Ein innovatives Prüf- und Zertifizierungsverfahren von TÜVIT ermöglicht es Videodienstanbietern, den durch die Kassenärztliche Bundesvereinigung (KBV) geforderten Nachweis über die Informationstechniksicherheit ihrer Lösung zu erbringen. Ein entsprechendes Zertifikat gehört zu den notwendigen Voraussetzungen, um als zertifizierter Videodienstanbieter offiziell gelistet zu werden.

Telemedizin wird in der modernen Patientenversorgung zukünftig eine immer größere Rolle spielen. Schon heute kommen vermehrt Videosprechstunden zum Einsatz, die es erlauben, ärztliches Fachpersonal auch auf digitalem Wege aufzusuchen. Damit Patienten diese Online-Sprechstunden auch sicher nutzen können, müssen Anbieter entsprechender Videodienste objektiv belegen, dass ihre Lösung bestimmte Anforderungen an die technische Sicherheit und den Datenschutz erfüllt. Mit Trusted Site Video Consultation (TSVC) bietet TÜV Informationstechnik (TÜVIT) Videodienstanbietern ab sofort ein neues Prüf- und Zertifizierungsprogramm an, mit dem sie den geforderten Nachweis über die Informationstechniksicherheit ihrer Videosprechstundenlösung erbringen können. Das durch TÜVIT eigens entwickelte Verfahren ist seit Anfang 2023 offiziell durch die Deutsche Akkreditierungsstelle (DAkkS) zugelassen. Ziel ist die Überprüfung der relevanten IT-Infrastruktur im Hinblick auf die „Bestimmungen zur Informationstechniksicherheit“ gemäß § 2 der „Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Absatz 1 SGB V“ der Anlage 31b Bundesmantelvertrag-Ärzte (BMV-Ä).

Auf Basis von Dokumentenprüfungen sowie technischer Tests betrachten die IT-Sicherheitsexpert:innen von TÜVIT im Rahmen von TSVC unter anderem die technischen und organisatorischen Maßnahmen der Übertragung sowie die dahinterstehende Verschlüsselung. Zudem untersuchen sie, ob Daten eingesehen werden können oder entgegen den Vorgaben gespeichert werden. Mithilfe von stichprobenartigen Konfigurationsanalysen werden außerdem Löschfristen überprüft, die in Bezug auf die Speicherung von Metadaten bzw. technischen Verbindungsdaten gelten.

Da in Videosprechstunden eingesetzte Videodienste keine schwerwiegenden Sicherheitsrisiken aufweisen dürfen, umfasst das TSVC-Verfahren ebenso die Durchführung von Penetrationstests. Berücksichtigt werden in diesem Rahmen insbesondere die OWASP Top 10 Schwachstellen. Erfüllt ein Videodienst die Prüfkriterien nach Trusted Site Video Consultation, stellt TÜVIT ein Zertifikat für den Geltungsbereich der technischen Verfahren zur Videosprechstunde aus. Dieses hat eine Gültigkeit von 3 Jahren und kann der KBV zur Nachweiserbringung vorgelegt werden. TÜVIT führt ab sofort Prüfungen und Zertifizierungen nach Trusted Site Video Consultation durch. „Im Rahmen der durch die KBV eingeräumten Übergangslösung durften wir Videosprechstunden bereits nach TSVC prüfen und dadurch Erfahrungen mit dem neuen Verfahren sammeln. Umso mehr freuen wir uns, Anbieter von Videosprechstundenlösungen mit der Akkreditierung nach Trusted Site Video Consultation nun auch ganz offiziell auf ihrem Weg zum zertifizierten Videodienstanbieter zu unterstützen“, so Umer Bhatti, Cybersecurity-Experte bei TÜVIT. „Die TSVC-Zertifizierung stellt dahingehend einen wesentlichen Grundpfeiler dar.“

Für die offizielle Listung als zertifizierter Videodienstanbieter fordert die KBV darüber hinaus einen Nachweis über den Datenschutz einer Videosprechstundenlösung. TÜVIT befindet sich derzeit im Akkreditierungsverfahren, um Videodienstanbietern künftig auch die Zertifizierung gemäß Artikel 42 DSGVO anbieten zu können.