Datenschutz

Datenschutz steht an erster Stelle

Versicherte müssen in jedem Fall darauf vertrauen können, dass das Arztgeheimnis in der Telematikinfrastruktur weiterhin gewahrt bleibt. Denn nur so kann das Vertrauensverhältnis zwischen Heilberuflern und ihren Patienten aufrechterhalten werden, dass für eine erfolgreiche medizinische Versorgung notwendig ist. Auch Heilberufler haben ein Interesse daran, dass die innerhalb der Telematikinfrastruktur transportierten Daten geschützt sind. Als Berufsgeheimnisträger unterliegen sie besonders strengen Regelungen.

Der Gesetzgeber hatte daher zusammen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) spezielle Regelungen des Datenschutzes für die elektronische Gesundheitskarte formuliert, die die geltenden Datenschutzregelungen ergänzen. Mit der Gesundheitskarte kontrolliert der Versicherte, wer auf seine Daten zu welchem Zeitpunkt zugreifen kann.

Die elektronische Gesundheitskarte leistet so einen entscheidenden Beitrag, den Datenschutz im Gesundheitswesen zu erhöhen und die Rechte der Versicherten zu stärken.

Medizinische Anwendungen sind freiwillig

Die medizinischen Anwendungen der Telematikinfrastruktur sind ein Angebot an Versicherte, das sie – auf freiwilliger Basis – nutzen können. Erst wenn sich der Versicherte für eine Anwendung entschieden hat, dürfen bei dieser Anwendung medizinische Daten erhoben, verarbeitet und genutzt werden.

Wollen Versicherte eine Anwendung nutzen, willigen sie darin gegenüber einem Arzt, Zahnarzt, Psychotherapeuten oder Apotheker einmal schriftlich ein. Die elektronische Gesundheitskarte speichert dann einen Verweis auf die beim Heilberufler hinterlegte schriftliche Einwilligung. Versicherte können diese jederzeit widerrufen.

Versicherte behalten Datenhoheit

Der Versicherte bestimmt, welcher Heilberufler wann die Daten der medizinischen Anwendungen wann nutzen darf. Denn vor jedem Zugriff ist sein aktives Einverständnis notwendig. Indem der Versicherte seine elektronische Gesundheitskarte an den Heilberufler übergibt, stimmt er dem Zugriff auf seine medizinischen Daten zu. Bei medizinischen Anwendungen muss zusätzlich auch dessen PIN (persönliche Identifikationsnummer) eingeben werden. Lehnt der Versicherte einen Zugriff auf seine Daten in der Telematikinfrastruktur ab, ist dieser auch nicht möglich.

Zugriff nur mit Heilberufsausweis

Auf die medizinischen Daten können nur Heilberufler mit einem entsprechenden Ausweis zugreifen. Hierzu zählen Ärzte, Zahnärzte, Psychotherapeuten, Apotheker oder – allgemein – Heilberufler und deren berufsmäßige Gehilfen. Je nach Anwendung kann der Zugriff zudem auf bestimmte Heilberuflergruppen beschränkt werden. Diese Zugriffsregelungen werden technisch durch das so genannte Zwei-Karten-Prinzip umgesetzt. Wer keinem medizinischen Heilberuf angehört – beispielsweise Versicherungen, Banken oder Arbeitgeber –, darf und kann nicht auf die in der Telematikinfrastruktur gespeicherten medizinischen Daten des Versicherten zugreifen.

Alle Datenzugriffe für Versicherte erkennbar

Versicherte müssen nachvollziehen können, wer auf die mittels der elektronischen Gesundheitskarte gespeicherten Daten zugegriffen hat. Nur so können sie ihre Datenschutzrechte wahrnehmen. Daher werden die Datenzugriffe protokolliert. Die Protokolldaten der Gesundheitskarte sind allein für den Versicherten bestimmt und werden vor unberechtigten Zugriffen geschützt.

Hohes Informationssicherheitsniveau

Um den Datenschutzanforderungen gerecht zu werden und vor allem die medizinischen Daten von Versicherten zu schützen, wird in der Telematikinfrastruktur auf starke Informationssicherheitsmechanismen gesetzt. Die sichere, verschlüsselte Kommunikation zwischen bekannten Kommunikationspartnern sowie der Schutz vor dem Zugriff auf sensible Informationen sind daher das Fundament der Telematikinfrastruktur.

Datenschutz und Informationssicherheit

Die gematik hat den gesetzlichen Auftrag, die Umsetzung der Vorgaben zur Informationssicherheit durch die Anbieter von Diensten in der Telematikinfrastruktur (TI) zu überwachen und die Einhaltung der Vorschriften zum Datenschutz sicherzustellen. Hierfür hat die gematik das koordinierenden Datenschutz- und Informationssicherheitsmanagementsystems (DSMS/ISMS) für die TI etabliert.

Die gematik arbeitet bei operativen Fragen des Datenschutzes und der Informationssicherheit eng mit den Anbietern von Diensten der TI zusammen. Zur Wahrnehmung operativer Aufgaben hat die gematik das nachfolgend beschriebene gematik CERT als Teil des koordinierenden ISMS etabliert.

gematik CERT

Das gematik „Computer Emergency Response Team der Telematikinfrastruktur“ – kurz gematik CERT – überwacht die Telematikinfrastruktur des deutschen Gesundheitswesens kontinuierlich in Bezug auf Schwachstellen und Bedrohungen. Das gematik CERT nimmt Sicherheitsvorfälle entgegen, koordiniert die Bearbeitung und unterstützt die zeitnahe und wirksame Beseitigung.

Zur Meldung von potenziellen Schwachstellen und Sicherheitsvorfällen können Sie
unser Kontaktformular verwenden. Alternativ können Sie die Meldung auch vertraulich
an senden. Das gematik CERT sichert Ihnen auf Wunsch einen vertraulichen Umgang mit den übermittelten Informationen zu.

Weiterführende Information:
gematik CERT
TXT | 8 KB | 17.09.2018

Initiativen

Trusted Introducer

Das „gematik CERT der Telematikinfrastruktur“ ist seit dem 01. November 2018 ein gelistetes Mitglied bei Trusted Introducer. CERT bedeutet Computer Emergency Response Team. Das europäische CERT-Netzwerk Trusted Introducer wurde im Jahr 2000 gegründet und besteht aktuell aus mehr als 330 CERTs. Es unterstützt die Zusammenarbeit von CERT-Teams, um schnellere Reaktionen auf aktuelle Cyber-Angriffe und -Bedrohungen zu ermöglichen. So stellt Trusted Introducer den Teams eine Infrastruktur und Dienstleistungen bereit, um diese bei der Verbesserung der allgemeinen Sicherheitslage zu unterstützen.

UP KRITIS

Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen.

Die gematik ist unter der ID 227aa als gemeinsame übergeordnete Ansprechstelle (GÜAS) für die Telematikinfrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Sie nimmt diese Aufgabe für Betreiber von nach §291b Absatz 1a oder 1e SGB V zugelassenen Diensten und für Betreiber von Diensten von nach §291b Absatz 1b SGB V bestätigten Anwendungen war. Ziel der Kooperation UP KRITIS ist es, die Versorgung mit Dienstleistungen Kritischer Infrastrukturen in Deutschland aufrechtzuerhalten.