Wirtschaft

Mit dem E-Rezept kommen die Versicherungslücken

Warum eine Cyberpolice für Apotheken zur Notwendigkeit wird

Die Digitalisierung der Gesundheitsbranche schreitet immer weiter voran. Zwar hakt es bei der Einführung des E-Rezepts noch. Doch die Bundesregierung will das digitale Rezept bis 2025 zum Standard in Apotheken und Arztpraxen machen. Das bedeutet nicht nur Arbeitserleichterungen und mehr Medikationssicherheit, sondern schafft auch neue virtuelle Fenster, die Kriminelle aufstemmen können.

Noch fristet das E-Rezept ein Nischendasein. Laut dem TI-Dash­board der Gematik wurden bis zum 4. Januar 2023 lediglich 898.373 elektronische Verordnungen eingelöst. Als Vorreiter bei der Einführung des E-Rezepts waren die KV-Bezirke Westfalen-Lippe und Schleswig-Holstein auserkoren. Aufgrund der Bedenken von Datenschutzbeauftragten wurden die Projekte jedoch gestoppt. Angesichts solcher Schwierig­keiten werden Zweifel laut, dass die vom Bund gewünschte Etablierung des E-Rezepts bis 2025 als Standard im Gesundheitswesen realistisch ist. Doch bedeuten die Probleme bei der Einführung des E-Rezepts, dass Apotheken ihre Cybersicherheit auf die lange Bank schieben können?

Besser nicht. Zum einen wird bereits an technischen Anpassungen gearbeitet, um die Forderungen der Datenschutzbeauftragten zu erfüllen. Mitte 2023 sollen sie vorliegen. Und zum anderen hat der Roll-out am 1. September 2022 ja tatsächlich begonnen. Apotheken müssen sich also auf die Neuerung einstellen, selbst wenn bislang keine oder fast keine Kunden mit digitalem Rezept in die Offizin kommen.

Was ist zu tun? Selbstverständlich müssen neue Abläufe internalisiert und Technik implementiert werden. Zusätzlich ist zwingend angeraten, den aktuellen Versicherungsschutz in Bezug auf Cyberangriffe zu prüfen, denn die gängige Praxis, dass Papierrezepte bei Abrechnungszentren über Valorenversicherungen geschützt sind, wird sich in absehbarer Zeit radikal ändern: E-Rezepte fallen – zumindest bislang – nicht unter diese Art des Versicherungsschutzes.

Rechtsverbindlicher Schutz besteht nur, wenn explizit Datenrechts­verstöße im Zusammenhang mit E-Rezepten als neues Risiko ein­geschlossen sind. Denn die Werteversicherung schützt nicht, wenn Hacker oder Schadprogramme Daten abgreifen, löschen oder verschlüsseln. Für die Absicherung solcher Schäden wird ein gesonderter Cyberschutz benötigt. Dieses Absicherungskonzept greift grundsätzlich immer dann, wenn eine Netzwerksicherheits- oder eine Informationssicherheits­verletzung vorliegt und ein anderer Versicherungsschutz nicht besteht.

Neues Risiko: Netzwerk­sicherheitsverletzungen

Ein gänzlich neues Risiko: Nachdem in einer Apotheke ein Medikament an einen Kunden mit E-Rezept abgegeben wurde, befindet sich im System der Apotheke ein E-Rezept-Bundle. Das besteht aus dem vom Arzt signierten E-Rezept, dem Abgabesatz der Apotheke und der Quittung vom Fachdienst – also dem zentralen Server der Telematikinfrastruktur. Damit ist das Bundle fast so etwas wie Bargeld. Genau hier muss zukünftiger Cyberschutz greifen, und zwar exakt bis das E-Rezept-Bundle beim Rechenzentrum eingegangen ist. Zentral ist auch hier, dass die Cyberpolice das E-Rezept explizit als versichert definiert.

Praxistipp

Bitte stellen Sie sicher, dass die Police „schwere Risiken“ wie Großhandel, Versandapotheken, Kliniken, Fachärzte oder gar Industriekunden ausdrücklich ausschließt. Denn dann würden Sie für diese Risiken mitzahlen, die in Apotheken so nicht existieren.

Allerdings gibt es für Apotheken selbst mit der besten Cyberpolice Risiken, die nicht versicherbar sind. Fällt beispielsweise die Telematikinfrastruktur aus, dann gibt es – zumindest bislang – keinen Versicherungsschutz. Gleiches gilt für den Ausfall der öffentlichen Versorgung.

Problem 72-Stunden-Frist

Eine wirklich gute Cyberpolice muss exakt dann eintreten, wenn Werte-, Rechtsschutz- oder Haftpflichtversicherung nicht greifen. Das kann der Fall sein, wenn Dritte geschädigt wurden, weil sie von einem gekaperten Apotheken-PC oder vom apothekeneigenen Onlineshop Malware erhalten haben. Und da IT-Attacken auch die Hardware in Apotheken beschädigen oder zerstören können, sollten nicht nur Computer und Co. versichert sein, sondern auch eine Betriebsunterbrechung. Schließlich führt ein Ausfall der IT in einer Apotheke mindestens zu einer Einschränkung des Betriebs, wenn nicht zu einer unfreiwilligen Schließung. Faustregel hier: Der abgesicherte Unterbrechungszeitraum sollte möglichst großzügig bemessen sein.

Gern übersehen, aber eigentlich unverzichtbar sind zudem Assistance-Leistungen. Denn wie können Apotheken die 72-Stunden-Frist einhalten, die die Europäische Datenschutz-Grundverordnung (DSGVO) festschreibt? Zur Erinnerung: Nachdem eine Cyberattacke bemerkt wurde, bleiben Unternehmen 72 Stunden, um Behörden und Kunden schriftlich zu informieren. Ist dies nicht möglich, muss dies gegenüber den Behörden begründet werden. Für kleine Unternehmen ist das schon im Normalbetrieb eine Herkulesaufgabe. Doch wenn die IT nach einem Angriff ausgefallen ist und in der Apotheke alles drunter und drüber geht, sind kaum Kapazitäten frei. Die allermeisten Apotheken dürften an der 72-Stunden-Frist scheitern und dann droht Ungemach, es sei denn, den Behörden kann eine nachvollziehbare Begründung für die Fristverletzung gegeben werden. Die sollte aber juristisch hieb- und stichfest sein. Wird nämlich die Frist nicht eingehalten, landet der Fall bei der Staatsanwaltschaft. Die muss dann entscheiden, ob sie ein Verfahren einleitet – gegen die Apotheke wohlgemerkt.

Deshalb sollte es Assistance-Leistungen geben, die Apotheken in die Lage versetzen, allen Pflichten nachzukommen. Der Versicherer sollte konkret über eine Hotline verfügen und Zugriff auf IT-Forensiker sowie Fachanwälte haben, die eine rechtssichere Information übernehmen. Weitere Unterstützungen, die sehr wertvoll sein können, sind Callcenter-Leistungen, eine PR-Beratung und Rechtsberatung, wenn es etwa zu Untersuchungen von Behördenseite kommt.

Moderne Einbrecher steigen durch Windows und Co. ein

Andere fakultative Erweiterungen der Cyberpolice, über die nach­gedacht werden sollte, betreffen den Versicherungsumfang: Ist ein Schutz bei Cybererpressungen erwünscht? In der Vergangenheit wurden Daten zahlreicher Unternehmen von Ransomware verschlüsselt. Danach sollte ein Lösegeld für die „Freilassung“ der Daten bezahlt werden. Auch Apotheken waren betroffen.

Wie sieht es mit einem Schutz bei Persönlichkeits- und Urheberrechtsverletzungen aus? Unter Umständen ist auch eine Versicherung gegen PCI-Vertragsstrafen, die bei Verletzung von Kreditkartenverarbeitungsvereinbarungen durch einen E-Payment Service Provider verhängt werden können, sinnvoll. Versicherbar sind zudem Kosten bei technischen Hard- oder Softwarefehlern in der Apotheke, für die Wiederherstellung von Daten sowie für die Neuanschaffung beschädigter Hardware nach einem Angriff. Ob das im Einzelfall nötig ist, müssen Inhaber selbst entscheiden.

Aber komplett auf einen Cyberschutz zu verzichten, ist keine Lösung. Denn: „Cybercrime ist heutzutage ein professionelles Geschäft“, warnt das Bundes­kriminalamt. Im Darknet gibt es zahlreiche Marktplätze für illegale Waren. Datensätze von Krebs­patienten etwa werden für rund 800 Dollar pro Stück gehandelt, sagen Experten.

Deshalb sollten Apotheker jetzt drei Tatbestände überprüfen lassen:

  • 1. Die Cyberschutz-Haftung bei Viren- oder Trojaner-Versand von der Apotheke an andere Empfänger.
  • 2. Den Cyberschutz in der Werteversicherung für Kosten, die der Apotheke durch einen Angriff von außen entstehen (Software, Hardware, Daten­wiederherstellung, Betriebs­unterbrechung).
  • 3. Die Mitversicherung der garantierten Einhaltung der Vorgaben der DSGVO in Bezug auf Meldepflichten und die damit verbundenen Kosten für Datenrechtsanwälte und IT-Forensiker.

Zum dritten Punkt sollte obendrein in der Police geregelt sein, dass der Versicherer die notwen­digen Experten tatsächlich bereitstellt, so wie Rechtsschutzversicherer Anwaltspools anbieten oder Automobilclubs Notfallservice leisten. Denn Apothekeninhaber haben nur 72 Stunden für die Erledigung ihrer Obliegenheiten. |

Oliver Scholl, PharmAssec GmbH, Kirchheim unter Teck, oliver.scholl@pharmassec.de, weitere Informationen: www.apo-helfer.de

Literaturtipp

Richtig abgesichert?

Ein Wasserschaden im Labor, ein vergessener Elefantenfuß im Kommissionierer oder gar eine pandemiebedingte Schließung der Apotheke kann drastische Folgen für die Apotheke haben.

Informieren Sie sich, welche Versicherungen Sie unbedingt brauchen und erfahren Sie,

  • wie Sie eine Unterversicherung vermeiden,
  • wann Ihre Versicherung für einen entstandenen Schaden aufkommt und
  • welche unvorhergesehenen Fallstricke es gibt.

Mit diesem Buch behalten Sie stets den Überblick und sind für Unvorhergesehenes gewappnet. Eine unverzichtbare Hilfestellung für jeden Apothekeninhaber!
 

Von Michael Jeinsen / Heiko Beckert
Versicherungen für Apotheken
Richtig absichern – Fehler vermeiden
2021, XIV, 194 S., 9 farb. Abb., 3 s/w Tab., 
17,0 × 24,0 cm, kartoniert
Deutscher Apotheker Verlag
ISBN 978-3-7692-7629-9

Schnell und einfach bestellen:
Deutscher Apotheker Verlag, Postfach 10 10 61, 70009 Stuttgart, Tel. 0711 2582-353, Fax 0711 2582-290, service@deutscher-apotheker-verlag.de
www.deutscher-apotheker-verlag.de

Das könnte Sie auch interessieren

Hackerangriffe, Geräteschaden etc. 

Kann man sich gegen TI-Ausfall versichern?

Jetzt schon auf das E-Rezept vorbereiten / Nicht nur an Angriffe von Hackern denken

TI-Ausfall: Welchen Schutz bieten Versicherungen?

Nachfrage beim Versicherungsexperten

Kann man sich gegen Stromausfälle versichern?

Warum Apothekenmitarbeiter niemals Repräsentanten sein sollten

Teuerfalle Eigenschäden

Diesen Schutz benötigen Apotheken zum Start

Bei Neugründungen Versicherungen nicht vernachlässigen

Sieben Fragen und Antworten zur elektronischen Verordnung

Eine Zwischenbilanz zum E-Rezept

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.