Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.

Schreibe einen Kommentar