sind demnächst verpflichtet einen Prüfverfahren des Bundesamtes für Informationstechnik (BSI C5) zu durchlaufen.
Im Gesundheitswesen werden zunehmend Cloud-basierte IT-Anwendungen eingesetzt. Dies ermöglicht es etwa Krankenkassen und Leistungserbringern, Qualität und Geschwindigkeit der Leistungserbringung zu optimieren sowie effizienter und effektiver zusammenzuarbeiten. Mit der verstärkten Nutzung solcher Cloud-Dienste zur Verarbeitung sensibler Gesundheitsdaten gehen jedoch auch IT-bezogene Risiken einher, denen sowohl die Anwenderorganisationen als auch die Cloud-Anbieter mit geeigneten Maßnahmen begegnen müssen.
Das Bundesministerium für Gesundheit (BMG) hat erkannt, dass es notwendig ist, von den Anbietern der Cloud-basierten Anwendungen ein einheitlich hohes Niveau an Informationssicherheit zu fordern.
Im Gesetzentwurf des Digital-Gesetzes vom 30. August 2023 ist daher vorgesehen, dass die im Gesundheitssektor tätigen Einrichtungen wie etwa Krankenkassen und Leistungserbringer solche Cloud-basierten Dienste nur noch dann einsetzen dürfen, sofern für diese ein Prüfbericht gemäß des etablierten „Kriterienkatalog Cloud Computing“ (kurz „C5“) vorliegt. Der BSI C5 ist ein vom Bundesamt für Informationstechnik („BSI“) herausgegebener Kriterienkatalog, in dem ein bestimmtes Niveau an Informationssicherheit für den Betrieb von Cloud-Diensten definierten Prüfungsgesellschaften gemäß BSI C5 prüfen lassen, um einen entsprechenden Prüfbericht zu erhalten.
- Einrichtungen setzen zunehmend auf Cloud-basierte Dienste, um ihre IT zu modernisieren und Gesundheitsdaten effizienter zu verarbeiten.
- Das Bundesministerium für Gesundheit (BMG) verschärft daher die Anforderungen an das von Cloud-basierten Diensten zu bietende Niveau an Informationssicherheit.
- Sofern Einrichtungen künftig Gesundheitsdaten in der Cloud verarbeiten wollen, müssen sie gemäß Sozialgesetzbuch (SGB) V vom Cloud-Anbieter einen Prüfbericht gemäß des „Kriterienkatalogs Cloud Computing“ (kurz „C5“) des BSI, des Bundesamts für Sicherheit in der Informationstechnik fordern.
- Dies kann unter anderem folgende Einrichtungen betreffen:
- Dienstleister von Krankenkassen
- Anbieter digitaler Gesundheits- & Pflegeanwendungen
- Sozialversicherungsträger
- Ämter & Behörden für Sozialangelegenheiten
- Die neuen Anforderungen bezüglich der Informationssicherheit von Cloud-basierten Diensten werden voraussichtlich wirksam, sobald das Gesetz in Kraft tritt (derzeit erwartet für Januar 2024).