Keine fünf Monate mehr verbleiben den Vertragszahnarztpraxen bis zur obligaten Verwendung der ePA für alle im Behandlungskontext. Wer die technischen Voraussetzungen geschaffen, die Rechte des Praxisteams und der Patienten verinnerlicht und die Praxisorganisation entsprechend adaptiert hat, kann dann gut trainiert ab 1. Oktober aus der Kür in die ePA-Pflicht starten. Wichtig: Die ePA soll Praxisteams nicht überlasten und vor allem zu einer besseren intersektoralen Versorgung beitragen – auch wenn daran derzeit noch Zweifel bestehen.
Keine fünf Monate mehr verbleiben den Vertragszahnarztpraxen bis zur obligaten Verwendung der ePA für alle im Behandlungskontext. Wer die technischen Voraussetzungen geschaffen, die Rechte des Praxisteams und der Patienten verinnerlicht und die Praxisorganisation entsprechend adaptiert hat, kann dann gut trainiert ab 1. Oktober aus der Kür in die ePA-Pflicht starten. Wichtig: Die ePA soll Praxisteams nicht überlasten und vor allem zu einer besseren intersektoralen Versorgung beitragen – auch wenn daran derzeit noch Zweifel bestehen.
Zu Beginn des Roll-outs am 29. April wies das Bundesgesundheitsministerium (BMG) – damals noch mit Karl Lauterbach (SPD) geschäftsführend an der Ressortspitze – darauf hin, dass die mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmten zusätzlichen Sicherheitsmaßnahmen für die bundesweite Einführung der ePA von der gematik umgesetzt worden seien. Bei Nutzung der ePA werden jetzt demnach zusätzlich die Krankenversicherungsnummer sowie weitere Kartenmerkmale abgeglichen.
Und die Zahl der Zugriffe auf elektronische Patientenakten wurde abhängig von der Größe der nutzenden Einrichtung limitiert. Zuvor hatte der Chaos Computer Club (CCC) mehrfach auf durch ihn detektierte Sicherheitslücken aufmerksam gemacht. Wie die gematik auf ihrer Website mitteilt, entwickle sie zusammen mit ihren Gesellschaftern und dem BSI weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren.
Die Nutzung der ePA für alle unterliegt bei den niedergelassenen Vertragszahnärztinnen und -zahnärzten – wie bei den anderen Leistungserbringern auch – bis 30. September 2025 der Freiwilligkeit. Ab dem vierten Quartal ist die ePA für alle Pflicht, für die Versicherten bleibt die Nutzung Kür.
Bis 1. Oktober müssen die Vertragszahnarztpraxen demnach sicherstellen, dass sie an die Telematikinfrastruktur (TI) angebunden sind und über ein E-Health-Kartenterminal für den Versichertenstammdatenabgleich (VDSM) verfügen. Darüber hinaus muss ihr Praxisverwaltungssystem (PVS) die ePA für alle unterstützen, dafür wird ein PVS-Update auf die Version ePA 3.0 benötigt. Ein Update des Konnektors ist, wie zum Beispiel Bayerns KZV auf ihrer Website informiert, nicht erforderlich.
Die KZBV erinnert auf ihrer Fachthemenseite daran, dass die ePA eine patientengeführte Akte ist. Daher müssten die Zahnarztpraxen die ePA nur unter der Voraussetzung befüllen, dass die Daten selbst erhoben worden sind, aus der aktuellen Behandlung stammen und in elektronischer Form vorliegen. Zudem darf kein Widerspruch des Patienten gegen das Einstellen vorliegen. „Ferner dürfen der Befüllung keine erheblichen therapeutischen Gründe oder Rechte Dritter entgegenstehen (im zahnärztlichen Bereich wird dies allerdings kaum zum Tragen kommen)“, so die KZBV.
Zu den Dokumenten, die Zahnarztpraxen zum Start der ePA standardmäßig – wenn also kein patientenseitiger Widerspruch vorliegt – einstellen müssen, zählen zunächst vornehmlich Befundberichte über selbst durchgeführte Behandlungen, mit denen Dritte – insbesondere eine andere Ärztin oder ein anderer Zahnarzt – in Gestalt eines Arztbriefes oder eines vergleichbaren Berichts über einen Befund unterrichtet werden, nicht hingegen Befunddaten, die nur der internen Behandlungsdokumentation dienen.
„Die Anzahl dieser gesetzlich vorgeschriebenen Datenbefüllungen dürfte somit in Zahnarztpraxen zum Start der ePA eher gering ausfallen. Neben diesen standardmäßig in die ePA einzustellenden Dokumenten müssen zudem – wie auch schon bei der bisherigen Opt-in-ePA – weitere (selbst erhobene und elektronisch vorliegende) Behandlungsdaten aus der aktuellen Behandlung in die ePA eingestellt werden, wenn die Patientin oder der Patient dies wünscht bzw. verlangt (z. B. eZahnbonusheft-Eintrag).“ Die ebenfalls von der ePA umfassten Medikationsdaten wiederum fließen ohne Zutun der Praxen automatisch vom E-Rezept-Fachdienst in die ePA.
Wie bei anderen Leistungserbringern auch, können Patienten in einer Zahnarztpraxis die Erstbefüllung nachfragen. Konkret gemeint sind erstmalige Einträge in die ePA mit versorgungsrelevanten medizinischen Daten aus der konkreten aktuellen Behandlung des Versicherten. „Ein erstmaliges Befüllen in diesem Sinne liegt vor, wenn – sektorenübergreifend – noch kein Arzt, Zahnarzt oder Psychotherapeut einen Eintrag in der ePA des Versicherten vorgenommen hat. Das heißt, wenn eine Zahnärztin oder ein Zahnarzt als erste oder erster eine Eintragung in die ePA vornimmt, kann sie oder er die BEMA-Position ePA1 abrechnen anstatt der Position ePA2.“ Das gelte auch dann, wenn der allererste Eintrag das eZahnbonusheft betreffe. Die Verpflichtung zur Erstbefüllung sei dem Umfang nach auf den aktuellen Behandlungskontext beschränkt.
Bei der Abrechnung setzen Vertragszahnärzte dann die mit 4 Punkten bewertete Position ePA1 an. Die Leistung umfasst konkret die Erfassung, Verarbeitung oder Speicherung von versorgungsrelevanten zahnmedizinischen Informationen oder Angaben zum Bonusheft aus der aktuellen Behandlung des Versicherten für eine erstmalige einrichtungs-, fach- und sektorenübergreifende Dokumentation in der elektronischen Patientenakte auf Verlangen des Versicherten, die Prüfung, ob erhebliche therapeutische Gründe oder erhebliche Rechte Dritter einer Übermittlung in die elektronische Patientenakte entgegenstehen, die Prüfung und ggf. Ergänzung der zu den Dokumenten gehörenden Metadaten, die Einholung der Einwilligung des Versicherten in den Zugriff auf Daten in dessen elektronischer Patientenakte.
Die Leistung nach Nr. ePA1 ist einrichtungs-, fach-und sektorenübergreifend nur einmal je Versicherten und elektronischer Patientenakte abrechenbar. Die Leistung nach Nr. ePA1 ist nicht neben der Leistung nach Nr.ePA2 abrechenbar. Kommt ein Patient mit einer bereits erstbefüllten ePA in die Praxis, so darf diese dann für die Aktualisierung nur die BEMA-Position ePA2 abrechnen, die mit 2 Punkten bewertet ist. Die Leistung nach Nr. ePA2 ist höchstens einmal je Sitzung abrechenbar.
Verbindlich für die Leistungserbringer ist übrigens auch der patientenseitig geäußerte Wunsch nach einer nur teilweisen Befüllung seiner ePA. Das gilt selbst dann, wenn das Weglassen ein falsches Gesamtbild erzeugen könnte. Denn der ePA-Inhalt liegt in der Eigenverantwortung der Patienten. „Ein Widerspruch gegen einzelne Datensätze ist derzeit nur bei einer Anwendung ausgeschlossen, dem digital gestützten Medikationsprozess. Hier können die Patientinnen und Patienten gegenüber ihrer Krankenkasse nur der gesamten Anwendung widersprechen“, verdeutlicht die KZBV.
Praxisteams müssen auch dem Wunsch nachkommen, die im PVS geführte Patientenakte in die ePA zu übertragen – dafür muss allerdings die Einwilligung in der Praxis dokumentiert werden.
Wichtig für den Praxisalltag ist auch zu wissen, dass Patienten nur einen begrenzten Anspruch auf das Hochladen von Daten gegenüber dem Praxisteam haben. So ist etwa ein digitales Röntgenbild ok, wenn dem keine technischen Hürden entgegenstehen. „Zahnärztinnen und Zahnärzte sind verpflichtet, ihre Patientinnen und Patienten über diese Möglichkeit zu informieren. Machen diese davon Gebrauch, müssen die Daten in die ePA übertragen und die Einwilligung in der Behandlungsdokumentation festgehalten werden“, so die KZBV.
Analoge Röntgenbilder müssen seitens der Praxen hingegen explizit nicht in die ePA eingestellt werden, weil sie eben nicht in elektronischer Form vorliegen. Das Einpflegen von Informationen in Papierform ist Aufgabe der Krankenkasse, worauf das Praxisteam explizit hinweisen kann. Die Kassen wurden gesetzlich verpflichtet, innerhalb von 24 Monaten zweimal jeweils bis zu zehn Dokumente zu digitalisieren und einzustellen. Zudem können auch die Patienten selbst Befunde einscannen und in der ePA speichern.
Laut KZBV gibt es aktuell keine Dokumente, die für das Einstellen in die ePA extra signiert werden müssen. Eine organisatorische Erleichterung für das Praxisteam ist es auch, dass das Befüllen der ePA delegierbar ist. Außerdem steht den Praxen in der Regel ein Zeitraum von 90 Tagen zur Verfügung, da die voreingestellte Zugriffszeit auf die Aktensysteme standardmäßig 90 Tage beträgt und die Patienten respektive deren Gesundheitskarten für die Übertragung nicht physisch in der Praxis anwesend sein müssen. „Dabei ist jedoch zu beachten, dass die Zugriffszeit von den Patientinnen und Patienten verkürzt oder verlängert werden kann. Es wird daher empfohlen, die medizinischen Daten zeitnah in die ePA zu übertragen“, so die KZBV.
Denn nach Ablauf der Zugriffsberechtigung könnten keine Daten mehr eingestellt werden. Sollten Patientinnen und Patienten während einer aktiven Zugriffsberechtigung ihren Widerspruch erklären, verzichten sie damit auf das Einstellen weiterer Daten in die ePA. „Die Zahnarztpraxis kann und darf in diesem Fall nicht mehr mit der ePA interagieren“, stellt die KZBV klar.
Damit jederzeit nachvollzogen werden kann, wer Einträge in die ePA vorgenommen hat, werden die Daten mit Metadaten versehen. Das sind Zusatzinformationen wie der Name des Erstellers oder die Dokumentenart. Im Idealfall unterstützt das PVS bei der Eingabe dieser Metadaten durch entsprechende Voreinstellungen und befüllt bestimmte Felder automatisch.
Zukünftig wird es, so der Hinweis der KZBV, zudem immer mehr Dokumente in einem einheitlichen und standardisierten Format geben, sogenannte medizinische Informationsobjekte (MIO), die automatisch im PVS angezeigt und weiterverarbeitet werden können. Das werde den Aufwand für die Zahnarztpraxen reduzieren, heißt es.
Angesichts der vom CCC vergangenen Dezember bekundeten Sicherheitslücke weist die KZBV auf die Eigenverantwortung des gesamten Praxisteams hin. Grundlage des CCC-Angriffs seien zwei verschiedene Angriffsvektoren gewesen – einerseits ein freigeschalteter Praxisausweis (SMC-B) inklusive PIN plus selbst beschaffter TI-Zugangstechnik und andererseits der vollständige Zugang zur IT einer Praxis. „Die SMC-B konnten sich die Sicherheitsforscher des CCC über den Gebrauchtmarkt von eHealth-Kartenterminals beschaffen (mit aufgeklebter PIN der SMC-B), während sie sich den Zugang zur Praxis-IT (inkl. aller Zugangsdaten) durch ein vorgetäuschtes Angebot von IT-Dienstleistungen erschleichen konnten“, so die KZBV.
Die Sicherheitsforscher wären damit grundsätzlich in der Lage gewesen, die Telematik-Identität und die Konnektor-Schnittstelle der angegriffenen Praxis zu nutzen und somit auf die ePA-Akten zuzugreifen, für die eine ePA-Befugnis für die Telematik-ID der verwendeten SMC-B eingestellt worden ist. Davon wären alle Versicherten mit ePA betroffen gewesen, die in den letzten 90 Tagen in der angegriffenen Praxis vorstellig geworden sind oder die Praxis über ihre ePA-App für den Zugriff berechtigt haben.
Für den Zugang zur Praxis-IT nutzten die Sicherheitsforscher des CCC das Vertrauen eines Praxismitarbeiters aus, um ihn gezielt zu manipulieren. Dieses Social Engineering sei kein spezielles TI-Thema, sondern finde heute grundsätzlich im Kontext digitalen Betrugs im Internet statt – zum Beispiel in Form des Phishing.
Bei Angriffen mittels Social Engineering täuschen die Täter das Opfer über ihre Identität und ihre Absichten. Im konkreten Fall hätten sich die Sicherheitsforscher des CCC als angeblicher IT-Dienstleister ausgegeben. Unter dem Vorwand, ein vermeintliches Sicherheitsproblem mittels Remote-Zugriffs zu lösen, wurden Zugangsdaten und Passwörter erfragt. Das Opfer handelte im Glauben, das Richtige zu tun, und händigte die Daten aus. Dadurch gelangten die Sicherheitsforscher in das ansonsten geschützte Praxisnetz und kamen so auch in den Zugriff auf die Konnektor-Schnittstelle.
Um das Risiko von Social Engineering zu reduzieren, sollten Zahnarztpraxen laut KZBV nachfolgende Regeln beachten. Grundsätzlich sollte kein Teammitglied Auskunft am Telefon oder per E-Mail geben zu Passwörtern, Zugangsdaten oder sonstigen sensiblen Daten der Praxis. Seriöse IT-Dienstleister und Firmen forderten ihre Kunden niemals per E-Mail oder Telefon zur Angabe von vertraulichen Informationen auf – schon gar nicht beim Erstkontakt. Grundsätzlich sollte immer die Identität und Berechtigung des Anfragenden sichergestellt werden. Im Zweifelsfall sollten Kolleginnen und Kollegen oder die Praxisleitung bei der Klärung einbezogen werden.
Nicht überreden lassen: Gerade, wenn der Anfragende nicht locker lässt und versucht, mit Praxiskenntnissen und durch Überredung an die gesuchten Informationen zu gelangen, sollten Praxen sich nicht unter Druck setzen lassen. In diesem Fall geht Sicherheit vor Freundlichkeit.
Besondere Vorsicht sei bei E-Mails von unbekannten Absendern walten zu lassen. Im Zweifelsfall sollte gar nicht auf die E-Mail reagiert werden oder, falls möglich, durch einen Telefonanruf bei einer bereits zuvor bekannten Rufnummer des vermeintlichen Absenders nachgefragt werden.
Da für die IT-Sicherheit alle Mitarbeitenden verantwortlich seien, so die KZBV, solle das gesamte Praxispersonal regelmäßig zu Informationssicherheitsthemen geschult werden. Wichtig sei auch, IT-Dienstleister bei ihrer Arbeit in der Praxis zu beaufsichtigen, wenn sie an IT-Systemen arbeiten und potenziell die Möglichkeit besteht, dass dabei Patientendaten eingesehen werden können. Passworteingaben sollten immer durch das Praxispersonal erfolgen.
Bis dato scheint zumindest patientenseitig kein nennenswerter Widerstand gegen die ePA für alle aufgekeimt zu sein. Wie es aus dem BMG zum Start des Roll-outs hieß, hätten erst 5 Prozent der Versicherten bei ihrer Kasse der Einrichtung der ePA 3.0 widersprochen. Die Techniker Krankenkasse – mit 12 Millionen Versicherten Deutschlands größte Kasse – gab zu dem Zeitpunkt an, dass etwa eine halbe Million Mitglieder ihre ePA aktiv nutzten. Wie Lauterbachs Amtsnachfolgerin Nina Warken (CDU) mit dem Themenkomplex ePA 3.0 umgehen wird, bleibt derzeit noch offen. Auf der gesundheitspolitischen Agenda in Berlin dürfte die ePA für alle jedoch noch für eine längere Zeit eine prominente Position einnehmen.
Praxismanagement
Der Startschuss für die „ePA für alle“ fällt in wenigen Tagen – und schon im Februar könnte der Roll-out für alle Praxen beginnen. Was ist…
Freier Zugriff
12 Minuten Lesezeit
Praxismanagement
Zu Franken und Hamburg kommt eine weitere Modellregion: Die elektronische Patientenakte (ePA) wird auch in Nordrhein-Westfalen vier Wochen lang in ausgewählten Gebieten einem Praxistest in…
Freier Zugriff
2 Minuten Lesezeit
Praxismanagement
Die Bundesversammlung der Bundeszahnärztekammer wappnet sich für den sich abzeichnenden Regierungswechsel im Reichstag. In einem Reigen an Resolutionen gibt sie der neuen Koalition konkrete Handlungsempfehlungen…
Freier Zugriff
9 Minuten Lesezeit
Melden Sie sich jetzt an und erhalten Sie exklusiven Zugang zu: