Praxisverwaltungssysteme
Praxisverwaltungssysteme (PVS) oder auch Arztinformationssysteme (AIS) sind ein zentraler Bestandteil jeder Gesundheitseinrichtung innerhalb des GKV-System und auch vielfach in privaten Gesundheitseinrichtungen anzutreffen. Sie bieten umfangreiche Möglichkeiten die betreffenden personenbezogenen Daten der Patienten:Innen zu verwalten.
Angefangen von der Leistungsbuchung, Antrags- & Terminverwaltung, Kommunikation mit Patienten und anderen Teilnehmern im GKV-System, Anbindung an die elektronische Patientenakte, KV- & Privat-Abrechnung etc. Die Auswahl des richtigen Systems ist von vielen Faktoren abhängig. Zu vergleichen wären die Kosten, der Umfang und Leistungsfähigkeit der Softwaremodule, die Reputation und Verbreitung der Software, Möglichkeiten des Austausch mit andern Kollegen:Innen und weiteren Aspekten wie z. B. der Datenschutz und die Datensicherheit des Produktes.
Einen Vergleich der gängigen PVS-Systeme mit Ihren Vor- & Nachteilen können wir nicht bieten, jedoch auf die Aspekte der Informationssicherheit hinweisen.
Unterentwickelter Datenschutz & IT-Sicherheit?
Das Thema „Datenschutz & Datensicherheit“ ist bei vielen PVS-Systemen nicht unbedingt auf der Agenda ganz oben und wird somit teilweise stiefmütterlich behandelt. Die Ursachen sind vielfältig. Zum einen herrscht Fachkräftemangel und entsprechende IT-Security-Experten fehlen. Weiterhin wird die Informationssicherheit nicht als wichtiges Leistungsmerkmal eines PVS-Systems betrachtet und stattdessen lieber andere Themen priorisiert.
Außerdem müssen die Hersteller ständig neue Anforderungen des BMG, Richtlinien des G-BA, der KBV zur Telematik etc. fristgerecht umsetzen und das lenkt die Energie in die Einhaltung der Termine. Das wiederum ist „Gift“ für eine sichere und datenschutzkonforme Umsetzung der entsprechenden Software. Nichts ist problematischer als unter Zeitdruck eine Software zu programmieren, die zwar am Ende des Tages die Vorgaben einhält, aber den Stand der Technik in Sachen Informationssicherheit nicht gewährleistet.
An der Stelle kommen wir zu dem nächsten, strukturellem Problem: Es gibt keinerlei Vorgaben seitens der KBV wie ein PVS-System die Informationssicherheit umsetzen muss. Im Gegenteil: Die Hersteller sind zur Umsetzung nicht verpflichtet. Da staunt der Laie und der Fachmann wundert sich. Sollte hier in der Tat eine Regulierungslücke vorhanden sein? Gerade im GKV-System ist ja vieles bürokratisch und in der Regel überorganisiert.
Unser Informationsangebot für
ärztliche und psychotherapeutische Praxen
News
Bleiben Sie auf dem neuesten Stand und lesen Sie unsere Nachrichten aus dem Bereich des digitalen Gesundheitswesens.
Vorfälle & Incidents
Erfahren Sie, welche Datenpannen, Sicherheitslücken sowie technische und organisatorische Mängel in den Praxen offenkundig werden.
Interviews
Experten und Expertinnen werden über verschiedene Themen wie IT, IT-Security, Datenschutz, eHealth und Telematik interviewt.
Sicherheitstest nicht bestanden
Eine unrühmliche Bekanntheit erlangte der PVS-Hersteller Doc Cirrus GmbH im August 2022 mit ihrem Flagschiff „inSuite“.
Siehe Artikel: Patientendaten ungeschützt im Netz
Das IT-Kollektiv „Zerforschung“ hatte herausgefunden, dass die Software nur unzureichend gegenüber Zugriff aus dem Internet geschützt war und somit ca. eine Million Patientendaten mit wenigem technischem Sachverstand für Dritte zugänglich gemacht werden konnte. Die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit war akut gefährdet. Nach Bekanntgabe der Schwachstelle hat das Unternehmen so schnell wie möglich die Lücken in großen Teilen schließen können, so hieß es.
Praxen für die Sicherheit & Datenschutz verantwortlich
Schnell kam die Fragestellung auf, ob denn der Hersteller einer solchen Software die sensible Patientendaten verarbeite, für den möglichen Schaden bei Patientendaten verantwortlich sei. Hier wurde von Seiten der KBV bekannt, dass diese keine Vorgaben und Zertifizierungen von den PVS-Herstellern verlange bzw. überprüfe. Zitat aus dem Hause der KBV (siehe Tagesschau-Link): „die IT-Sicherheit der einzelnen PVS liegt in den Händen der jeweiligen Anbieter.“
Der Sprecher des Bundesdatenschutzbeauftragten, Christof Stein erklärte, dass „tatsächlich hat ein Softwarehersteller keine Verpflichtung seine Software in einer Art und Weise datenschutzkonform auszugestalten.“ Das gelte auch für Software für Ärzte und Psychotherapeuten und verantwortlich ist seinen Angaben zu Folge letztlich die Praxis. Sie müsse prüfen, ob die Software datenschutzkonform sei und dürfe sich nicht auf irgendwelche Gütesiegel und Zertifikate seitens des Herstellers verlassen.
Für die Niedergelassenen stellt sich direkt die Anschlussfrage: Wie soll die Praxis einen ausreichenden Datenschutz und Datensicherheit in einem PVS prüfen? Nicht nur eine Herkulesaufgabe, sondern fast unmöglich.
Eben weil eine Prüfung der Software nahezu unmöglich ist, erscheint es uns ratsam auf sogenannte „moderne Features“ zu verzichten, die sich bewusst an die Außenwelt der Praxis richten. Jegliche Kommunikationskanäle nach außen und von außen nach innen bedeuten immer ein erhöhtes Risiko für die „Kronjuwelen“ der Praxis: die Patientendaten. Die Telematik sei an der Stelle noch nicht mal erwähnt, sondern die Eigenentwicklungen seitens der PVS-Hersteller oder -Dienstleister könnten zum Problem für die Gesundheitseinrichtung werden.
Die Spitze des Eisbergs
Den Datenschutzvorfall bei der Fa. Doc Cirrus GmbH als bedauerlichen Einzelfall zu deuten, wird der Sache nicht gerecht. Wir haben in Deutschland ca. 120 verschiedene PVS-Systeme und die Dunkelziffer der bis dato nicht bekanntgewordenen oder nicht angezeigten Datenschutz- & Datensicherheitsvorfällen ist größer als man annehmen würde. Die Polizeien und die jeweiligen Landesdatenschutzbehörden haben z. B. im Deliktbereich der Cyberkriminalität keine dedizierten Statistiken über die Vorfälle in den Praxen und die Spitze des Eisbergs wird medial in der Presse bekannt gegeben.
Um keinen falschen Eindruck zu erwecken: Die PVS-Systeme sind nicht das Sicherheitsproblem Nr. 1 in der Praxis, sondern viele andere Schwachstellen in Geräten und Betriebssystemen sind u. U. einfacher auszunutzen als eine Lücke in einem PVS-System, aber aufgrund der zunehmenden Vernetzung mit der Außenwelt wie z. B. dem RZ-Konnektor, der App-Kommunikation mit Patienten, Terminbuchung über die Website usw. eröffnen sich neue, für die Hersteller teilweise unbekannte Schwachstellen für die am Ende des Tages der/die Praxis-Inhaber:In den Kopf hinhalten muss.
Eine vorher vereinbarte Auftragsdatenverarbeitung entbindet die Praxis nicht von Ihrer Verantwortung vor den eigenen Patienten. Dieser Themenschwerpunkt wird an anderer Stelle erneut aufgegriffen.
Eingebaute Sicherheit?
Die Praxisverwaltungssysteme der großen Hersteller wie die CGM, Psyprax, Hasomed, Medattix, Medical-Office etc. haben unterschiedliche Niveaus an Schutzmaßnahmen in ihre Software-Suites eingebaut. Die Schutzmaßnahmen reichen von einer Eingabemaske für den Login in die Software, bis zur Vollverschlüsselung der Patientendatenbank mit AES 256-Bit-Verschlüsselung und einem aktivierten, zweiten Faktor für den Benutzerlogin und Entschlüsselung der Datenbank.
Die PVS-Hersteller sind mit der Umsetzung der Sicherheitsmaßnahmen sehr heterogen und heben sich positiv wie negativ voneinander ab. Eine Auflistung der Sicherheitsfeatures aller relevanten PVS´en ist in dem Kontext an der Stelle nicht möglich. Wichtig wäre z. B. zu klären, ob alle relevanten Patientendaten/-datenbanken eine Verschlüsselung nach dem Stand der Technik haben und das aus dem System heraus generierte Backup ebenfalls verschlüsselt ist.
Eine echte Seltenheit: Revisionssichere Archivierung
Ein sehr rares Feature eines PVS ist die revisionssichere Archivierung von Patientendaten, welche u. a. in §630f BGB und dem Patientenrechtegesetz geregelt ist. Der Behandler ist verpflichtet, zum Zwecke der Dokumentation eine Patientenakte in Papierform oder elektronisch zu führen. Bei einer digitalen (elektronischen) Dokumentation der Anamnese, Diagnosen, Befunde, Einwilligungen, Gesprächsprotokolle etc. in einem PVS, ist es erforderlich, dass bei Berichtigungen und Änderungen von Eintragungen der ursprüngliche Inhalt erkennbar bleibt und wer und wann sie vorgenommen worden sind.
Ziel einer revisionssicheren Archivierung ist es, dass die rechtlichen Anforderungen in Bezug auf Ordnungsmäßigkeit, Vollständigkeit, Sicherheit, Verfügbarkeit, Nachvollziehbarkeit, Unveränderlichkeit und Zugriffschutz gewährleistet sind. Dafür wäre im PVS nicht nur eine vollständige Änderungshistorie notwendig, sondern auch die Autorenschaft muss rechtssicher belegbar sein. Dies könnte durch ein restriktives Benutzermanagement erfolgen und durch den Einsatz eines Heilberufsausweis mit Signierung der einzelnen Dokumente. Vereinzelt sind die PVS-Hersteller bei der revisionssicheren Archivierung tätig geworden, aber uns ist derzeit kein vollständig rechtssicher zu benutzendes System bekannt.
Haben Sie eine Frage?
Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.
Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.