Berufsverband Deutscher Psychologinnen und Psychologen e. V.

Stellungnahme des VPP zur Telematik-Datensicherheit

Aktuell wurde die Nutzung der ePA  (elektronischen Patientenakte) durch Versicherte auch auf mobilen Endgeräten gesetzlich verankert.  Gerade Smartphones stellen dabei, z.B. durch Benutzung veralteter Betriebssystemversionen, ein erhöhtes Sicherheitsrisiko dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betrachtet derzeit für Smartphones vorgesehene Authentifizierungs-verfahren für die (ePA) als „neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette“. Die Gesetzlichen Krankenkassen sind für die Konzeption der ePA verantwortlich. Das Bundesgesundheits-ministerium hat mittlerweile die Mehrheitsanteile bei der gematik, welche für die Zertifizierung und Zulassung der Komponenten zuständig ist. Mit Einverständnis der Patienten können Behandelnde Daten aus dem Praxisverwaltungssystem (PVS) in die ePA hochladen. Die Primärdokumentation im PVS soll davon unberührt bleiben. Die Daten (u.a. Befunde, Diagnosen, Therapiemaßnahmen) sollen einrichtungsübergreifend auf -von der gematik zertifizierten - Serverkomponenten gespeichert werden. Im Rahmen psychotherapeutischer Behandlungen entstehen dabei besonders sensible Daten. Eine stimmberechtigte Vertretung heilkundlicher, im kassenärztlichen System verankerter Psychologischer Psychotherapie durch die Bundespsychotherapeutenkammer (BPTK) im Kreis der Gesellschafter der gematik wurde trotz mehrfacher Forderung noch nicht umgesetzt.
Der VPP im BDP e.V. fordert:

  1. Aufnahme der BPTK in den Kreis der stimmberechtigten Gesellschafter der gematik
  2. Einhaltung höchstmöglicher Maßnahmen der Datensicherung bei der Anwendung  der ePA, v.a. im Hinblick auf die Trennung von Praxisverwaltungssystemen und Daten der zukünftigen ePA sowie einer „interessenunabhängigen“ Datenspeicherung (z.B. nicht von den Krankenkassen bereitgestellte Serversysteme)
  3. Zeitliche Verschiebung der ePA-Nutzung auf mobilen Geräten, bis eine Authentifizierungtechnik entwickelt und erprobt wurde, welche die Gesamtsicherheit der TI nicht reduziert. (Aktuelle Authentifizierungstechniken, wie Schlüsselgenerierungs­diens­te (SGD) oder alternative Versichertenidentitäten (al.vi), reichen nicht aus.)
  4. Qualität, Wirksamkeit und Datensicherheit digitaler Anwendungen sind vom G-BA zu prüfen, bevor sie Patienten angeboten werden.

Für den Vorstand
Susanne Berwanger