12.10.15 09:50

NIFIS warnt vor Ärzte-Entmündigung durch digitale Vernetzung

Von: euromarcom public relations GmbH

Sachverständiger Mathias Gärtner: Kassenärztliches Modell zur Ärzte-Vernetzung ist problematisch

Frankfurt am Main, x. Oktober 2015 – Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) warnt vor der „schleichenden Entmündigung der Ärzteschaft durch die digitalen Gesundheits­systeme“. Beispielhaft nennt der Verein den jüngsten Vorstoß der Kassenärztlichen Vereinigung Hessen mit dem Angebot KV-SafeNet. Die Lösung verbindet Arztpraxen mit den zentralen IT-Systemen der Kassen­ärztlichen Vereinigung auf Landesebene und soll „zunächst nur Abrechnungsdaten“ übermitteln. Die Erweiterung auf den Versand von Arztbriefen, die Terminverwaltung und weitere „Mehrwert-Angebote“ sei aber bereits angedacht.

Arzt muss Datenschutz überwachen

Hierzu will die Kassenärztliche Bundesvereinigung (KBV) jedem niedergelassenen Arzt einen sogenanntes KV-SafeNetRoute in die Praxis stellen, den dieser bei einem durch die KBV zertifizierten „Provider“ kaufen oder mieten soll. Daraus resultiert laut NIFIS aufgrund des Bundesdatenschutzgesetzes die Verpflichtung des Arztes, den Provider datenschutzrechtlich zu überwachen und den eingesetzten SafeNet-Router zu kontrollieren. Der von der KBV für die Ärzteschaft bereitgestellte Mustervertragstext sieht dies ausdrücklich vor.

Qualität der Prüfer ist „undefiniert“

Die Kassenärztliche Vereinigung will jährlich eine Rezertifizierung des Providers und des Routers vornehmen – die Qualität des damit beauftragten Prüfers wird jedoch an keiner Stelle genannt, bemängelt NIFIS. Noch gravierender: Der Prüfer wird nicht von der KBV oder dem Arzt bezahlt, sondern von dem beauftragten Provider, sieht sich also per se einem Interessenskonflikt ausgesetzt. Vor allem: Der Arzt kann sich nicht auf den Prüfer und damit die Kassenärztliche Vereinigung als für ihn tätige Instanz berufen. Die Berufung eines Arztes auf dieses Prüfergebnis ist kritisch zu sehen. Zwar gehen die Datenschutzbeauftragten der Länder dazu über, auch anerkannte Sicherheitszertifikate als ausreichende Prüfung anzuerkennen, hier jedoch ist nicht feststellbar, ob und nach welchen international anerkannten Regeln geprüft wird. „Es ist überhaupt nicht vorgesehen, dass der Arzt die Konfiguration des in seiner Praxis installierten Routers einsehen kann. Vielmehr kauft sich der Arzt eine Blackbox ein, die er in keiner Weise überprüfen kann, sondern bei der er allein auf die KBV vertrauen muss“, sagt Mathias Gärtner, öffentlich bestellter und vereidigte Sachverständiger für IT und Stellv. Vorsitzender der NIFIS. Er erklärt: „Das von der Kassenärztlichen Bundesvereinigung vorgesehene Konzept ist ein Risiko für den Arzt, weil er nicht einschätzen kann, inwieweit das ausgegebene Zertifikat den Anforderungen einer ordnungsgemäßen Prüfung genügt.“

Leitfaden zum Blindflug

Der von der KBV bereitgestellte Mustervertrag sehe zwar ausdrücklich vor, dass der Arzt ein Überwachungsrecht hat, aber gleichzeitig dürfe die Fernwartung nur aus einem gesonderten Netzwerk des Providers erfolgen und ein Zugriff auf den Router über das Praxisnetzwerk wird ebenso ausdrücklich als unzulässig bezeichnet. Sachverständiger Gärtner erklärt: „Damit kann jedoch technisch gesehen eine Kontrolle der durchgeführten Wartungsarbeiten nicht vorgenommen werden. Da die Konfiguration nicht eingesehen werden kann, ist auch kein Vorher-Nachher Vergleich möglich“

Ärzte und Patienten sind Leidtragende

Das Fazit des Experten: „Die angesetzten Systeme laufen nicht nur auf eine Entmündigung der Ärzte­schaft hinaus, sie sind letztlich auch darauf angelegt, die niedergelassenen Ärzte zu Hasardeuren  zu machen. Vom Gesetzgeber vorgesehene Prüfpflichten werden durch die vorgeschlagenen Lösungen unterlaufen. Einige Kassenärztliche Vereinigungen fördern diese Entwicklung sogar aktiv – Leid­tragende sind die Ärzte und in letzter Konsequenz die Patienten, weil sie um die Wahrung der Privat­sphäre bei ihren sensiblen Gesundheitsdaten fürchten müssen“, sagt Gärtner.

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickelt die NIFIS seit ihrer Gründung im Jahr 2005 unterschiedliche Konzepte und setzt diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählen die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.