Informationsquellen zu TI-Betriebsarten und Datenschutz
Aktuell kursieren an verschiedenen Stellen widersprüchliche Informationen zum Betrieb der Telematikinfrastruktur, die teilweise zu großer Verunsicherung unter unseren Kunden führen und denen wir oftmals fachlich nicht zustimmen können. Um für Klarheit zu sorgen, möchten wir Ihnen als fachlich zuverlässige Quellen die in den letzten Tagen veröffentlichten offiziellen Informationen von gematik und Kassenärztlicher Bundesvereinigung ans Herz legen.
TI-Betriebsarten: Parallel- und Reihenbetrieb
Eine Übersicht über die Betriebsarten finden Sie im Informationsblatt Betriebsarten des Konnektors der gematik. Sowohl der Reihen- als auch der Parallelbetrieb sind zulässige und somit BSI-konforme Betriebsarten mit jeweils spezifischen Vor- und Nachteilen. Bei beiden Betriebsarten wird die TLS-Verschlüsselung von unseren Technikern standardmäßig aktiviert. Die gematik schreibt hierzu:
„Je nachdem, wie der Konnektor in das Netzwerk der medizinischen Einrichtung eingebracht wird, ergeben sich Unterschiede bei den verfügbaren Funktionen, Diensten und der Sicherheit. Unabhängig von der gewählten Betriebsart sollte die Verbindung zwischen dem Praxisverwaltungssystem und dem Konnektor durch Verschlüsselung und Authentisierung abgesichert werden (zum Beispiel durch Transport Layer Security). Dies garantiert einen durchgängigen Schutz bei der Übermittlung von medizinischen Daten.“
Unabhängig davon, in welcher Betriebsart die TI in Ihrer Praxis installiert ist, raten wir Ihnen dringend, sich von einem professionellen IT-Dienstleister betreuen zu lassen. Denn auch der Konnektor schützt Sie nicht vor Bedrohungen, die Sie oder Ihre Kollegen versehentlich selbst, bspw. über Downloads von gesicherten Webseiten, das Öffnen von E-Mailanhängen oder das Einstecken von USB-Sticks in Ihr Praxisnetzwerk einbringen können. Die gematik schreibt hierzu in einer Pressemitteilung :
„Mit dem Konnektor kann die Sicherheit in einer Praxis gestärkt werden. Auch die technische Frage des Installationsweges – ob in Reihenschaltung oder im Parallelbetrieb – ist nicht das Problem. Entscheidend ist der richtige Umgang mit den technischen Gegebenheiten vor Ort und auch das enge Zusammenspiel aller an einer Praxis-IT beteiligten Dienstleister.“
In der Praxis vorhandene IT-Sicherheitsmaßnahmen bleiben in jedem Fall bestehen.
Nachtrag vom 14.11.2019: Eine weitere Pressemitteilung der gematik fasst den Sachverhalt nochmals prägnanter zusammen.
IT-Sicherheit in Praxen
Informationen zur IT-Sicherheit und -Nutzung in Praxen finden Sie in der Technischen Anlage der Herausgabe „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ von BÄK und KBV, welche die für Sie relevanten Themen prägnant zusammenfasst.
Patientendatenschutz und DSGVO
Zu den konkreten die Zusammenhänge von DSGVO und TI hat die gematik ein Informationsblatt Datenschutz und Haftung in der Telematikinfrastruktur veröffentlicht. Das Fazit lautet: „Sollte es somit zu einer Ausnutzung von Sicherheitslücken des zertifizierten Konnektors durch Dritte kommen, scheidet eine haftungsrechtliche und strafrechtliche Verantwortung des Leistungserbringers mangels eines eigenen Verschuldens oder Vorsatzes aus. Anderslautende Informationen und Behauptungen entbehren jeglicher rechtlichen Grundlage.“
Weitere Informationen
Des Weiteren erhalten die Besteller der EPIKUR-TI-Pakete zusammen mit der Bestellbestätigung ein gesondertes Informationsschreiben, welches in Vorbereitung auf die Installation bei der Wahl zwischen Reihen- und Parallelbetrieb unterstützen soll.