Aktuelles

  • Veröffentlichungsdatum 14.06.2019
  • Ort Berlin
  • Art Pressemitteilung

DPtV verlangt sicheren Datenschutz für Patienten

Pressemitteilung 11/2019 - Digitale Versorgung - Datensicherheit hat oberste Priorität

Über Datenschutz kann nicht verhandelt werden, stellt die Bundesvorsitzende der Deutschen PsychotherapeutenVereinigung (DPtV) Dipl.-Psych. Barbara Lubisch jetzt in Berlin klar. Die Delegiertenversammlung der DPtV diskutierte u. a. über die im Digitale-Versorgung-Gesetz (DVG) vorgesehenen Pläne, die elektronische Patientenakte zunächst auch ohne differenziertes Berechtigungsmanagement einzuführen. „Das halten wir für bedenklich. Gesundheitsdaten sind äußerst sensibel, die unbefugte Nutzung kann zu schweren Schäden für die betroffenen Patienten führen. Es darf nicht sein, dass auf diese Weise die informationelle Selbstbestimmung der Patienten ausgehöhlt wird“, betont die Psychotherapeutin.

Daher müssten Patientinnen und Patienten mit Einführung einer elektronischen Patientenakte (ePA) von Beginn an die Möglichkeit erhalten, selektiv den Zugriff zu genehmigen bzw. zu sperren. Auch der Zugriff über mobile Geräte wie Handy oder Tablet, ohne die Verwendung der elektronischen Gesundheitskarte, werde kritisch gesehen, da dies eine geringere Sicherheitsstufe bedeute. Außerdem müsse abgesichert werden, dass dabei Internetkonzerne über ihr Betriebssystem keine gesundheitsbezogenen Daten abgreifen.

„Bei psychisch kranken Menschen kann der Missbrauch oder das Bekanntwerden von Diagnosen und Behandlungsinhalten weitreichende Konsequenzen nach sich ziehen. Wir wollen unsere Patienten geschützt wissen und sehen uns in der Verantwortung, den vertrauensvollen Behandlungsraum zu bewahren“, betonte Barbara Lubisch.

Auch gibt es große Bedenken, ob durch die Sammlung von Gesundheitsdaten, insbesondere in einer Gesundheits- oder Patientenakte, das Schadenspotential durch einen möglichen Datendiebstahl oder -missbrauch wächst. Menschen könnten – freiwillig oder unter Druck – in bisher nicht möglichem Ausmaß vertrauliche Daten über sich preisgeben, die gegen sie verwendet werden könnten, z.B. von Versicherungen, Arbeitgebern, wirtschaftlichen Interessensträgern oder aus politischen Motiven.

„Klärungsbedürftig finden wir auch die Frage, wie der Datenschutz bei der Lagerung der Daten auf Servern und in Clouds realisiert und nachweisbar gegeben ist. Nach unserer Ansicht sollte der Server für die Daten unserer Patienten in Deutschland stehen. Wir bedauern, dass unsere Vorschläge zum Umgang mit Patientendaten im TSVG nicht umgesetzt wurden. Dies sollte im Digitale-Versorgung-Gesetz (DVG) nachgebessert und der Schutz der Patientendaten hochgehalten werden, “ betonte Lubisch.

Die Delegiertenversammlung der DPtV fordert:

Der staatlich bzw. von der Selbstverwaltung betriebene und kontrollierte Aufbau sicherer Kommunikationswege zum Austausch von Gesundheitsdaten, die in elektronischer Form vorliegen, ist sinnvoll (‚datenschutzgerechte digitale Gesundheitsversorgung‘).

Dabei dürfen Patientenrechte, die ärztliche/psychotherapeutische Schweigepflicht und Datenschutzregeln, wie z. B. die Datenschutzgrundverordnung (DSGVO), nicht unterlaufen werden.

Die Nutzer*innen müssen volle Transparenz über die Verwendung ihrer Daten erhalten; das gilt gleichermaßen für die elektronische Patientenakte, für den Einsatz elektronischer Gesundheitsanwendungen, für ‚Datenspenden‘ o.ä. .

Die Nutzung der ePA muss freiwillig bleiben, Patient*innen müssen von Anfang an selbst entscheiden können:   

  • ob sie Daten einstellen wollen
  • welche Daten sie einstellen wollen
  • welche Daten sie wem offenbaren/weitergeben wollen.

Der Datenschutz muss auch bei Speicherung der Daten auf Servern oder Clouds gesichert sein, z.B. durch Verschlüsselung oder getrennte Datenpakete; Server/IT-Systeme sollten in Deutschland stehen. Die Speicherung sollte möglichst dezentral erfolgen.

Digitale Gesundheitsanwendungen dürfen nur dann vom Bundesinstitut für Arzneimittel und Medizinprodukte zertifiziert werden:

  • wenn sie wirksam sind und eine Qualitätsüberprüfung nach wissenschaftlichen Kriterien erfüllt haben
  • wenn die Datenverläufe nicht über dahinterliegende Infrastrukturen großen Internetkonzernen zugänglich sind.

Die Indikationsstellung für den Einsatz digitaler Gesundheitsanwendungen muss beim Arzt/Ärztin bzw. Psychotherapeuten/Psychotherapeutin liegen.

Die Freigabe von Daten/eine „Datenspende“ darf nicht durch finanzielle Anreize gefördert werden.

Aufwand und Kosten der Digitalisierung sollten in einem angemessenen Verhältnis zum Nutzen für Patienten und Psychotherapeuten/Ärzte stehen.

Die Praxen sind bei der Installation, Nutzung, Sicherheitsfragen etc. angemessen zu unterstützen. Die Bedenken und Sorgen der ‚TI-Verweigerer‘ dürfen nicht mit Strafzahlungen belegt, sondern müssen ernst genommen und die Bedenken ausgeräumt werden.

 

Anhang

 

Aus der Stellungsnahme der Deutschen PsychotherapeutenVereinigung (DPtV) zum TSVG

Patientensouveränität und Datensicherheit bei der Einführung der elektronischen Patientenakte (ePA) verbessern

 

1. Einführung eines differenzierten Berechtigungsmanagements

Die Souveränität der Patienten über ihre Daten ist nur gewährleistet, wenn sie die Möglichkeit haben, bestimmte in der ePA gespeicherte Informationen bzw. Dokumente gezielt mit von ihnen ausgewählten Leistungserbringern zu teilen.

Wir schlagen daher folgende Ergänzung vor:

Zu Nr. 96 b) aa) (§ 291a Abs.5 SGB V RegE-TSVG)

Abs.5 (neu) wird ergänzt um einen Satz 4:

„Es ist sicherzustellen, dass in den Fällen des Absatz 3 Satz 1 Nr. 4 Zugriffsberechtigungen jeweils auf Dokumentenebene erteilt werden können.“

Begründung:

Gesundheitsdaten sind besonders sensible Informationen. Um das Recht des Patienten auf informationelle Selbstbestimmung zu wahren muss es Versicherten möglich sein, einzelnen Leistungserbringern nur für ausgewählte Dokumente und nicht pauschal auf alle Dokumente in der ePA den Zugriff zu erlauben.

 

2. Sperrung alternativer Zugriffsverfahren muss möglich sein

Dem Versicherten sollte neben der Nutzung des alternativen Zugriffsverfahrens auch dessen Sperrung möglich sein. Dazu ist eine ausreichende Information der Versicherten über die mit dem alternativen Zugriffsverfahren einhergehenden Risiken sicherzustellen. Hierbei muss in besonderem Maße die Situation von Kindern und Jugendlichen sowie von Versicherten mit eingeschränkter Urteilsfähigkeit berücksichtigt werden.

Wir schlagen dazu folgende Ergänzung vor:

Zu Nr. 96 b) bb) (§ 291a Abs. 5 SGB V RegE-TSVG)

In Abs.5 werden nach dem bisherigen Satz 8 folgende Sätze eingefügt:

„Ein Zugriff nach Satz 9 kann auch ohne Einsatz der elektronischen Gesundheitskarte erfolgen, wenn der Versicherte nach umfassender Information, die insbesondere auch die Datensicherheit dieses Zugriffsverfahrens umfasst, durch seine Krankenkasse gegenüber der Krankenkasse schriftlich oder in elektronischer Form erklärt hat, dieses Zugriffsverfahren zu nutzen. Die Sperrung des Zugriffsverfahrens nach Satz 10 muss für den Versicherten jederzeit möglich sein.“

Begründung:

Nur auf der Basis differenzierter Information haben die Versicherten die Kompetenz zur Einwilligung in die Nutzung der ePA und zur Verwaltung ihrer Gesundheitsdaten. Dazu sind sie auch über die Risiken zu informieren, und müssen jederzeit die Möglichkeit haben, sich gegen eine Nutzung oder weitere Nutzung des alternativen Zugriffsverfahrens nach § 291b Absatz 5 Satz 10 [neu] zu entscheiden. Neben der Einwilligung sollte daher auch die Möglichkeit, jederzeit diesen Zugriffsweg sperren zu lassen, gesetzlich verankert werden.

 

3. Auch für alternative Zugriffsverfahren ist höchste Datensicherheit notwendig

Gesundheitsdaten sind besonders sensible personenbezogene Daten. Diese sollen deshalb auch bei Nutzung eines Zugriffsverfahrens ohne Verwendung der elektronischen Gesundheitskarte mit höchster Datensicherheit verbunden sein. Wir schlagen dazu folgende Ergänzung vor:

Zu Nr. 97 b) (§ 291b Absatz 5 SGB V RegE-TSVG)

In der Gesetzesbegründung zu § 291b Absatz 5 wird nach Satz 1 folgender Satz ergänzt:

„Für das Zugriffsverfahren nach § 291b Absatz 5 Satz 10 [neu] wird ein gegenüber der kartenbasierten Lösung vergleichbares Sicherheitsniveau angestrebt.“

Begründung:

Für die Zugriffe auf ePA mit mobilen Endgeräten werden die Sicherheitsanforderungen gegenüber dem kartenbasierten Zugriffsweg durch den vorliegenden Gesetzentwurf herabgestuft, eine Sicherheitszertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik ist nicht mehr notwendig. Gleichzeitig gibt das Gesetz keine Mindestsicherheitsanforderungen für den Zugriffsweg nach § 291b Absatz 5 Satz 10 SGB V [neu] vor. Mit diesem Änderungsvorschlag soll sichergestellt werden, dass bei der Festlegung des Zulassungsverfahrens und der Sicherheitsanforderungen durch die gematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik, für den Zugriff über mobile Endgeräte ein vergleichbares Sicherheitsniveau wie beim kartenbasierten Zugriff angestrebt wird.