Was Ärzte über die Cyber-Versicherung wissen sollten
Medizinische Expertise: Dr. med. NonnenmacherQualitätssicherung: Dipl.-Biol. Elke Löbel, Dr. rer nat. Frank Meyer
Letzte Aktualisierung am: 29. Oktober 2021Dieser Artikel wurde unter Maßgabe medizinischer Fachliteratur und wissenschaftlicher Quellen geprüft.
Sie sind hier: Startseite Ratgeber Was Ärzte über die Cyber-Versicherung wissen sollten
Bedrohungen durch Hackerangriffe nehmen zu. Nicht umsonst schließen immer mehr Gesundheitsdienstleister eine Cyber-Haftpflichtversicherung ab. Diese schützt Mediziner bei Datenschutzverletzungen und Online-Angriffe.
Inhaltsverzeichnis |
Was die Cyber-Versicherung für Ärzte leistet
Eine Cyber-Haftpflichtversicherung deckt Verluste und Schäden ab, die dadurch entstehen, dass Patientendaten gestohlen, offengelegt, unrechtmäßig weitergegeben und als Lösegeld erpresst werden. Die Versicherung übernimmt dabei sowohl vorsätzliche Handlungen wie Angriffe durch Hacker und Ransomware als auch Unfälle wie den Verlust eines Laptops mit unverschlüsselten Patientendaten oder Kodierungsfehler, durch die versehentlich Patientendaten preisgegeben werden.
Eine umfassende Police sieht zudem den Schutz von Papierunterlagen vor, da viele Informationen noch immer in physischen Akten festgehalten werden. Kurzum: Die Cyber-Versicherung für Ärzte deckt speziell die Cyber-Risiken von Ärzten ab. Neben der eigentlichen Deckung besteht ein weiterer Vorteil der Cyber-Versicherung darin, dass das Krisenmanagement an einen Anbieter mit Erfahrung bei Datenschutzverletzungen übergeben werden kann. Die meisten Praxen haben weder die Zeit noch die Ressourcen, sich selbst darum zu kümmern.
Sobald ein Versicherer von einem Versicherungsnehmer über eine Datenschutzverletzung informiert wird, bewertet er die Situation und entscheidet, welche Abhilfemaßnahmen ergriffen werden müssen, um weiteren Schaden zu verhindern und die Folgen zu bewältigen. Der Versicherer beauftragt Anbieter und Auftragnehmer mit der Erbringung der erforderlichen Dienstleistungen. So würde sich beispielsweise ein Anwalt um die Benachrichtigung kümmern, IT-Spezialisten würden die Sicherheitslücke ausfindig machen und beheben und eine PR-Firma würde die Benachrichtigung der Patienten verfassen, deren Daten betroffen sind.
Bei diesen Szenarien schützt die Cyber-Haftpflichtversicherung für Ärzte
Die Cyber-Versicherung hilft Anbietern, die Folgen einer Datenschutzverletzung zu bewältigen, die von geringfügig bis hin zu katastrophal reichen können. Sie deckt fast alle Verluste oder Kosten ab, die auf die Verletzung zurückgeführt werden können.
Beispiele hierfür sind die Zahlung von Geldstrafen und Bußgeldern oder auch die Entschädigung für Einkommensverluste durch Ausfallzeiten oder Patienten, die die Praxis verlassen. Weitere Maßnahmen sind die Beauftragung von IT-Experten, um die Sicherheitsverletzung zu finden und zu beheben und die Vertretung der Praxis vor Gericht bei eventuellen Klagen von Patienten sowie bei Schadensersatzforderungen.
Die Entscheidung, ob bei Ransomware gezahlt werden soll, liegt bei der Praxis, aber der Versicherer empfiehlt in der Regel eine Vorgehensweise und kümmert sich um die Zahlung, falls eine solche erfolgt. Der Versicherungsschutz gilt in der Regel nur für die Daten und nicht für die Computerhardware, die eine Praxis verwendet, wie Laptops, Smartphones, Tablets oder Server, die oft durch eine allgemeine Geschäftsversicherung abgedeckt sind.
Eine vollständige Police umfasst eine Erst- und eine Haftpflichtversicherung. Die Haftpflichtversicherung kommt für Schäden auf, die der Versicherungsnehmer erlitten hat, wie Umsatzeinbußen, Betriebsunterbrechung und Datenwiederherstellung. Die Drittschadendeckung entschädigt für Schäden, die anderen durch die Datenpanne entstanden sind, wie die Rechtskosten, die durch Klagen von betroffenen Patienten entstanden sind.
Bevor sie sich für den Abschluss einer zusätzlichen Cyber-Versicherung entscheiden, sollten die Ärzte wissen, welchen Versicherungsschutz sie bereits haben.
Kleine Praxen im Fokus der Hacker
Datenschutzverletzungen im Gesundheitswesen sind an der Tagesordnung. In einer Umfrage der American Medical Association und Accenture aus dem Jahr 2017 gaben 83 Prozent der Ärzte an, dass sie in irgendeiner Form von Cyberangriffen betroffen waren, auch wenn nicht alle zu Datenschutzverletzungen führten.
Cyberkriminelle haben es auf Gesundheitseinrichtungen abgesehen, weil deren Daten Patientennamen, Geburtsdaten, Adressen, Sozialversicherungsnummern, Kreditkartennummern und Krankenversicherungsinformationen enthalten. Unabhängig davon, ob die Hacker die Informationen selbst nutzen oder auf dem Schwarzmarkt an andere verkaufen, werden sie zum Diebstahl von Identitäten und für Betrügereien verwendet.
Aus diesem Grund sind Daten aus dem Gesundheitswesen sogar noch wertvoller als Kreditkartendaten. Unter den riesigen Krankenversicherern und großen Krankenhaussystemen befinden sich auch Arztpraxen, die auf die harte Tour erfahren mussten, dass auch sie ins Visier von Hackern geraten können. Gerade die kleineren Praxen sind anfällig.
Sie konzentrieren sich auf die Behandlung der Patienten und nicht darauf, ihre Laptops zu verschlüsseln und sicherzustellen, dass sie über die neuesten Sicherheitsmaßnahmen verfügen. Tatsächlich testen und verfeinern einige Hacker ihre Methoden in kleinen Praxen, bevor sie größere Ziele wie Gesundheitssysteme angreifen.
Wie hoch sind die Kosten?
Die Kosten für eine Cyber-Versicherung variieren je nach Anbieter, Größe der Praxis sowie Umfang und Höhe des Versicherungsschutzes. Je größer die Praxis ist, desto größer ist das Risiko und desto teurer wird eine Police. Die gute Nachricht ist, dass Cyber-Versicherungen weniger teuer sind als Kunstfehler- und Haftpflichtversicherungen.
Der Versicherungsschutz kann bei allgemeinen Versicherern oder bei Unternehmen, die sich auf Cyber-Versicherungen spezialisiert haben, abgeschlossen werden. Einige Versicherer bewerten die Cybersicherheitspraktiken einer Praxis, bevor sie entscheiden, ob sie eine Police abschließen.
Brauche ich eine Cyber-Versicherung?
Die Cyber-Versicherung ist eine neue Art der Absicherung, die Unternehmen und Privatpersonen vor Risiken im Zusammenhang mit informationstechnischen Infrastrukturen und Aktivitäten schützen soll.
Generell sollte jede Privatperson oder jedes Unternehmen, das elektronische Daten über Personen sammelt, den Abschluss einer Cyber-Versicherung in Erwägung ziehen, denn sie sind eine der größten Lücken im heutigen Versicherungsschutz. Die Entscheidung, ob Sie oder Ihre Praxis oder Klinik in irgendeiner Form einem potenziellen Haftungsrisiko ausgesetzt sind, hängt jedoch von einer einfachen Frage ab:
Sind Sie jemals dafür verantwortlich, persönliche, finanzielle, familiäre oder medizinische Daten eines Patienten in einem elektronischen Format zu erfassen oder aufzuzeichnen? Wenn die Antwort "Ja" lautet, dann besteht ein Cyber-Haftungsrisiko. Sie sollten darüber nachdenken, Ihre gewerbliche Sach- und Haftpflichtversicherung für Ihre Klinik oder Praxis um eine Cyber-Versicherung zu ergänzen.
Fazit
Täglich werden Patientendaten zwischen Praxen, Versicherern, Krankenhäusern und Labors ausgetauscht. An je mehr Orten die Daten gespeichert werden, desto anfälliger sind sie für Angriffe und eine versehentliche Offenlegung. Selbst eine Praxis, die nicht direkt betroffen ist, kann für den Verlust von Daten durch einen Partner oder Lieferanten haftbar gemacht werden.
Viele Datenschutzverletzungen betreffen elektronische Patientendatensysteme. Obwohl die Anbieter elektronischer Aufzeichnungen in der Regel mit IT-Experten zusammenarbeiten, um den Verstoß zu finden und zu beheben, bedeutet dies nicht, dass die Anbieter rechtlich oder finanziell verantwortlich sind. Viele Praxen gehen davon aus, dass ihr Patienten-System für Verstöße oder Schäden aufkommt, aber das ist nicht immer der Fall.
Beim Abschluss einer Cyber-Versicherung sollten Praxen genau prüfen, welche Unterstützung sie im Falle einer Datenschutzverletzung erhalten. Anders als bei einem Brand ist für die Bewältigung einer Datenschutzverletzung oft die Hilfe eines Expertenteams erforderlich, nicht nur ein Geldbetrag zur Deckung des Schadens.
Je nach Art und Umfang der Datenschutzverletzung kann dieses Team aus Anwälten, Wirtschaftsprüfern und IT-Experten bestehen. Praxen sollten prüfen, welche Art von Cyber-Schutz und -Versicherung ihre Partner und Anbieter haben, um gemeinsam für die Sicherheit ihrer Daten zu sorgen.