Richtlinie des GKV-Spitzenverbands zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme bei Kontakt der Krankenkassen mit ihren Versicherten nach § 217f Absatz 4b SGB V

Präambel

Die GKV-SV Richtlinie "Kontakt mit Versicherten" definiert Anforderungen an die von Krankenkassen zu treffenden Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme bei Kontakt der Krankenkassen mit ihren Versicherten. Sie adressiert nur die Anforderungen, die von Seiten der Krankenkassen bei einem Kontakt mit ihren Versicherten zu berücksichtigen sind, soweit die jeweiligen Kommunikationswege verwendet werden.

1. Geltungsbereich

1.1.

Mit der Richtlinie werden Mindestanforderungen ausschließlich an zu treffende Maßnahmen der Krankenkassen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme bei Kontakt mit ihren Versicherten festgelegt.

1.2.

Vom Regelungsbereich der Richtlinie nicht umfasst sind jene Inhalte und Services, die frei verfügbar und ohne die Notwendigkeit eines Autorisierungsverfahrens zugänglich sind.

1.3.

Die Vorgaben dieser Richtlinie sind für alle Krankenkassen der gesetzlichen Krankenversicherung verbindlich.

1.4.

Der im Anhang zu der Richtlinie bereitgestellte Leitfaden enthält Konzepte, die bei der Umsetzung der Anforderungen der Richtlinie herangezogen werden können. Im Leitfaden wird zudem die Möglichkeit zur Zertifizierung als Nachweis der Umsetzung der Maßnahmen aufgeführt.

2. Begriffsbestimmungen und Definitionen

2.1.

Unter "Kontakt der Krankenkassen mit ihren Versicherten" ist ein Informationsaustausch zwischen Krankenkasse und Berechtigten zu verstehen, bei denen Vertreter der Krankenkassen mit Berechtigten kommunizieren. Dies umfasst den persönlichen, telefonischen, postalischen oder elektronischen Kontakt.

2.2.

Vertreter der Krankenkasse im Sinne dieser Richtlinie sind Personen, die bei der Krankenkasse beschäftigt sind oder ausdrücklich von der Krankenkasse beauftragt wurden mit den Berechtigten zu kommunizieren.

2.3.

Berechtigte im Sinne dieser Richtlinie sind Versicherte oder durch sie bzw. wirksam für sie bestimmte Vertreter.

2.4.

Unter elektronischem Kontakt wird die Kommunikation unter Verwendung von technischen Einrichtungen und Systemen verstanden. Hierzu zählen unter anderem die Kommunikation unter Nutzung von Kontaktformularen, Chats oder E-Mail mit den Krankenkassen.

2.5.

Eine Übermittlung im Sinne dieser Richtlinie kann sowohl mittels elektronischer Übertragungstechniken als auch nicht elektronisch erfolgen. Soweit explizit eine nicht elektronische Übermittlung genutzt wird, wird diese als Bereitstellung bezeichnet. Elektronische Übermittlungen werden als Übertragung bezeichnet.

2.6.

Im Sinne dieser Richtlinie gilt ein Übermittlungsweg als sicher, wenn die Anforderungen nach Punkt 7 dieser Richtlinie erfüllt sind.

2.7.

Unter Identifizierung versteht man einen Vorgang, der dem eindeutigen Feststellen der Identität einer Person dient.

2.8.

Mit der Authentifizierung wird die Echtheit der angegebenen Identität einer Person bestätigt.

2.9.

Mit der Autorisierung werden Berechtigungen (Einräumen von Rechten) einer Identität zugeordnet.

2.10.

Ein Portal im Sinne dieser Richtlinie ist ein über einen Webbrowser abrufbarer Service, auf dessen jeweilige Funktionalitäten nach einer Autorisierung mittels Authentifizierungsverfahren zugegriffen werden kann. Anwendungen im Sinne dieser Richtlinie sind über Betriebssystemsoftware hinausgehende Softwareteile, die auf einem Endgerät ausgeführt werden.

2.11.

Als Anforderungen im Sinne dieser Richtlinie werden Vorgaben bezeichnet, die durch festzulegende Maßnahmen erfüllt werden müssen.

2.12.

In dieser Richtlinie erfolgt die Unterscheidung der Schutzanforderungsniveaus auf Basis der Vertrauensniveaus der eIDAS-Verordnung analog der Technischen Richtlinie TR-03107-1 zwischen den Kategorien "normal", "substantiell" und "hoch". Hierbei ist die Kategorie "normal" im Sinne der TR-03107-1 dem Vertrauensniveau "niedrig" im Sinne der eIDAS-Verordnung zuzuordnen.

3. Ermittlung der Schutzanforderungen und erforderlicher Gegenmaßnahmen

3.1.

Für alle beim Kontakt mit Berechtigten betroffenen persönlichen Daten, sind die erforderlichen Schutzanforderungen entsprechend dem Stand der Technik individuell von der jeweiligen Krankenkasse festzulegen. Zudem sind die gesetzlichen Regelungen zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu beachten. Bei den Festlegungen sind dabei insbesondere die aus einem Verlust der Vertraulichkeit resultierenden Risiken für die informationelle Selbstbestimmung des Berechtigten zu berücksichtigen.

3.2.

Die Festlegungen der Schutzanforderungen für die Daten sind auf Grundlage einer gesamtheitlichen Würdigung aller Prozesse zu treffen, in denen die Daten verwendet werden.

3.3.

Sofern für dieselben Daten in unterschiedlichen Zusammenhängen unterschiedliche Schutzanforderungen ermittelt werden, ist mindestens das höchste ermittelte Schutzanforderungsniveau anzusetzen.

3.4.

Bei besonderen Kategorien von personenbezogenen Daten im Sinne der Datenschutz- Grundverordnung, die insbesondere Gesundheitsdaten umfassen, ist grundsätzlich vom Schutzanforderungsniveau "hoch" auszugehen.

3.5.

In einem Sicherheitskonzept, das aus mehreren Dokumenten für verschiedene Geltungsbereiche bestehen kann, sind von der Krankenkasse Maßnahmen zu beschreiben, die den Anforderungen des ermittelten Schutzanforderungsniveaus der verw...