Gematik Sicherheitsgutachten

Gematik Zulassung – nur mit Sicherheitsgutachten

Gemäß der Richtlinie zur Prüfung der Sicherheitseignung der gematik setzt der Betrieb von Komponenten der Telematikinfrastruktur eine Zulassung durch die gematik voraus. Diese Zulassung wird von der gematik nach einem erfolgreich absolvierten Zulassungsverfahren erteilt.

Das Zulassungsverfahren der gematik ist erforderlich für

zentrale Dienste,
Fachdienste,
Dienste sicherer Übermittlungsverfahren,
die Anbieter dieser Dienste der Telematikinfrastruktur (TI) sowie
für weitere Anwendungen, die die TI beeinträchtigen können.

Im Rahmen des Zulassungsverfahrens muss die Sicherheitseignung durch eine unabhängige Begutachtung der umgesetzten technischen und organisatorischen Maßnahmen des Antragstellers entsprechend der Vorgaben der gematik festgestellt werden.

Elektronische Patientenakte – ePA

Seit dem 1. Januar 2021 müssen Krankenkassen ihren Versicherten auf Wunsch eine elektronische Patientenakte (ePA) bereitstellen. Ab dem 1. Juli 2021 gilt, dass alle Vertragsärzte und Psychotherapeuten die elektronische Patientenakten lesen und befüllen können sollen.

Bei der ePA handelt es sich um eine sogenannte Anwendung der Telematikinfrastruktur (TI). Die ePA ist ein zentrales Element der vernetzten Gesundheitsversorgung. Patientendaten, die bisher separat an verschiedenen Orten, wie Praxen oder Krankenhäusern abgelegt bzw. gespeichert worden sind, sollen digital zusammengeführt werden. In der ePA können alle relevanten Informationen zu einem Patienten wie etwa Befunde, Diagnosen, Therapiepläne, Behandlungsberichte, Medikationspläne und Notfalldaten abgespeichert und den behandelnden Ärzten, Apothekern und Therapeuten bei Bedarf zur Verfügung gestellt werden.

Da es sich bei den im Rahmen der ePA verarbeitenden Daten um Gesundheitsdaten mit sehr hohem Schutzbedarf handelt, wurden bereits in der Konzeptionsphase hohe Anforderungen an die Systeme und Prozesse festgelegt. Die Patientinnen und Patienten sollen die vollständige Kontrolle über ihre Daten behalten. Nur sie entscheiden darüber, wie sie die in der ePA gespeicherten Daten nutzen wollen und wem sie sie zur Verfügung stellen möchten. Zugriffsberechtigungen auf die Daten in der ePA können von den Patientinnen und Patienten jederzeit vergeben oder wieder entzogen werden. Ferner können die Patientinnen und Patienten auch darüber entscheiden, welche Daten in der ePA gespeichert bleiben und welche wieder gelöscht werden sollen.

Elektronische Patientenakte über App abrufbar

Die Verwaltung der Daten in der ePA durch die Patientinnen und Patienten erfolgt über eine Applikation auf Smartphones oder Tablets. Die App wird den Patientinnen und Patienten über die Krankenkassen zur Verfügung gestellt. Die Datenübertragung zwischen den zentralen Systemen und den Applikationen erfolgt ausschließlich verschlüsselt. Weder die Krankenkassen noch involvierte Dienstleister erhalten Zugriff auf die in der ePA abgelegten Daten. Falls Patientinnen oder Patienten die Applikation nicht verwenden möchten, haben sie die Möglichkeit, ihre Daten in den Praxen der behandelnden Ärzte über ihre elektronische Gesundheitskarte unter Verwendung der Patienten-PIN freizugeben.

Um die ePA nutzen zu können, müssen auf der Seite der Leistungserbringer die erforderlichen technischen Voraussetzungen geschaffen werden (TI-Anbindung, ggf. Update des ePA-Konnektors, PVS- bzw. KIS-Module etc.). Die gematik stellt Spezifikationen auf ihrer Website zur Verfügung.

Die Kosten der Leistungserbringer für die Grundausstattung werden über die TI-Pauschalen abgedeckt. Ferner können die Kosten für das Erfassen, Verarbeiten und Speichern von Daten auf der ePA durch die Leistungserbringer abgerechnet werden.

Auch Mitglieder privater Krankenversicherungen sollen die ePA nutzen können. Die ersten privaten Krankenversicherungen wollen ihren Mitgliedern entsprechende Dienste ab 2022 anbieten.

Im Zusammenhang mit der Einführung der elektronischen Patientenakte soll auch die Standardisierung von medizinischen Daten weiter vorangetrieben werden. Auf diese Weise soll ein strukturierter Datentransfer der Leistungserbringer untereinander und zu anderen medizinischen Fachberufen ermöglicht werden. Dazu werden Zug um Zug sogenannte Medizinische Informationsobjekte (MIOs) definiert und ihre Verarbeitung in den jeweiligen Systemen implementiert. Zu den in diesem Kontext definierten MIOs gehört unter anderem das MIO für den elektronischen Impfpass.

Die AuraSec GmbH bietet

Beratungsleistungen zur Vorbereitung und Unterstützung des Zulassungsverfahrens sowie
erfahrene und von der gematik zugelassene unabhängige Gutachter zur Feststellung der Sicherheitseignung im Rahmen des Zulassungsverfahrens.

Gemäß den Vorgaben der gematik können Beratungsleistungen und Begutachtungen zum gleichen Zulassungsverfahren von der AuraSec GmbH kombiniert angeboten werden. Beratung und Begutachtung dürfen jedoch nicht vom gleichen Mitarbeiter der AuraSec GmbH geleistet werden.

Aufgabe der Gutachter ist die Feststellung der Sicherheitseignung der Prüfobjekte entsprechend der Vorgaben der gematik, die sich aus den von der gematik veröffentlichten Dokumentation für das jeweilige Prüfobjekt ergibt. Konkret prüft der Gutachter anhand der Produkttyp-, Anbietertyp- und Anwendungssteckbriefe der gematik die erforderlichen Eigenschaften des Prüfobjektes in Bezug auf Datenschutz und Informationssicherheit. Auf der Basis der vom Gutachter erstellen Gutachten beurteilt die gematik daraufhin die Zulassungseignung und erteilt ggf. eine Zulassung, sofern alle Anforderungen erfüllt sind.

Begleitung durch langjährig erfahrene Berater

Die AuraSec GmbH und ihre Berater und Gutachter verfügen über langjährige Erfahrung bei der Begleitung von Antragstellern in den Zulassungsverfahren.

Über viele Jahre hat sich gezeigt, dass die Komplexität der Zulassungs- bzw. Begutachtungsverfahren sowie die Anforderungen an die Prüfobjekte von Antragstellern oftmals unterschätzt werden, was zu unerwarteten Verzögerungen und ggf. auch zu unnötigen zusätzlichen Projektaufwänden führen kann.

Sicherheitsgutachter dürfen Antragsteller im Rahmen der Begutachtungsverfahren nicht beraten, da sie andernfalls die von der gematik geforderte Unabhängigkeit einbüßen. Vielmehr muss der Antragsteller dem Gutachter die Sicherheitseignung auf der Basis der Vorgaben der gematik Punkt für Punkt nachweisen. Eine Unterstützung des Antragstellers durch den Gutachter im Sinne einer Beratung ist also nicht zulässig und ausgeschlossen. Die Erfahrung zeigt jedoch, dass gerade diese Unterstützung des Antragstellers häufig ein sehr wichtiger Faktor für ein erfolgreiches Zulassungsverfahren ist.

Aus diesem Grund wird empfohlen, neben der Beauftragung des Gutachters auch Beratungsleistungen zur Vorbereitung und Begleitung des Zulassungsverfahrens fest einzuplanen.

Alles aus einer Hand

Die AuraSec GmbH bietet sowohl erfahrene Berater zur Begleitung der Zulassungsverfahren als auch unabhängige und von der gematik zugelassene Sicherheitsgutachter zur Feststellung der Sicherheitseignung an. Berater und Sicherheitsgutachter sprechen fachlich „die gleiche Sprache“, so dass Risiken für den Antragsteller im Hinblick auf Verzögerungen und unvorhergesehene Aufwände vermieden werden. Trotzdem bleibt die Unabhängigkeit des Gutachters gewährleistet, da dieser keinesfalls Beratungsleistungen gegenüber dem Antragsteller übernimmt.

Das Zusammenspiel zwischen Antragsteller, Berater und Gutachter hat sich in der Praxis bewährt und wird dementsprechend empfohlen – insbesondere bei der Durchführung von Erstgutachten und der Vorbereitung dazu.

Die AuraSec GmbH bietet alle für ein erfolgreiches Zulassungsverfahren erforderlichen Dienstleistungen aus einer Hand.

Senden Sie uns gerne eine unverbindliche Anfrage

Jetzt Kontakt aufnehmen