Mit dem E-Rezept kommen die Versicherungslücken

Noch fristet das E-Rezept ein Nischendasein. Doch bedeuten die Probleme bei der Einführung, dass Apotheken ihre Cybersicherheit auf die lange Bank schieben können? Besser nicht. Zum einen wird bereits an technischen Anpassungen gearbeitet, um die flächendeckende Einführung zu beschleunigen. Und zum anderen hat der Roll-out am 1. September 2022 ja tatsächlich begonnen. Apotheken müssen sich also auf die Neuerung einstellen, selbst wenn bislang keine oder fast keine Kunden mit digitalem Rezept in die Offizin kommen.

Was ist zu tun? Selbstverständlich müssen neue Abläufe internalisiert und Technik implementiert werden. Zusätzlich ist zwingend angeraten, den aktuellen Versicherungsschutz in Bezug auf Cyberangriffe zu prüfen, denn die gängige Praxis, dass Papierrezepte bei Abrechnungszentren über Valorenversicherungen geschützt sind, wird sich in absehbarer Zeit radikal ändern: E-Rezepte fallen – zumindest bislang – nicht unter diese Art des Versicherungsschutzes.

Rechtsverbindlicher Schutz besteht nur, wenn explizit Datenrechts­verstöße im Zusammenhang mit E-Rezepten als neues Risiko ein­geschlossen sind. Denn die Werteversicherung schützt nicht, wenn Hacker oder Schadprogramme Daten abgreifen, löschen oder verschlüsseln. Für die Absicherung solcher Schäden wird ein gesonderter Cyberschutz benötigt. Dieses Absicherungskonzept greift grundsätzlich immer dann, wenn eine Netzwerksicherheits- oder eine Informationssicherheits­verletzung vorliegt und ein anderer Versicherungsschutz nicht besteht.

Ein gänzlich neues Risiko: Nachdem in einer Apotheke ein Medikament an einen Kunden mit E-Rezept abgegeben wurde, befindet sich im System der Apotheke ein E-Rezept-Bundle. Das besteht aus dem vom Arzt signierten E-Rezept, dem Abgabesatz der Apotheke und der Quittung vom Fachdienst – also dem zentralen Server der Telematikinfrastruktur. Damit ist das Bundle fast so etwas wie Bargeld. Genau hier muss zukünftiger Cyberschutz greifen, und zwar bis das E-Rezept-Bundle beim Rechenzentrum eingegangen ist. Zentral ist auch hier, dass die Cyberpolice das E-Rezept explizit als versichert definiert.

Eine wirklich gute Cyberpolice muss exakt dann eintreten, wenn Werte-, Rechtsschutz- oder Haftpflichtversicherung nicht greifen. Das kann der Fall sein, wenn Dritte geschädigt wurden, weil sie von einem gekaperten Apotheken-PC oder vom apothekeneigenen Onlineshop Malware erhalten haben. Und da IT-Attacken auch die Hardware in Apotheken beschädigen oder zerstören können, sollten nicht nur Computer und Co. versichert sein, sondern auch eine Betriebsunterbrechung. Schließlich führt ein Ausfall der IT in einer Apotheke mindestens zu einer Einschränkung des Betriebs, wenn nicht zu einer unfreiwilligen Schließung. Faustregel hier: Der abgesicherte Unterbrechungszeitraum sollte möglichst großzügig bemessen sein.

Warum zudem Assistance-Leistungen eigentlich unverzichtbar sind und über welche Erweiterungen des Versicherungsumfangs nachgedacht werden sollte, erklärt der Versicherungsexperte Oliver Scholl in der aktuellen AZ 2023, Nr. 1-2, S. 5