Produkt- und Sicherheitsgutachten für die Telematikinfrastruktur

09 März, 2022

Ihr Experte für Fragen

Jörg Asma ist Ihr Experte für Telematikinfrastruktur bei PwC Deutschland

Jörg Asma
Partner Cyber Security und Leiter Digital Healthcare bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail

Wir treiben die Digitalisierung und Cybersicherheit im Gesundheitswesen voran

Auch im deutschen Gesundheitssystem geht es mit der Digitalisierung endlich voran. 2018 hat die gematik GmbH, die Gesellschaft für Telematikanwendungen der Gesundheitskarte, den Grundstein für eine allgemeine digitale Gesundheitsinfrastruktur in Deutschland gelegt. Hersteller und Anbieter müssen verschiedene Regeln der gematik berücksichtigen, wenn sie sich an der Telematikinfrastruktur beteiligen wollen.

Anbieter haben verschiedene Möglichkeiten, zur Digitalisierung des Gesundheitswesens beizutragen:

  • Sie können sich mittels Konnektoren Zugang zur Telematikinfrastruktur und damit zum digitalen Gesundheitswesen verschaffen,
  • eigene Gesundheitsprodukte entwickeln und auf den Markt bringen oder
  • Versicherten eine sichere, elektronische Patientenakte bereitstellen.

Ihre Organisation steht kurz vor der ​​gematik-Zulassung für ein Produkt oder strebt diese in der Zukunft an?

Als Gutachter unterstützen wir Sie bei der Zulassung von Produkten und Systemen. Wir erstellen Produkt- und Sicherheitsgutachten für die Telematikinfrastruktur – egal, ob es um eine elektronische Patientenakte oder Versichertenstammdatenmanagement geht.

Unser Service im Überblick

Projektbegleitende Revision

Sie bereiten gerade die Arbeiten an einem System zur Kommunikation im Gesundheitswesen vor und benötigen eine externe Expertenmeinung? Ihr Unternehmen hat eine Lösung im Umfeld der Telematikinfrastruktur in Planung und braucht bei der Zulassung Unterstützung?

Wir begleiten Sie bereits vor der Entwicklung bei Ihrem Projekt. Unsere Expert:innen stehen Ihnen als sehr erfahrene Wegbegleiter und Sparringspartner zur Seite. Das Ziel unserer projektbegleitenden Revision ist es, Ihnen die Leitplanken der gematik bereits bei der Planung und Umsetzung Ihrer Lösungen aufzuzeigen.

Als Auditoren der gematik kennen wir uns aus: Mit den Anforderungen an die elektronischen Gesundheitskarten (eGK) und deren Herausgabe bis hin zu den technischen Details rund um die komplette Telematikinfrastruktur.

Bevor wir mit der Begutachtung beginnen, können wir schon einzelne Konzepte auf grundlegende Korrektheit prüfen. So lässt sich verhindern, dass Sie bei der eigentlichen Begutachtung unangenehme Überraschungen erleben.

Sicherheitsgutachten

Ihre Implementierungsphase verlief wie erwartet, und Sie sind bereit, Anbieter in der Telematikinfrastruktur zu werden? Prima! Dann fehlt nur noch die formale Zugangserlaubnis der gematik. Dafür müssen Sie einen Sicherheitsaudit erfolgreich durchlaufen. Denn für neue Teilnehmer an der Telematikinfrastruktur gehören Sicherheitsgutachten dazu. Meist werden diese als Vor-Ort-Audits durchgeführt.

Die PwC-Expert:innen sind bei der gematik als „Sicherheitsgutachter TI“ zertifiziert und unterstützen Sie bei diesem wichtigen Schritt. Dabei müssen Sie wissen: Ihre Infrastruktur, Prozesse und Konzepte der Telematikinfrastruktur zu begutachten, ist ein umfangreiches Projekt. Am Ende dieses Prozesses steht unser neutrales Gutachten.

PwC unterstützt Unternehmen seit Jahren erfolgreich durch Prüfungen im Rahmen von Sicherheitsgutachten rund um die Telematikinfrastruktur. Dabei gehen wir flexibel und agil vor und betreuen Sie intensiv bis zum Erhalt der angestrebten Zulassung.

Produktgutachten

Während Sicherheitsgutachten häufig auf Prozesse und Konzepte ausgelegt sind, geht es beim Produktgutachten primär um die technische Sicherheit: Quellcodeanalysen, Penetrationstests und technische Prüfungen stehen hier im Vordergrund. Nur wenn diese Kriterien erfüllt sind, fällt das Produktgutachten positiv aus.

PwC prüft alle Produkttypen der Telematikinfrastruktur, für die Produktgutachten notwendig sind. Mit unseren BSI-zertifizierten IS-Penetrationstestern sorgen wir für technisch umfassende und den Anforderungen der gematik genügende Begutachtungen Ihrer Anwendungen und Systeme.

Wir arbeiten eng mit Ihren Entwicklern und Ihrem Management zusammen und stimmen uns bei Unklarheiten dynamisch mit der gematik ab. Bei der Prüfung eines elektronischen Patientenakte-Frontends des Versicherten (ePA-FdV) erstellen wir ebenfalls die so genannte „Eigendokumentation des Prüfers“. Denn dafür müssen Sie nicht nur die gematik-Anforderungen erfüllen, sondern auch die Vorgaben der BSI-Prüfvorschrift für den Produktgutachter des „ePA-Frontend des Versicherten“ und des „E-Rezept-Frontend des Versicherten“ anwenden.

Unsere Leistungen rund um die Telematikinfrastruktur im Überblick

Projektbegleitende Revision

Wir begleiten Sie bei der Implementierung verschiedener Komponenten der Telematikinfrastruktur – etwa bei der Entwicklung einer Mobile App zur Verwendung mit der elektronischen Gesundheitskarte. Unsere Expert:innen haben Erfahrung bei der Erstellung von Gutachten und können Ihnen wichtige Anhaltspunkte geben, ob Ihre Konzepte und Ihr Vorgehen korrekt sind. Die gematik selbst hat hierbei das letzte Wort über die Zulassung. Es ist jedoch elementar, einen Gutachter zu wählen, der die Anforderungen der gematik richtig versteht und die Implementierung sauber prüft. Denn: Ohne Gutachten gibt es auch keine Zulassung.

Sicherheitsgutachten

Wir erstellen ein Gutachten zu den Bereichen der Telematikinfrastruktur, die für Sie als Hersteller oder Anbieter infrage kommen. Gemeinsam mit Ihnen planen wir den IT-Sicherheitsaudit und führen diesen durch. Dabei erarbeiten wir im Vorfeld, welche Meilensteine Sie wann erreichen müssen.

Produktgutachten

Im Rahmen von Produktbegutachtungen prüfen unsere „Techies“ die Anwendung und das System der Telematikinfrastruktur technisch auf Herz und Nieren. Dabei setzen wir auf Quellcodeanalysen, Penetrationstests und technische Prüfungen, um die ordnungsgemäße Durchführung einer Begutachtung nach den Vorgaben der gematik sicherzustellen. Sobald Sie den IT-Audit erfolgreich absolviert haben, wird Ihr Produkt Teil der Telematikinfrastruktur.

BSI-Prüfvorschrift

Nicht nur das Produktgutachten ist notwendig, um eine App zur elektronischen Patientenakte betreiben zu können. Es braucht zudem eine erfolgreiche Prüfung nach den Vorgaben des BSI. Nur so erhält Ihre App den Zugang zur Telematikinfrastruktur. Unsere Produktgutachter führen Prüfungen nach BSI-Prüfvorschrift durch. Diese Vorschrift kam im Frühjahr 2021 erstmals für das e-Rezept der gematik zur Anwendung. Dabei stehen wir in enger Abstimmung mit dem BSI.

Whitepaper zum Telematikinfrastruktur-Messenger (TIM)

Der Telematikinfrastruktur-Messenger kommt: Was die Einführung eines interoperablen Messaging-Standards für das deutsche Gesundheitswesen bedeutet, erfahren Sie in diesem Whitepaper. Wir erläutern das Instant Messaging im Gesundheitswesen sowie die dezentrale Technik hinter dem TI-Messenger. Zudem finden Sie konkrete Handlungsempfehlungen, damit TIM zum Erfolgsfaktor wird.

Hier downloaden

Zugang zur Telematikinfrastruktur und Go für die elektronische Patientenakte

Wer an der Telematikinfrastruktur teilnehmen möchte, muss verschiedene Aspekte berücksichtigen. Nicht nur intern muss jeder Prozess und jedes System in diesem Kontext vorbereitet sein. Auch extern müssen Sie eine wichtige Hürde nehmen: einen Audit des Produkts und der Prozesse.

Die von der gematik als „Sicherheitsgutachten“ oder „Produktgutachten“ bezeichneten Sicherheitsaudits umfassen die Begutachtung der Prozesse und Systeme. Denn eine digital oder elektronisch abgelegte Information aus dem Gesundheitswesen zu Patient:innen ist besonders schützenswert.
Die strenge Prüfung ist eine wichtige Voraussetzung, damit die Gesellschaft Vertrauen in die Telematikinfrastruktur aufbauen kann.

Das jeweilige Sicherheitsaudit dreht sich zum Beispiel um die Konzepte zu SMC-B-Karte und -Konnektor, die für verschiedene Parteien beim Zugang zur Telematikinfrastruktur umzusetzen sind. Beim Audit steht nicht zwangsläufig nur ein elektronisch arbeitendes System im Vordergrund. Vielmehr geht es um den Prozess, auch außerhalb der IT.

Follow us

Contact us

Jörg Asma

Jörg Asma

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 221 2084-103

Christian Tömmel

Christian Tömmel

Manager, PwC Germany

Hide