Digitale Versorgung Gesetz und Datensicherheit – Passt das?

Das Digitale Versorgung Gesetz soll der Digitalisierung im Gesundheitswesen einen Turbo verleihen. Doch wie können Ärzte dem Rekordtempo bei den Themen Datenschutz und Datensicherheit mithalten?

Die Digitalisierung in der Gesundheitsbranche ist schon seit einigen Jahren ein großes Thema. Während andere Länder hier bereits große Fortschritte verbuchen konnten und besonders in den nordischen Ländern Gesundheits-Apps, E-Rezept und die elektronische Kranken- bzw. Patientenakte Standard sind, tut sich v.a. Deutschland damit schwer. Abhilfe soll das im September 2019 eingeführte Digitale Versorgung Gesetz (DVG) schaffen.

DVG soll Digitalisierung im Gesundheitswesen deutlich vorantreiben

Mit dem DVG will die Bundesregierung den Digitalisierungsprozess im deutschen Gesundheitswesen weiter vorantreiben. Das DVG beinhaltet drei Schwerpunkte: Patienten können sich künftig digitale Gesundheits-Apps wie Arzneimittel vom Arzt auf Kassenkosten verschreiben lassen. Sie sollen die Möglichkeit erhalten, ihre Gesundheitsdaten in einer elektronischen Patientenakte (ePA) speichern zu lassen und telemedizinische Angebote wie Videosprechstunden leichter nutzen können.

Die Kosten für digitale Gesundheitsanwendungen, die Patienten etwa dabei unterstützen, ihre Medikamente regelmäßig einzunehmen, werden nach einer ersten Prüfung der Sicherheit und von Qualitätskriterien (Datenschutz, Transparenz, Nutzerfreundlichkeit) zunächst für ein Jahr von den Krankenkassen erstattet. In dieser Zeitspanne müssen die Hersteller dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nachweisen, dass das Angebot einen medizinischen Nutzen besitzt und die Gesundheitsversorgung für die Patienten relevant verbessert. Den Preis ab dem zweiten Jahr, handelt der Hersteller dann mit dem GKV-Spitzenverband aus. Dieses Verfahren ähnelt der frühen Nutzenbewertung bei neuen Medikamenten.

Die elektronische Patientenakte kommt


Spätestens ab 1. Januar 2021 müssen die Krankenkassen ihren Versicherten die Möglichkeit einer elektronischen Patientenakte anbieten. Laut Gesetz haben Patienten dann auch einen Anspruch darauf, dass ihre Ärztin oder ihr Arzt Daten in die ePA einträgt. Das gilt dann auch nach einer Behandlung im Krankenhaus. Der Arzt erhält für das Anlegen und die Verwaltung der ePA eine Vergütung.

Der Einsatz von Telemedizin wird gefördert. Ärztinnen und Ärzte dürfen künftig auf ihrer Internetseite über die Möglichkeit zur Videosprechstunde informieren. Ärztliche Aufklärung und Patienteneinwilligung zur Videosprechstunde können im Rahmen der Videosprechstunde erfolgen. Der digitale Austausch zwischen Medizinern über sogenannte Telekonsile wird außerhalb des Praxisbudgets vergütet.

Patientendaten werden weitergegeben

Digitale Technik soll auch Verwaltungsprozesse weiter vereinfachen. Nach der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) und dem elektronischem Rezept kommt jetzt auch die elektronische Heil- und Hilfsmittelverordnung. Konkrete Verfahren und Abläufe werden in Pilotprojekten getestet. Freiwillig gesetzliche Versicherte können künftig der Krankenkasse ihrer Wahl online beitreten. Krankenkassen dürfen ihre Versicherten mit deren Zustimmung elektronisch über innovative Angebote informieren.

Allerdings sieht die aktuelle Fassung des Gesetzes auch vor, dass Angaben zu Alter, Geschlecht und Wohnort der Patienten und weitere Daten aus der stationären und ambulanten Behandlung sowie der Arzneimittel- und der Heil- und Hilfsmittelversorgung zu Forschungszwecken weitergegeben werden.

Die Telematikinfrastruktur und der problematische Anschluss daran


Zur technischen Umsetzung forciert das Gesetz die Erweiterung der Telematikinfrastruktur im Gesundheitswesen (TI). Apotheken und Krankenhäuser müssen sich an die TI anschließen lassen; Apotheken haben dazu bis zum 1. September 2020 Zeit, Krankenhäuser bis zum 1. Januar 2021. Arztpraxen, die bis März 2020 immer noch keine TI-Anbindung haben, droht eine Honorarkürzung um 2,5 Prozent. Hebammen und Entbindungspfleger, Physiotherapeutinnen und -therapeuten sowie Pflege- und Rehabilitationseinrichtungen können sich freiwillig an die TI anbinden lassen. Die Kosten werden erstattet.

Das Problem für viele Arztpraxen dabei ist der Anschluss an die TI selbst und die Sicherheit bis dahin. Viele Ärzte verlassen sich beim Thema Datenschutz auf ihre EDV-Dienstleister und handeln nicht aktiv. Laut Berichten von ARD und c’t könnten Millionen von Patientendatensätzen deutschlandweit gefährdet sein – wie hoch die Zahl tatsächlich ist, lässt sich nur schätzen. Viele Experten sagen nun, dass es nicht wirklich überraschend sei, dass vor allem der Datenschutz in vielen Arztpraxen verbesserungswürdig ist.

Bereits eine Studie aus dem April 2019 habe gezeigt, dass hier Nachholbedarf herrscht. Die Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft fand heraus, dass sich in 22 von 25 befragten Praxen mehrere Benutzer die gleiche Zugangserkennung teilten. Die gleiche Anzahl der Betriebe nutze sehr einfach zu erratende Passwörter wie etwa „Behandlung“. Fatalerweise hatten in 20 von 25 Fällen alle Nutzer Administrationsrechte und in keiner der befragten Praxen wurde überprüft, ob alte Admin-Rechte – etwa für ausgeschiedene Mitarbeiter – noch bestehen.

Sichere Passwörter als Anfang


Durch ein sicheres Passwort sinkt zwar die Wahrscheinlichkeit, dass dieses erraten wird, aber sehr häufig gelangen Hacker auch durch Phishing oder Social Engineering an die Zugangsdaten. Für zusätzliche Sicherheit kann eine Multi-Faktor-Authentifizierung sorgen, die das Passwort mit einem weiteren Sicherheitsfaktor ergänzt. Dazu zählen etwa Sicherheitstokens, die per USB, NFC oder Bluetooth mit dem Endgerät verbunden werden. Erst wenn Login-Daten und Token kombiniert wurden, ist der Zugang zu den Daten frei. Auch ein zusätzlicher biometrischer Faktor in Form eines Fingerabdrucks oder einer Gesichtserkennung ist möglich. Ist ein zusätzlicher zweiter oder gar dritter Faktor implementiert, hat sich die Sicherheit der Daten um ein großes Stück verbessert.

Um die sensiblen Daten aber bestmöglich vor Kenntnisnahme, Manipulation oder Verlust zu schützen, benötigten die Praxen eine präventive, rein technische Lösung, die jeglichen Zugriff – auch privilegierten – zuverlässig unterbindet. Sie kommen somit an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Sie umfasst eine sichere Verschlüsselung der Daten selbst, des Transportweges sowie die Verschlüsselung der Nachricht und der angehängten Dateien.

Ende-zu-Ende-Verschlüsselung muss sein


Dabei gilt das Zero-Knowledge-Prinzip, das unter Sicherheitsexperten als wirksamstes Mittel gegen Datenverlust gilt. Die Informationen sollten nur vom Betrieb selbst abgerufen werden können, beziehungsweise allen Nutzern, denen hierzu Berechtigungen erteilt werden. Das Thema Zugriffskontrolle ist entscheidend, denn Zugriffsrechte sollten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten können. Alle Nutzer beziehungsweise Daten lassen sich im Idealfall in ihrer Verfügbarkeit zeitlich befristen.

Ein zentraler Vorteil eines solchen feingliederigen Berechtigungsmanagements, wie es Secure Content Plattformen bieten: Selbst im Falle eines erfolgreichen Hacks kann der Angreifer nur auf die Informationen zugreifen, für die der gehackte Account zugriffsberechtigt war. Eine Seitwärtsbewegung des Angreifers durch sämtliche gespeicherte Daten kann somit vermieden werden und der Schaden durch den Hack hält sich in Grenzen.

Sicherer Datentransfer für Unternehmen

Daten sicher und einfach transferieren. Sicher auf allen Endgeräten

Prozesse automatisieren - einfach und sicher