Zertifizierte Videosprechstunde

Die Digitalisierung der medizinischen Versorgung durch Gesundheits-Apps und Videosprechstunden schreitet voran. Dabei müssen Datenschutz und Informationssicherheit sowie der Patient*innendatenschutz gewahrt werden.

Die §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Abs. 1 SGB V (kurz: Anlage 31b BMV-Ä) legen die Anforderungen fest. Sie schreiben vor, dass Videodienstanbieter die Anforderungen an „Informationstechniksicherheit“ und den „Datenschutz“ erfüllen müssen. Dies muss durch jeweils ein Zertifikat einer akkreditierten Stelle für Datenschutz und für Informationstechniksicherheit nachgewiesen werden, wenn sie bei der Kassenärztlichen Bundesvereinigung (KBV) und dem GKV-Spitzenverband gelistet werden wollen.

Wir bieten Ihnen beide Nachweise an. Als eine der führenden akkreditierten Zertifizierungsstellen für Videosprechstunden stehen wir für höchste Kompetenz in Sachen Datenschutz und Datensicherheit, jahrlange Erfahrung bei der Prüfung von eHealth-Lösungen sowie für eine individuelle und praxisgerechte Betreuung.

Wenn Sie direkt mit einer Zertifizierung starten möchten, füllen Sie bitte unsere beiden Anfrageformular aus und schicken sie an office@datenschutz-cert.de. Sie erhalten dann von uns ein unverbindliches detailliertes Angebot. 

Bei der Evaluierung der Videosprechstunde werden zwei Verfahren (Datenschutz und Informationstechniksicherheit) kombiniert nebeneinander angewendet. So ist es möglich, bei erfolgreichem Abschluss zwei Urkunden (Datenschutz und Informationstechniksicherheit) zu erteilen. Für die Informationstechniksicherheit wenden wir unser akkreditiertes Programm ips – Videosprechstunde – IT an. Für den Datenschutz evaluieren wir nach unserem DSGVO – information privacy standard. 

Der Ablauf ist wie folgt:

Zunächst muss der Evaluationsgegenstand sehr genau definiert und abgegrenzt werden. Sie stellen uns diese Informationen in einem von uns vorgegebenen Formular zur Verfügung (Referenzdokument). Dazu zählen die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte und Subdienstleister.

Die Evaluierung wird sodann zweistufig durchgeführt:
In einem Auftaktgespräch wird der Geltungsbereich zwischen Ihnen und unseren Evaluator*innen final abgestimmt. Ferner vereinbaren wir mit Ihnen einen verbindlichen Startzeitpunkt, zu dem sämtliche Ihrer Systeme und Dokumente final und prüffähig vorliegen müssen. Ist diese Bedingung nicht erfüllt, können wir die Evaluation nicht durchführen!

Sie reichen das Referenzdokument und Nachweise bei uns ein und dadurch startet der offizielle Evaluationsprozess. Unsere Evaluator*innen prüfen die Umsetzung der Anforderungen.

Die Evaluation findet durch Besichtigung der Videosprechstunde anhand von Testzugängen und durch die Nutzung von Tools statt. In Einzelfällen – je nach Geltungsbereich – kann es erforderlich sein, dass wir auch vor Ort eine Evaluierung durchführen müssen („Site Visit“, z. B. eines Rechenzentrums, eines im Scope relevanten Callcenters oder Arbeitsplätze, aus denen ein Support erbracht wird). Liegen uns für alle relevanten Rechenzentren gültige, anerkennbare Zertifizierungen vor (etwa ISO/IEC 27001 oder IT-Grundschutz), kann ein Site Visit entfallen.

Offene Fragen fassen wir zusammen und vergeben eine Frist zur Ergänzung der Nachweise. Dies bündelt wesentliche Informationen und beschleunigt die Prüfung. In der Regel kommt es zu ein bis zwei Durchläufen, die von unserem Projekt und Angebot an Sie umfasst sind. Sollten mehr Durchläufe erforderlich sein, stellen wir unseren tatsächlichen Mehraufwand zusätzlich in Rechnung.

Kommt die Evaluierung zu einem positiven Ergebnis, erhalten Sie zwei Urkunden (pdf) und die umfassenden Evaluierungsberichte, die Sie z. B. Aufsichtsbehörden, Verbänden oder Kund*innen vorlegen können.