Digitales Cloud-Netzwerk, das mehrere leuchtende Server verbindet
©Motion AI - stock.adobe.com

BVMed: Infoblatt zum Cloud-Einsatz im Gesundheitswesen

/ RT-Redaktion / Leitfaden

Mit dem Paragrafen 393 SGB V (,Cloud-Einsatz im Gesundheitswesen‘) werden verbindliche Mindeststandards zur Cybersicherheit für die Nutzung von Cloud-Computing-Diensten im Gesundheitswesen eingeführt, erklärt der Bundesverband Medizintechnologie (BVMed). Deshalb informiert der Verband in einem ausführlichen Infoblatt darüber, wann MedTech-Unternehmen betroffen sind, was als Cloud-Computing-Dienst gilt und welche Pflichten zu beachten sind.

„Der sichere Einsatz von Cloud-Lösungen bildet mittlerweile für viele digitale Anwendungen im Gesundheitswesen die Basis – zugleich steigen die Anforderungen an Sicherheit und Vertrauenswürdigkeit. Mit unserem Infoblatt informieren wir MedTech-Unternehmen über den aktuellen Stand und geben eine praxisnahe Orientierung“, so Natalie Gladkov, BVMed-Digitalexpertin und Dr. Katja Marx, BVMed-Rechtsexpertin.

Die neue gesetzliche Regelung stellt laut dem Verband einen Erlaubnistatbestand dar: Leistungserbringer im Gesundheitswesen sowie gesetzliche Kranken- und Pflegekassen dürften Cloud-Computing-Dienste einsetzen, wenn bestimmte Cybersicherheitsanforderungen eingehalten werden.

Für die MedTech-Branche relevant ist die Vorschrift insbesondere dann, wenn personenbezogene Gesundheitsdaten von Patienten über Cloud-Computing-Dienste verarbeitet werden – etwa bei digitalen Gesundheitsanwendungen (DiGA) oder cloudbasierten Plattform- und Softwarelösungen. „Als Faustformel kann man festhalten, dass ein Cloud-Computing-Dienst vorliegt, wenn Unternehmen bzw. Personen von einem Dritten eine Zugriffsmöglichkeit über Nutzerkonten auf Anwendungen und Daten per Fernzugriff erhalten“, fasst der BVMed in seinem Infoblatt zusammen.

Im Fokus der Informationen des Verbandes zum Cloud-Einsatz im Gesundheitswesen stehen die Pflichten, sobald die Norm anwendbar ist. Dazu gehören insbesondere:

  • C5-Testat: Cloud-Dienste müssen ein aktuelles C5-Testat nachweisen.
  • Verarbeitungsregionen: Gesundheitsdaten dürfen nur in bestimmten Ländern/Regionen verarbeitet werden.
  • Niederlassung in Deutschland: Für die ,datenverarbeitende Stelle‘ ist eine Niederlassung im Inland erforderlich.
  • Sicherheitsmaßnahmen: Es sind angemessene technische und organisatorische Maßnahmen umzusetzen.

Weitere Informationen könnten hier nachgelesen oder hier heruntergeladen werden.

Anmeldung zum Newsletter Radiologie Technik, Trends und Management: 6 x jährlich Praxis-Tipps und aktuelle Beiträge aus der Radiologie direkt in Ihr Postfach!