Ziel des PDSG ist eine stärkere Digitalisierung im Gesundheitsbereich unter stetiger Anpassung im Hinblick auf den technologischen Fortschritt. Darunter sind konkretisierende Vorgaben im Zusammenhang mit der elektronischen Patientenakte (ePa), dem E-Rezept, Vorgaben zur Sicherheit in der Telematikinfrastruktur, aber auch höhere Anforderungen zur IT-Sicherheit bzw. Informationssicherheit in Krankenhäusern.
Änderungen durch das PDSG
Beim PDSG handelt es sich um ein Artikel-Gesetz, d. h. das PDSG ändert inhaltlich eine Vielzahl anderer Gesetze, so z. B. die Sozialgesetzbücher (speziell SGB V), das Apothekengesetz oder das Krankenhausfinanzierungsgesetz.
Nachfolgend haben wir die wichtigsten Punkte in Auszügen dargestellt:
- Elektronische Paatientenakte:
Die elektronische Patientenakte ist nicht neu. Nach bereits geltendem Recht müssen Krankenkassen eine elektronische Patientenakte (ePa) ab 2021 anbieten. Ab 2022 erhalten auch die Versicherten selbst Zugriff auf ihre ePa. In der ePa können entsprechende Dokumente und Daten gesammelt und abgelegt werden (z. B. Befunde, Röntgenbilder, Vorsorgeuntersuchungen, etc.). Bei einem Kassenwechsel können Versicherte ihre Daten aus der ePA übertragen lassen. Die Nutzung der ePa ist für den Versicherten freiwillig.Die derzeitige Ausgestaltung der ePa steht in datenschutzrechtlicher Hinsicht in der Kritik, die auch vom Bundesdatenschutzbeauftragten (BfDI) geteilt wird. So können zum Start der ePa 2021, z. B. nur rudimentäre Zugriffsrechte durch den Versicherten vergeben werden. Im Konkreten bedeutet dies, dass zwar die Versicherten festlegen können, welche Daten überhaupt in der Patientenakte gespeichert werden dürfen und welcher Arzt die Daten/Dokumente einsehen darf, detailliertere Einstellungsmöglichkeiten der Zugriffe, differenziert nach Arzt und Dokument, sind jedoch erst ab 2022 vorgesehen. - E-Rezept:
Mit Einführung des E-Rezepts können Ärzte Rezepte direkt digital erstellen und verschlüsselt speichern. Der Patient kann das Rezept dann über eine App mittels eines Schlüssels (z. B. per QR-Code) bei jeder Apotheke einlösen. Die Einführung des E-Rezepts ist bereits mit dem „Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV)“, das am 16.8.2019 in Kraft getreten ist, erfolgt. Das PDSG ergänzt das GSAV nicht nur im Hinblick auf die sichere Telematikinfrastruktur, sondern legt auch die verbindliche Einführung des E-Rezeptes für Anfang 2022 fest. Die genauen technischen Vorgaben und prozessualen Vorgaben sind aber derzeit noch nicht vollumfänglich spezifiziert. - Vorgaben zur Sicherheit in der Telematikinfrastruktur:
Unter Telematik wird die Vernetzung verschiedener IT-Systeme sowie die Verknüpfung von Informationen aus unterschiedlichen Quellen bezeichnet. Nach Vorstellung des Gesetzgebers vernetzt die Telematikinfrastruktur (TI) alle Akteure des Gesundheitswesens (z. B. Ärzte, Krankenhäuser und Krankenkassen) und stellt einen sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen und medizinischen Daten sicher (z. B. Einsicht in die ePa, Austausch des E-Rezepts, etc.). Es handelt sich dabei um ein geschlossenes Netz, zu dem nur registrierte Nutzer Zugang erhalten. Im Hinblick auf neue Komponenten und Dienste, die in der TI genutzt werden, müssen gemäß den Anforderungen des PDSG diese Komponenten und Dienste eine Zulassung durchlaufen. Die Zulassung setzt als Nachweis eine Sicherheitszertifizierung der Komponente und/oder des Dienstes voraus. Anbieter müssen für ihre Komponenten und Dienste zudem unter Berücksichtigung des Stands der Technik, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit umsetzen. Vorgaben, die mit den organisatorischen und technischen Vorkehrungen in Verbindung stehen, müssen je nach Relevanz von den Teilnehmern der TI berücksichtigt werden. So müssen z. B. auch Arztpraxen sicherstellen, dass nur noch zugelassene, d. h. zertifizierte Komponenten zur Anbindung an die TI genutzt werden.
Die vorangegangenen Punkte verdeutlichen: Das PDSG verlangt einen stärkeren Fokus auf die Informations- und IT-Sicherheit. Dies hat erwartungsgemäß erhebliche Auswirkungen auf die Dienstleister und Lieferanten von Komponenten bzw. Anwendungen für die TI. Was häufig jedoch unterschätzt wird, sind die technischen und organisatorischen Anforderungen, die an die operativen und nicht aus der IT stammenden Teilnehmer der TI, wie z. B. die Ärzte und Krankenhäuser, gestellt werden.
Informationssicherheit bzw. IT-Sicherheit nun für alle und nicht nur für KRITIS-relevante Krankenhäuser
Durch das PDSG ergab sich eine weitere weitreichende Änderung in § 75c Sozialgesetzbuch – Fünftes Buch (SGB V). Diese betrifft alle Krankenhäuser und legt den Fokus auf die Informationssicherheit. Nachdem der Gesetzestext sehr plakativ darstellt, dass Informationssicherheit nun für alle Krankenhäuser gilt, sofern diese nicht KRITIS Betreiber sind und sich demnach noch zusätzlich prüfen lassen müssen, haben wir die drei Absätze des § 75c SGB V hier abgedruckt:
(1) Ab dem 1.1.2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Abs. 2 des BSI-Gesetzes festgestellt wurde.
(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.
Bisher ergaben sich umfassende Anforderungen in Bezug auf die IT-Sicherheit bzw. Informationssicherheit für Krankenhäuser zum einen im Wesentlichen aus § 8a BSIG für sog. „Kritische Infrastrukturen“ (Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen im Jahr), zum anderen aus § 75b SBG V für vertragsärztliche Leistungen, die im Krankenhaus erbracht werden. In diesem Zusammenhang mussten Systeme und Prozesse der betreffenden Krankenhäuser die Vorgaben der Kassenärztlichen Bundesvereinigung (KBV) oder die Anforderungen des Branchenspezifischen Sicherheitsstandards (B3S) der Deutschen Krankenhausgesellschaft sicherstellen.
Mit Ausnahme der Melde- und Prüfungspflicht sind die neuen Vorgaben des § 75c SGB V somit nun für alle Krankenhäuser verbindlich umzusetzen. Die Vorgaben zur IT-Sicherheit (vgl. § 75c SGB V […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit […] [ihrer] Systeme, Komponenten oder Prozesse zu treffen […]) sind somit nicht mehr auf die Krankenhäuser im KRITIS Umfeld beschränkt. Jedes Krankenhaus ist somit angehalten, ausreichend Maßnahmen nach dem Stand der Technik für die Aufrechterhaltung von Versorgungsdienstleistung zu treffen und diese Maßnahmen entsprechend zu steuern.
Als Orientierung zur Umsetzung dieser Anforderungen kann auch für Krankenhäuser im Nicht-KRITIS Umfeld der branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung in Krankenhäusern herangezogen werden. Der B3S umfasst dabei 168 Anforderungen, die umzusetzen sind, um die Sicherstellung und die Aufrechterhaltung der benötigten Versorgungsprozesse zu gewährleisten. Dabei ist festzuhalten, dass in diesem Zusammenhang nicht nur auf die TI, sondern auch auf weitere für die Versorgungsdienstleistung notwendigen Prozesse, Anwendungen und Infrastrukturkomponenten abzustellen ist.
Zusammengefasst sind Krankenhäuser verpflichtet, organisatorische und technische Maßnahmen zur Sicherstellung der IT- und Informationssicherheit umzusetzen. Entsprechend der Vorgaben des B3S und auch aus Erfahrung anderer Bereiche und Branchen, die ähnliche Forderungen umsetzen hatten, kann eine Umsetzung der Anforderungen des § 75c SGB V nur mit dem Aufbau eines umfassenden Informationssicherheitsmanagements (ISMS) gelingen. Im Hinblick auf die sehr kurze Umsetzungsfrist bis 31.12.2021 sollten Krankenhäuser zeitnah mit der Umsetzung der Anforderungen beginnen.
Fazit
Mit dem PDSG gehen Änderungen in unterschiedlichen Branchen im Gesundheitssektor einher. Speziell Anforderungen an die IT-Sicherheit bzw. Informationssicherheit finden stärkere Beachtung und sollten zeitnah umgesetzt werden. Dies betrifft im Hinblick auf die TI sowohl die Arztpraxis von „nebenan“ als auch Krankenkassen.
Speziell Krankenhäuser sollten vor dem Hintergrund der Anforderungen des § 75c SGB V zumindest den Stand der Umsetzung der Informationssicherheit im eigenen Haus prüfen und ggf. ein ISMS implementieren oder anpassen. Es gilt, die verbleibende Zeit in allen Bereichen effizient zu nutzen.
Bei der Implementierung eines Informationssicherheitsmanagementsystems sollte keine isolierte Stand Alone-Umsetzung vorgenommen werden, sondern zur Steigerung der Effizienz ein integrierter Managementansatz gewählt werden. Bei der Umsetzung ganzheitlicher und integrierter Managementsysteme, wie z. B. ISMS/DSMS/KRITIS, haben wir aus unserer Erfahrung eine effiziente Methodik zur Herangehensweise erarbeitet.
Ergänzend weisen wir darauf hin, dass das Bundeskabinett ein Förderprogramm für die Krankenhaus-IT beschlossen hat. Hierbei sollen Krankenhausträger beim Abbau von Defiziten bei der Digitalisierung und Vernetzung unterstützt werden. Zu den weiteren Förderbereichen zählen auch Investitionen in die Informationssicherheit und das Notfallmanagement, die zur Stärkung der Versorgungsstruktur beitragen.