Patientendaten-Schutz-Gesetz – Informationssicherheit

Wichtige neue Regelungen zur IT-Sicherheit im Gesundheitswesen.

patientendaten schutz gesetz pdsg
Bildquelle: Adobe Stock/Funtap/Chris/eigene Darstellung

Am 1. Januar 2021 ist das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) in Kraft getreten. Es formuliert wichtige Rahmenbedingungen für eine flächendeckende Etablierung von digitalen Angeboten wie dem E-Rezept und der elektronischen Patientenakte (ePA) und ist damit ein wichtiger Meilenstein für die Digitalisierung des Gesundheitswesens.

Das Kernanliegen des Gesetzes besteht darin, Gesundheitsinformationen zu einem Patienten je nach Bedarf und Patientenwunsch zwischen unterschiedlichen Leistungserbringern, Kostenträgern sowie sonstigen Akteuren des Gesundheitswesens (z. B. Rehabilitation und Pflege) austauschen zu können. Dies betrifft in einer ersten Phase insbesondere medizinische Informationen in Form von Befunden, Diagnosen, Therapiemaßnahmen, Arztberichten sowie Medikationen und Notfalldaten. Eine zentralisierte Speicherung dieser Informationen – vorgesehen bei der jeweils zuständigen Krankenkasse – bildet dabei die Grundlage. Die Nutzung der elektronischen Patientenakte ist für die Patienten freiwillig. Möchte ein Patient sie jedoch nutzen, erhält er einen Rechtsanspruch gegenüber dem Leistungserbringer (§§ 347, 348 SGB V). Dies bedeutet, dass die Leistungserbringer entsprechende Funktionen sowohl zum sicheren Datenempfang als auch zur Datenbereitstellung implementieren müssen und verpflichtet sind, entsprechende Technologien und Infrastrukturen vorzuhalten.

PDSG beinhaltet Verpflichtungen zur Gewährleistung der IT-Sicherheit

Neben den inhaltlichen Anforderungen an die Digitalisierung der Prozesse, des Datenaustauschs und des Datenschutzes beinhalten die Regelungen des PDSG auch Verpflichtungen in Bezug auf die damit einhergehende Gewährleistung der IT-Sicherheit. Und die neuen Regelungen zur IT-Sicherheit haben es teilweise in sich. Insbesondere die Einführung des neuen § 75c SGB V hat aus unserer Sicht erhebliche Auswirkungen für Krankenhäuser: Während bislang bereits besondere Anforderungen an die Betreiber Kritischer Infrastrukturen (derzeit: Krankenhausbetreiber mit jährlich über 30.000 vollstationären Fällen) bestehen, sind mit Inkrafttreten des PDSG nunmehr alle Krankenhäuser ab dem 1. Januar 2022 verpflichtet, bestimmte Anforderungen an die IT-Sicherheit zu erfüllen.

So sind nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele in informationstechnischen Systemen, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhausbetriebs oder der Sicherheit der verarbeiteten Patienteninformationen steht. Darüber hinaus hat spätestens alle zwei Jahre eine Anpassung der informationstechnischen Systeme an den Stand der Technik zu erfolgen. Eine Erfüllung dieser Verpflichtungen durch die Krankenhäuser kann durch die konsequente Umsetzung und Anwendung des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (kurz B3S) erfolgen (siehe § 75c Abs. 2 SGB V), so dass der B3S für alle Krankenhäuser maßgeblich wird.

Fazit zum Patientendaten-Schutz-Gesetz

Wir empfehlen betroffenen Einrichtungen, noch in diesem Jahr die Implementierung eines Managementsystems für Informationssicherheit und Datenschutz (ISMS und DSMS) sowie die Ernennung eines Informationssicherheits- und eines Datenschutzbeauftragten (ISB und DSB) vorzunehmen. Gerne unterstützen wir Sie bei der Umsetzung der Informationssicherheitsanforderungen und der Anwendung des B3S. Hierzu bieten wir die Durchführung von GAP-Analysen zur Identifikation struktureller Schwachstellen, die konzeptionelle Unterstützung bei der Umsetzung priorisierter Maßnahmen sowie die Gestellung eines ISB/DSB an.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Leitung Geschäftsfeld IT-Beratung, Prokurist

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Oliver Schikora

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz
  • seit 2004 im Geschäftsbereich Unternehmensberatung der Solidaris Unternehmensgruppe tätig

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.
Köln
Diplom Informatikerin
Stephanie Schultheis
+49 (0)2203 8997-122
 
Senior Managerin im Geschäftsfeld Digitalisierung und IT Sicherheit

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Stephanie Schultheis

  • Diplom Informatikerin (Schwerpunkt Wirtschaftsinformatik)
  • Business Continuity Manager gemäß ISO 22301 und BSI IT-Grundschutz
  • Prüfverfahrenskompetenz für § 8a BSIG - Durchführung von IT-Sicherheitsaudits
  • seit 2020 für die Solidaris Unternehmensberatungs-GmbH tätig

Schwerpunkte

  • IT Management / IT Strategie
  • IT Projektberatung und IT Projektcontrolling
  • Informationssicherheitsmanagement (ISMS)
  • IT Assessments und GAP-Analysen (u.a. im Kontext Informationssicherheit)
  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen sowie IT-Revision