Prüfnachweis Videosprechstunde

Anlage 31b zum BMV-Ä Prüfung von Videosprechstunden für Heilberufe

Die Digitalisierung der medizinischen Versorgung durch virtuelle Hausbesuche, Online-Therapien oder Videosprechstunden schreitet voran. Setzen Heilberufe auf digitale Möglichkeiten, müssen sie gewährleisten, dass Datenschutz und Patientengeheimnis genauso eingehalten werden, wie in der herkömmlichen Sprechstunde vor Ort. Doch ist dies auch vertrauenswürdig?

Betreiber von Videosprechstunden, bei denen Ärzte, Pflegekräfte oder Psychotherapeuten mit Patienten per Online-Videoverbindung kommunizieren, müssen in Deutschland die Anforderungen der „Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 291g Absatz 4 SGB V“ (Anlage 31b zum BMV-Ä ) zwischen dem GKV-Spitzenverband und der Kassenärztlichen Bundesvereinigung einhalten. Dazu gehört ein Nachweis über die in den §§ 2 und 5 genannten Anforderungen an den Inhalt, den Datenschutz- und die Informationssicherheit.

Wenn Sie Betreiber einer Videosprechstunde („VSS“) sind, bieten wir Ihnen diesen Nachweis für alle 3 Anforderungen an. Voraussetzung dafür ist der erfolgreiche Abschluss eines Audits anhand unseres bewährten Prüfungsstandards ips – internet privacy standards. Dabei prüfen wir das relevante Webportal und die Videosprechstunde anhand der Anforderungen des Datenschutzrechts, Telemedienrechts und der §§ 2 und 5 der Anlage 31b zum BMV-Ä.

Im Rahmen einer Prüfung gemäß ips prüfen unsere Auditoren das Webportal sowie das Datenschutzmanagement des Betreibers rechtlich und technisch und decken so die Bereiche Datenschutz, Datensicherheit und Inhalte ab. So wird - neben den Anforderungen des § 5 der Vereinbarung - z.B. geprüft, ob Impressum und Datenschutzerklärung vollständig sind, ob Webformulare, eingesetzte Trackingverfahren, Social Media Plugins oder Cookies datenschutzkonform sind, ob ein/e Datenschutzbeauftragte/r bestellt ist, ob Verträge zur Auftragsvereinbarung mit Subdienstleistern konform zu Art. 28 DSGVO sind und welche technisch-organisatorischen Maßnahmen zum Schutz des Webservers und der Verschlüsselung der Kommunikation umgesetzt sind. Betreiber müssen zudem einen aktuellen Sicherheitstest der relevanten Server vorlegen. Sollten Sie einen solchen noch nicht durchgeführt haben, unterbreiten wir Ihnen gerne ein zusätzliches Angebot.
Die Prüfung erfolgt anhand der Sichtung der Webseiten sowie Frage-Checklisten an den Anbieter, so dass eine Prüfung vor Ort entfällt. Nicht von unserer Prüfung umfasst sind die hinter dem Portal stehende Software oder Anwendungen (z.B. CRM-System, KIS, AIS, Medizinprodukte).

Anschließend erstellen wir zu ips und den Prüfergebnissen ein Gutachten. Werden alle Kriterien unseres Kataloges (diese sind kostenlos verfügbar unter: https://www.datenschutz-cert.de/unser-leistungsspektrum-im-querschnitt/datenschutz-guetesiegel-ips/internet-privacy-standards-das-datenschutz-guetesiegel) erfüllt, wird das Portal mit dem Gütesiegel und dem ips Logo ausgezeichnet, das gemäß unserer Nutzungsbedingungen grundsätzlich 2 Jahre gültig ist.

Interessiert? Dann unterbreiten wir ihnen gerne ein Angebot. 

FAQ

Nachfolgend möchten wir typische Fragestellungen beantworten:

1. Mit welchen Kosten muss ich als Betreiber für den Nachweis rechnen?

Der Prüfungsaufwand hängt von den datenschutzrelevanten Funktionen des Portals und der VSS ab. Im Minimum kalkulieren wir 6 Arbeitstage. Ein konkretes Angebot erstellen wir Ihnen gerne, wenn Sie uns die zu prüfende URL nennen.

2. Ich biete mehrere VSS an, bekomme ich einen Rabatt?

Jede URL, jede VSS und jedes Datenschutzmanagement des Betreibers muss von uns sorgfältig geprüft werden. Wir können jedoch Synergien durchaus nutzen und den Aufwand dadurch minimieren. Bieten Sie sogenannte Whitelabel an, bei denen der Aufbau immer gleich ist und sich lediglich ein Layout ändert, kommen wir Ihnen preislich gerne entgegen.

3. Was benötigen Sie für ein Angebot?

Die URL/Domain, über welche die Videosprechstunde geführt wird. Diese sichten wir und kalkulieren dann unseren Prüfaufwand.

4. Wie lange dauert die Prüfung?

Ab Angebotsannahme brauchen wir ein paar Tage, um den Prüfungsstart zu planen. Die Prüfung selbst dauert dann 1-4 Wochen, je nachdem, wie viele Abweichungen festgestellt und vom Betreiber behoben werden müssen. 

5. Ist der Nachweis unbegrenzt gültig?

Nein. Das ips Siegel wird für 2 Jahre erteilt. Anschließend ist eine neue Prüfung notwendig. Werden Webseite oder Videosprechstunde zwischenzeitlich geändert mit Relevanz zum Datenschutz (z.B. Umfirmierung, andere Verschlüsselungstechnik, neue Webformulare, andere Cookies), dann ist eine unterjährige Re-Auditierung notwendig.

6. Muss ich mich für die Prüfung vorbereiten?

Eigentlich nicht. Unsere Auditoren besichtigen die Webseiten, benutzen die Testaccounts, machen Mitschnitte im Testaccount (z.B. per Wireshark) und prüfen Dokumente, die Sie uns vorlegen. Sind dann noch Fragen offen oder ergeben sich Abweichungen, fassen die Auditoren dies in einem Reviewprotokoll zusammen. Auf dieses Protokoll antworten Sie und die Auditoren prüfen dies wieder gegen usw. 

7. Was benötigen Sie für eine möglichst schnelle Prüfung?

Idealer Weise lassen Sie uns mit Auftragsbestätigung die Zugangsdaten für Testaccounts (Patienten/Ärzte) zukommen sowie den Mustervertrag mit Ihren Kunden inklusive des Vertrags zur Auftragsvereinbarung. Setzen Sie Auftragsverarbeiter ein, bitte die Verträge nach Art. 28 DSGVO. Setzen Sie zertifizierte Subdienstleister ein, bitte die Zertifikate einreichen. Ferner bitte einen Bericht über die Sicherheitsprüfung der relevanten Server und eine Bestellungsurkunde eines/r Datenschutzbeauftragten einreichen.

8. Helfen Sie mir auch bei der Konfiguration oder beim Datenschutz?

Nein. Da wir unsere Unabhängigkeit gegenüber unseren Aufsichtsbehörden nachweisen müssen, dürfen wir Sie nicht beraten. Wenn Sie Fragen zur Auslegung des § 5 Anlage 31b zum BMV-Ä oder der DSGVO haben, können wir Ihnen unser Vorgehen erläutern. Wir erstellen jedoch für Sie weder AGB noch Datenschutzhinweise und empfehlen Ihnen auch keine bestimmten Technikprodukte.

9. Ist die datenschutz cert GmbH anerkannt?

Wir führen seit 2008 Konformitätsbescheinigungen im Bereich Datenschutz und Informationssicherheit durch, z.B. Zertifizierungen nach ISO/IEC 27001 oder Audits gemäß DSGVO. Für die Nachweise nach den §§ 2 und 5 der Anlage 31b zum BMV-Ä bedarf es einer Akkreditierung bei der Deutschen Akkreditierungsstelle (DAkkS). Wir haben 2018 einen Antrag auf Akkreditierung bei der DAkkS gestellt, der sich dort in Bearbeitung befindet. Bis zur Akkreditierung stellen wir daher keine „Zertifikate“ o.Ä. aus und behalten uns auch vor, Nachweise jederzeit wieder zurückzuziehen oder das Verfahren zu ändern, wenn die DAkkS dies fordern würde. Der GKV-Spitzenverband und die KBV erkennen unsere Prüfmethoden seit 2017 als Nachweise an. Aktuell (Stand Mai 2020) sind in Deutschland keine Stellen gemäß Anlage 31b zum BMV-Ä akkreditiert. Wir hoffen, 2020 eine Akkreditierung zu erhalten.

10. Kann ich auch eine App oder Software für Videosprechstunden prüfen lassen?

Unsere Prüfmethodik ips bezieht sich derzeit nur auf webbasierte Videosprechstunden. Die Kommunikationspartner müssen also immer über eine Webseite gehen können, um an der VSS teilzunehmen. Geprüft und ausgezeichnet wird dann die URL. Wird daneben auch eine App angeboten, kann diese aktuell von uns leider noch nicht mit dem ips Gütesiegel ausgezeichnet werden. Wenn wir unsere Akkreditierung erhalten (siehe Frage Ist die datenschutz cert GmbH anerkannt?) können wir unser Prüfschema auch auf Apps und Software anwenden.

11. Der Videoserver steht nicht in der EU, ist das schlimm?

§ 5 Anlage 31b zum BMV-Ä fordert, dass alle relevanten Server sich innerhalb des Europäischen Wirtschaftsraumes EWR befinden. Für ein erfolgreiches Audit benötigen wir also Nachweise, dass dies der Fall ist. Dies bezieht sich auch auf TURN- und STUN-Server. Diese können von Firmen außerhalb des EWR angeboten werden, wenn diese nachweisen, dass die Daten im EWR verbleiben und ein angemessenes Datenschutzniveau nachgewiesen wird. 

12. Ich setze einen TURN / STUN-Server ein, was ist mit peer-to-peer?

§ 5 Anlage 31b zum BMV-Ä sieht vor, dass die Übertragung der VSS über eine Peer-to-Peer-Verbindung (p2p) zwischen Vertragsarzt und Patienten oder der Pflegekraft, ohne Nutzung eines zentralen Servers, erfolgen soll. Dies muss also grundsätzlich möglich sein. Kaum eine VSS kann eine 100%tige p2p anbieten. Daher fordern wir, dass Ausnahmen gegenüber den Kommunikationsteilnehmern deutlich gemacht werden, z.B. durch ein Pop-Up im Anmeldebereich und in AGB oder Nutzungsbedingen / Datenschutzerklärung, wenn keine p2p vorliegt. 

13. Muss ich den Penetrationstest bei Ihnen beauftragen?

Nein. Wir fordern die Vorlage eines Testberichts, der nicht älter als 6 Monate ist. Ergeben sich im Bericht Abweichungen, fordern wir einen Nachweis, wie diese behoben werden/wurden. Der Test muss gängige Angriffsszenarien berücksichtigen, u.a. OWASP Top 10, Cross-Site Request Forgery, Clickjacking. 

14. Ich bin Arzt / Therapeut, bekomme ich bei der datenschutz cert GmbH den Nachweis für meine Kassenärztliche Vereinigung oder können Sie mir eine VSS empfehlen?

Nein. Der Nachweis ist beim Betreiber der Videosprechstunde erhältlich. Wir dürfen diese Bescheinigung nicht herausgeben, das kann nur der Betreiber. Leider dürfen wir Ihnen auch keine VSS empfehlen. Bitte sehen Sie von derartigen Nachfragen bei uns ab.

15. Wer reicht den Nachweis bei der KBV ein?

Der Betreiber der VSS. Formulare sind unter https://www.kbv.de/html/videosprechstunde.php abrufbar.

Ansprechpartner

Alisha Gühr, LL.M.

Justiziarin

Telefon: +49 (0) 421 69 66 32-573

aguehr@remove-this.datenschutz-cert.de