Am 3. Juli 2020 hat der Deutsche Bundestag das Patientendaten-Schutz-Gesetz (PDSG) verabschiedet. Es trat weniger als vier Monate später, am 20. Oktober 2020, in Kraft.
Das PDSG ist Teil eines Vorstoßes zur Digitalisierung im deutschen Gesundheitswesens. Es führt eine Reihe innovativer digitaler Anwendungen und Anforderungen an den Schutz von elektronisch gespeicherten Patientendaten ein.
Anwendungsbereich
Das PDSG gilt für alle Einrichtungen des Gesundheitswesens, einschließlich Krankenhäuser, Ärzte, Krankenkassen und Apotheken, die Dienste, Anwendungen und Komponenten der Telematikinfrastruktur des deutschen Gesundheitswesens zur Verarbeitung von Patientendaten nutzen. Die Größe einer Organisation spielt dabei keine Rolle.
Umstellung auf die elektronische Patientenakten
Nach dem neuen Gesetz sind die Krankenkassen ab 2021 verpflichtet, ihren Versicherten elektronische Patientenakten (ePA) anzubieten. Ab 2022 wird die ePA auch sensible Informationen enthalten, die bisher nur in Papierform dokumentiert wurden, wie z. B. Mutterpass, pädiatrische Gesundheitsakten und Impfausweise. Die Patienten werden selbst entscheiden können, was auf ihren ePAs gespeichert wird und wer Zugriff darauf hat.
Ab 2023 werden die Patienten die Möglichkeit haben, die Daten auf ihren ePAs im Rahmen einer Datenspende freiwillig an Forscher weiterzugeben. Die Patienten müssen dazu ihre Zustimmung geben, es wird möglich sein, dies auf digitalem Wege zu tun. Die Datenspende wird auf bestimmte Forschungszwecke beschränkt, z. B. auf die Verbesserung der Qualität der Gesundheitsversorgung. Die Patienten werden auch den Umfang ihrer Datenspende wählen und den Zugang zu bestimmten Informationen einschränken können.
Die Einführung von e-Rezepten
Das PDSG wird auch eine Reihe von Dokumenten digitalisieren, die bisher nur in Papierform zur Verfügung gestellt wurden. Dazu gehören vor allem Rezepte, die nun elektronisch erstellt und in die Telematikinfrastruktur des deutschen digitalen Gesundheitssystems aufgenommen werden, die die Datenkommunikation zwischen allen Beteiligten, einschließlich Patienten und Leistungserbringern, unterstützt.
Die Ärzte müssen nun elektronische Rezepte in ihrem Praxisverwaltungssystem erstellen, sie elektronisch signieren und in das Telematiksystem einspeisen. Die Patienten können das elektronische Rezept von ihrem Telefon aus über eine App abrufen und es einer Apotheke ihrer Wahl zuweisen. Die Apotheken können dann das elektronische Rezept aus dem Telematiksystem abrufen und in das Apothekenverwaltungssystem eingeben, um das Rezept einzulösen.
Die Patienten können weiterhin ein Papierrezept von ihrem Arzt erhalten und es in der Apotheke ihrer Wahl einlösen. Es wird jedoch weiterhin im Telematiksystem registriert und von der Apotheke anhand der auf dem Papierrezept angegebenen Informationen digital abgerufen. Im Wesentlichen werden die Papierrezepte zu Ausdrucken von elektronischen Rezepten.
Digitalisierung von Überweisungen
Auch Überweisungen zu Fachärzten werden mit dem PDSG digitalisiert. Bisher mussten Patienten, die eine Überweisung benötigten, diese schriftlich ausstellen lassen, was einen Besuch in der Arztpraxis erforderte. Nun können Patienten eine Überweisung von Ärzten zu Fachärzten in digitaler Form erhalten.
Datenschutz nach dem PDSG
Ab dem 1. Januar 2022 müssen alle Gesundheitseinrichtungen unabhängig von ihrer Größe Vorkehrungen treffen, um Risiken für die Verfügbarkeit, Integrität und Vertraulichkeit von Patientendaten, die sie im Telematiksystem verarbeiten, zu vermeiden. Außerdem müssen sie ihre technischen Systeme, Komponenten und Prozesse sichern, die für den Schutz von Patientendaten und die Funktionalität des Krankenhausnetzes entscheidend sind.
Als Zugangspunkte zur Telematikinfrastruktur müssen die Computersysteme von Gesundheitseinrichtungen sowohl vor böswilligen Außenstehenden als auch vor unvorsichtigen Insidern geschützt werden. Dies bedeutet, dass sowohl grundlegende Cybersicherheitsmaßnahmen wie Firewalls, Antivirensoftware und strenge Passwortrichtlinien angewandt werden müssen, als auch sichergestellt werden muss, dass sensible Daten nicht lokal gespeichert werden, wenn sie nicht benötigt werden, oder über nicht autorisierte Kanäle wie E-Mails oder File-Sharing- und Cloud-Dienste übertragen werden.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat auch die Krankenkassen, die in seinen Zuständigkeitsbereich fallen, gewarnt, dass die Einhaltung des PSDG sie nicht davon befreit, die allgemeine Datenschutzverordnung (DSGVO) einzuhalten. Die BfDI wird sicherstellen, dass deutsche Betroffene weiterhin von den Rechten profitieren, die ihnen im Rahmen der DSGVO gewährt werden, wenn es um ihre Gesundheitsdaten geht.
Zusammenfassend:
Das PDSG stellt einen Meilenstein in der Digitalisierung des Gesundheitswesens in Deutschland dar. Es bedeutet auch, dass eine riesige Menge hochsensibler Daten zum ersten Mal in elektronischer Form zur Verfügung stehen wird und wahrscheinlich die Aufmerksamkeit böswilliger Außenstehender auf sich ziehen und Insider dazu verleiten wird, Daten zu exfiltrieren. Die Einrichtungen des Gesundheitswesens müssen sich den Herausforderungen stellen, die diese umfassende Digitalisierung mit sich bringt, und sie müssen darauf vorbereitet sein, Patientendaten zu schützen, wenn sie virtuell werden. Erfahren Sie mehr zum Thema Data Loss Prevention in unserem Whitepaper für das Gesundheitswesen