Digitale Anwendungen
Neue Versorgungsformen für Patientinnen und Patienten
Digitale medizinische Anwendungen rücken immer stärker in den Fokus der Gesundheitsversorgung. Dabei werden drei Bereiche unterschieden: Anwendungen der Telematikinfrastruktur, digitale medizinische Gesundheitsanwendungen (Gesundheits-Apps), die als Medizinprodukte verordnungsfähig sind, sowie weitere Apps, bei denen die Zielsetzung von medizinische Versorgung bis hin zu „Lifestyle“ reicht (z. B. Fitnesstracker, Ernährungs- und Bewegungs-Apps). Auf die letzte Gruppe wird hier nicht weiter eingegangen.
Digitale Anwendungen haben das Potential, das ärztliche Berufsbild und die ärztlichen Abläufe zu verändern und können neue Therapiemöglichkeiten eröffnen.
IT-Sicherheit schützt sensibler Patientendaten
Die Sicherheit von Patientendaten in IT-Systemen ist entscheidend für die Aufrechterhaltung eines vertrauensvollen Verhältnisses zwischen Arzt und Patient, das der Schweigepflicht unterliegt. Dabei umfasst der Schutz dieser Daten die drei grundlegenden Aspekte "Vertraulichkeit, Authentizität und Integrität". Um diese zu gewährleisten, müssen medizinische Daten in allen Phasen – bei der digitalen Kommunikation, Speicherung und Verarbeitung – in der Arztpraxis durch eine vertrauenswürdige und gesicherte IT-Infrastruktur geschützt werden.
Gesetzliche Vorgaben und Richtlinien
§ 390 SGB V verpflichtet die Kassenärztliche Bundesvereinigung (KBV), Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung in einer IT-Sicherheitsrichtlinie festzulegen. Die Richtlinie umfasst insbesondere Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur sowie Maßnahmen zur Sensibilisierung der Mitarbeiterinnen und Mitarbeitern für die Informationssicherheit (Steigerung der Security-Awareness).
Die Anforderungen müssen dem Stand der Technik entsprechen und sind im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer, der Deutschen Krankenhausgesellschaft (DKG) und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen festzulegen.
Die IT-Sicherheitsrichtlinie ist für Ärztinnen und Ärzte in der vertragsärztlichen Versorgung verpflichtend, richtet sich aber auch an privatärztliche Praxen. Sie beschreibt Mindestanforderungen sowie zusätzliche Anforderungen für Praxen mittlerer Größe und große Praxen. Die KBV zertifiziert Mitarbeiterinnen und Mitarbeiter von Anbietern informationstechnischer Systeme, die im Gesundheitswesen eingesetzt werden, wenn diese Personen über die notwendige Eignung verfügen, um Vertragsärztinnen und -ärzte bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.
Größere Krankenhäuser (Schwellenwert: 30.000 vollstationäre Behandlungen pro Jahr) gelten als Betreiber einer Kritischen Infrastruktur (KRITIS-Betreiber) und unterliegen damit den (strengen) Regelungen des BSI-Gesetzes mit zahlreichen Nachweis-, Melde- und Kooperationspflichten.
Für den Krankenhaussektor existiert darüber hinaus ein sogenannter branchenspezifischer Sicherheitsstandard "Medizinische Versorgung", den das BSI als geeignet eingestuft hat, um den geforderten Stand der Technik abzubilden. Er wurde unter anderem in Zusammenarbeit mit der DKG entwickelt und kann als Orientierung für Krankenhäuser dienen, die KRITIS-Betreiber sind.
Für (kleinere) Krankenhäuser, die nicht als KRITIS-Betreiber einzustufen sind, gelten die Regelungen nach § 391 SGB V. Gemäß Absatz 4 können die entsprechenden Krankenhäuser die Verpflichtungen des § 391 SGB V erfüllen, indem sie die Empfehlungen des genannten Branchenstandards anwenden.
Zusätzliche Informationen und Unterstützung bieten