Die Themen Digitalisierung und Datenschutz sind für viele Praxen Dauerbaustellen. Das zeigt nicht nur die steigende Durchnummerierung der einzelnen “Digitalisierungsgesetze” aus dem Bundesgesundheitsministerium, sondern vor allem auch deren Folgen im Praxisalltag. Aktuell treten diese in zweierlei Form zu Tage:
- Das “Gesetz zur digitalen Modernisierung von Versorgung und Pflege” (DVPMG) – das sogenannte dritte Digitalisierungsgesetz –, das sich bei Redaktionsschluss noch im parlamentarischen Verfahren befand, soll noch Mitte dieses Jahres in Kraft treten. Das Gesetz knüpft quasi nahtlos an das Digitale-Versorgung- Gesetz (DVG, 2019) und das Patientendaten-Schutzgesetz (PDSG, 2020) an.
- Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) ist in großen Teilen bereits zum 1. April in Kraft getreten. “Bestellt” hatte der Gesetzgeber die Richtlinie mit Beschluss des DVG.
Zwar nehmen beide Bausteine völlig unterschiedliche Bereiche in den Blick: Während die KBV-Richtlinie ganz konkret die IT-Sicherheit in Praxen verbessern will, also etwa Vorgaben rund um Virenschutz, Firewall und Sperrcodes macht, bleibt das DVPMG naturgemäß mehr auf der “Meta-Ebene”: Es soll die Grundlage für die Anbindung der Pflege an die Telematik- Infrastruktur (TI) legen und die Telemedizin stärken.
Doch bei einem genauen Blick in den Gesetzestext finden sich auch hier konkrete Aussagen für Arztpraxen.
Drittes Digitalisierungsgesetz: Folgen in der Praxis
Denn in der Tat enthält das DVPMG eine für Praxen wichtige Klarstellung: Die nach der Datenschutz-Grundverordnung (DSGVO) notwendige Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten in Komponenten der TI, etwa Konnektoren und Kartenlesegeräten, soll künftig der Gesetzgeber übernehmen.
Die Arztpraxen müssen sich somit auch formal-rechtlich nicht mehr damit befassen.
Wichtig: Arztpraxen müssen somit – zumindest für die Arbeit in der TI – keinen Datenschutzbeauftragten mehr benennen. Soweit aufgrund anderer Vorgänge, etwa innerhalb des Praxisverwaltungssystems (PVS), eine Folgenabschätzung nötig ist, bleibt diese jedoch explizit bestehen, stellt das Gesundheitsministerium auf Anfrage gegenüber “Der Hausarzt” klar.
Für den Betrieb der TI wird übrigens klar die Gematik als Verantwortliche benannt; sie kann die Verantwortung damit nicht mehr auf einen Dienstleister abschieben.
Insgesamt, lässt sich sagen, wird die Telemedizin weiter gestärkt: Videosprechstunden, Telekonsile und telemedizinische Leistungen sollen durch eine bessere Vergütung gefördert werden. Der Gemeinsame Bundesausschuss (G-BA) wird beauftragt, die Feststellung der Arbeitsunfähigkeit bei ausschließlicher Fernbehandlung zu ermöglichen. Und die Terminservicestellen der Kassenärztlichen Vereinigungen (KVen) sollen künftig auch Videosprechstunden vermitteln.
Folgen an der Schnittstelle zur Praxis
- Nach Ärzten und Zahnärzten, Apotheken, Kliniken und Pflege sollen auch Heil- und Hilfsmittelerbringer, Soziotherapeuten und zahnmedizinische Labore an die TI angebunden werden.
- Entsprechend den digitalen Gesundheitsanwendungen (DiGA), den “Apps auf Rezept” (“Der Hausarzt” 20/20), sollen auch im Bereich der Pflege digitale Anwendungen (DiPA) eingeführt und durch die Pflegeversicherung finanziert werden. Prüfung und Listung übernimmt auch hier das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Mit den Apps sollen Pflegebedürftige den eigenen Gesundheitszustand stabilisieren oder verbessern, etwa in Form einer Sturzrisikoprävention oder personalisierten Gedächtnisspielen für Menschen mit Demenz.
- DiGA-Daten sollen direkt in die E-Patientenakte (ePA) einfließen können.
- Versicherte und Leistungserbringer erhalten ab 2023 “digitale Identitäten”, um sich für Videosprechstunden zu authentifizieren.
- Die künftig auch kontaktlos einlesbare elektronische Gesundheitskarte soll nicht mehr als Datenspeicher dienen. E-Medikationsplan und elektronische Notfalldaten werden in die ePA integriert.
IT-Sicherheitsrichtlinie: Folgen in der Praxis
Die Vorgaben der Richtlinie sollen Praxen ganz konkret helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. Die KBV-Vertreter hatten im Nachgang an ihre Versammlung im Dezember zugestimmt (“Der Hausarzt” 2/21).
Wichtig: Im Gegensatz zur Datenschutz-Klarstellung des DVPMG mit Blick auf die TI sind hier explizit die Praxisinhaber verantwortlich, dass die vorgeschriebenen Standards eingehalten werden. Laut der Präambel können sie Risiken bei der Umsetzung aber auch “an Dritte, wie IT-Dienstleister (…), übertragen”.
Dabei ist zwar die Richtlinie selbst neu, die Vorgaben darin gelten jedoch “bereits mindestens seit Mai 2018, als die DSGVO in Kraft getreten ist”, ordnet Ralf Bungartz, IT-Sicherheitsbeauftragter der HÄVG Rechenzentrum GmbH, ein. Vielmehr spezifiziere die Richtlinie nun Details in Abhängigkeit von der Praxisgröße: Unterschieden wird zwischen kleinen, mittleren und großen Praxen.
Das A und O sei unabhängig von der Größe ein aktuelles Betriebssystem, unterstreicht Bungartz eine der Forderungen der IT-Sicherheitsrichtlinie. “Das PVS wird oft sehr aktuell gehalten”, weiß er (s. Interview S. 21/22). “Aber das Betriebssystem, das quasi dahinter liegt, ist oft so alt, dass gar keine Wartung mehr möglich ist.” Ein Beispiel: Windows 7. Hierfür stehe seit über einem Jahr keine Wartung mehr zur Verfügung, trotzdem sei es noch häufig im Einsatz.
Praxis-Tipp: “Der Hausarzt” hat die sieben wichtigsten To-Dos aus der Richtlinie herausdestilliert: www.hausarzt.link/dmToq
Ob Praxen alle Vorgaben selber umsetzen können oder sich besser professionelle Hilfe holen, hänge in erster Linie von der IT-Affinität und Zeit des Praxischefs ab, beobachtet Bungartz.
Dienstleister sollten zertifiziert sein
Ein Vorteil der Richtlinie: Für Dienstleister sei nun eine Zertifizierung vorgesehen, was Praxen bei der Auswahl helfen könne. Eine Liste der zertifizierten Anbieter finden Praxen auf www.hausarzt.link/RbFhR. In beiden Fällen jedoch empfiehlt Bungartz, aktuelle Entwicklungen im Blick zu behalten. “Die Richtlinie soll vom Gesetzgeber jährlich überarbeitet werden”, betont er.
Aufgrund der Wichtigkeit im Praxisalltag sei es daher zentral, diese Dauerbaustelle auch in Zukunft wachsam zu verfolgen.