.10.2020 bekräftigt und erweitert die Rechte der Patienten, sofern es um deren Daten in der ePA geht. Der Kernpunkt der gesetzlichen Regelung ist die alleinige Befugnis des Patienten, auf seine ePA zuzugreifen und hier Änderungen vornehmen zu können. Bereits zum 01.01.2021 sollen umfangreiche medizinische Informationen über Versicherte, wie Daten zu Befunden, Diagnosen, Therapiemaßnahmen etc. in die ePA aufgenommen worden sein. Ab dem 01.01.2022 war die Aufnahme weiterer Daten, insbesondere Bonus- und Untersuchungshefte, Mutterpässe, Impfdokumentationen, Leistungen der Krankenkassen für den Versicherten, vorgesehen. Ab dem 01.01.2023 sollen weitere Daten in die ePA aufgenommen worden sein: neben E-Rezepten und elektronischen Arbeitsunfähigkeitsbescheinigungen können es auch Daten aus digitalen Gesundheitsanwendungen, aus der pflegerischen Versorgung und sonstige Daten der Leistungserbringer für den Patienten sein.

IT-Sicherheitsrichtlinie der KBV

Nach § 75b Abs. 1 Satz 1 SGB V war die KBV gesetzlich verpflichtet, bis zum 30.06.2020 „in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ festzulegen. Gem. § 75b Abs. 2 SGB V müssen Anforderungen der betreffenden Richtlinie geeignet sein, ausgehend vom Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, „Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen Leistungserbringer in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden“. Ferner muss die IT-Sicherheitsrichtlinie der KBV nach § 75b Abs. 1 Satz 2 SGB V auch Anforderungen in Bezug auf die Installation und Wartung der Telematikinfrastruktur enthalten. Die Anforderungen der IT-Sicherheitsrichtlinie müssen gem. § 75b Abs. 3 Satz 1 SGB V jährlich dem Stand der Technik und dem Gefährdungspotential angepasst werden. Die IT-Sicherheitsrichtlinie der KBV ist nach § 75b Abs. 4 Satz 1 SGB V für die Leistungserbringer in der vertragsärztlichen und vertragszahnärztlichen Versorgung verbindlich.

Richtlinie nach § 75b SGB V zur Gewährleistung der IT-Sicherheit

Den Auftrag des § 75b SGB V hat die KBV in ihrer „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ vom 16.12.2020 umgesetzt. Die Vertragsärztinnen und Vertragsärzte als Adressaten dieser IT-Sicherheitsrichtlinie sollen nach der KBV davon ausgehen, dass die betreffende Richtlinie nur die Mindeststandards für die IT-Sicherheit einer Arztpraxis beinhaltet. Keineswegs soll die IT-Sicherheitsrichtlinie einen abschließenden Katalog von Maßnahmen enthalten, die für alle Praxen und in jedem Fall alle möglichen Sicherheitsvorkehrungen festschreibt. Je nach Größe, der Fachrichtung und der Ausstattung einer Praxis können weitere Anforderungen an die IT-Sicherheit einer konkreten Praxis gestellt werden, ob solche erforderlich sind, ist in jedem konkreten Einzelfall zu entscheiden.

Die IT-Sicherheitsrichtlinie der KBV legt Anforderungen nicht abstrakt für alle Praxen fest, sondern differenziert einerseits nach der Größe der Praxis und andererseits nach der Ausstattung der Praxen mit medizinischen Großgeräten. Mit der wachsenden Größe der Praxen wachsen auch die Anforderungen an der IT-Sicherheit der betreffenden Praxis.

Insgesamt werden 3 Praxisgrößen unterschieden:

1. eine vertragsärztliche Praxis mit bis zu fünf Personen, die ständig mit der Datenverarbeitung betraut sind,
2. eine mittlere vertragsärztliche Praxis mit 6 bis 20 Personen, die ständig mit der Datenverarbeitung betraut sind und
3. eine Großpraxis mit über 20 Personen, die ständig mit der Datenverarbeitung betraut sind. Einer Großpraxis ist auch eine Praxis gleichgestellt, die Daten im erheblichen Umfang verarbeitet, wobei die IT-Sicherheitsrichtlinie als Beispiele für solche Praxen Groß-MVZ mit krankenhausähnlichen Strukturen oder Labore nennt.

Sicherheitsanforderungen an Praxen nach Größe

Eine Praxis muss in Bezug auf die IT-Sicherheit Anforderungen der Anlagen 1 und 5 umsetzen, soweit sie die in den betreffenden Anlagen angegebenen Zielobjekte nutzt. Eine mittlere Praxis muss gesteigerte Anforderungen erfüllen: Für diese gelten bereits die Anforderungen der Anlagen 1, 2 und 5. Für eine Großpraxis und für eine Praxis mit Datenverarbeitung in erheblichem Umfang gelten die Anforderungen der Anlagen 1, 2, 3 und 5. Bei Einsatz von medizinischen Großgeräten in der Praxis sind, unabhängig von der Größe der betreffenden Praxis, zusätzlich die Anforderungen der Anlage 4 zu erfüllen.

Bereits die Anlage 1, die für alle Praxen unabhängig von deren Größe gilt, beinhaltet zahlreiche Anforderungen an die IT-Sicherheit von Praxen. Viele dieser Anforderungen wurden zwar von zahlreichen Praxen auch davor umgesetzt, manche Anforderungen sind allerdings neu bzw. noch nicht weitverbreitet. So schreibt die Anlage 1 z. B. bei Nutzung von Office-Anwendungen in der Praxis einen obligatorischen Verzicht auf die Cloud-Speicherung vor und eine Datensparsamkeit bei der Verwendung von Endgeräten mit Windows als Betriebssystem. Die weiteren Anlagen beinhalten im Vergleich zur Anlage 1 deutlich spezifischere bzw. komplexere Anforderungen an die IT-Sicherheit von Arztpraxen.