KV RLP fordert Investitionszuschlag für Praxen bei der IT-Sicherheit
Bis spätestens 30. Juni 2020 muss die Kassenärztliche Bundesvereinigung in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine verbindliche IT-Sicherheitsrichtlinie vorlegen. Diese wird bis ins Einzelne festlegen, wie die ärztlichen und psychotherapeutischen Praxen im Bereich EDV und Informationstechnik auf den sichersten Stand gebracht werden müssen. Den dafür notwendigen finanziellen Aufwand können die Praxen nicht alleine stemmen. Deshalb fordert die Kassenärztliche Vereinigung Rheinland-Pfalz (KV RLP) hierzu einen Investitionszuschlag.
Mit dem neuen § 75b SGB V im jüngst verabschiedeten Digitalen Versorgungsgesetz (DVG) wird die KBV aufgefordert, bis zum 30. Juni 2020 zusammen mit dem BSI eine für die Praxen verbindliche IT-Sicherheitsrichtlinie zu veröffentlichen. Der Vorstand der KV RLP befürchtet, dass deshalb im nächsten Jahr eine Kostenlawine auf die Praxisinhaber im vierstelligen Bereich zurollen wird, um diese strengen IT-Sicherheitsanforderungen zu erfüllen. Die Richtlinie wird nämlich genau festlegen, wie „Störungen der informationstechnischen Systeme (…) zu vermeiden“ sind. Mit den digitalen Anwendungen und Systemen gehen erhebliche Einsparungen für Patienten, Arbeitgeber und Krankenkassen einher. Für die Praxen entstehen zunächst jedoch einmal hohe Investitionskosten. „Wir erwarten, dass die erforderlichen Investitionen, die durch die Umsetzung dieser IT-Sicherheitsrichtlinie entstehen, durch einen Zuschlag für die Praxen abgebildet werden“, so Peter Andreas Staub, Vorstandsmitglied der KV RLP. „Das kann zum Beispiel durch eine EDV-Vorhaltepauschale realisiert werden. Denkbar ist auch ein System von Gesamtpauschalen wie sie bereits in der Finanzierungsvereinbarung zur TI festgehalten wurden.“
Mit dem eHealth-Gesetz aus dem Jahr 2015 hat die Digitalisierung im Gesundheitswesen an Fahrt gewonnen. Innerhalb kürzester Zeit fordert der Gesetzgeber umfangreiche elektronische Anwendungen von den Niedergelassenen: elektronischer Versichertenstammdatenabgleich für die Krankenkassen, elektronisches Rezept, elektronischer Notfalldatensatz, elektronische Arbeitsunfähigkeitsbescheinigung und last, but not least: die elektronische Patientenakte. Die mit übereiltem Druck und unnötigen Sanktionen eingeforderte TI-Netzanbindung durch Konnektoren hat jedoch die bisher vorhandene und völlig ausreichende EDV-Sicherheitsarchitektur in den Praxen erheblich ins Schwanken gebracht. Nicht erst die mediale Diskussion über die beiden Anschlussvarianten Reihen- oder Parallelbetrieb hat das offenbart. Mit dem Digitalen Versorgungsgesetz wurde eine Lösung in Angriff genommen: Das Gesetz sieht vor, dass die KBV-Richtlinie dem aktuellen technischen Sicherheitsstandard entspricht und an das Gefährdungspotential angepasst wird. An dieser Stelle weist die KV RLP darauf hin, dass Praxisinhaber schon heute dafür verantwortlich sind, die eingesetzten IT-Systeme in der Praxis regelmäßig fachkundig betreuen und warten zu lassen. Bestehende Sicherheitsvorkehrungen müssen wiederkehrend auf ihre Effektivität hin evaluiert werden. Dabei ist es sinnvoll, alle Nutzungsszenarien in den Blick zu nehmen. „Das beginnt bereits bei der Vergabe sicherer Passwörter und der Klärung der Zugriffsbefugnisse der einzelnen Praxismitarbeiter“, erläutert Peter Andreas Staub.
Unabhängig von der gewählten Anbindungsvariante müsse jede Praxis technische und organisatorische Maßnahmen festlegen, um die Patientendaten zu schützen, betont das Vorstandsmitglied. Die Betreibergesellschaft für die elektronische Gesundheitskarte gematik habe hierzu Leitfäden und Installationsprotokolle für Anbieter und Nutzer veröffentlicht. Die Installation gilt als sicher, sofern sie nach den Vorgaben der gematik erfolgt ist.
Nach der Datenschutz-Grundverordnung ist die gematik beim Datenschutz der TI-Komponenten zumindest mitverantwortlich. Die konkreten datenschutzrechtlichen Verantwortlichkeiten muss die Bundesregierung noch in einem weiteren Gesetz festlegen. Dazu Vorstandsmitglied Peter Andreas Staub: „Für uns ist dabei völlig klar: Die Verantwortung des Praxisinhabers muss beim Konnektor enden!“