HealthPortal der gevko erfüllt höchste Anforderungen an Cloud-Sicherheit im Gesundheitswesen
BSI-C5-Testat Stufe 2 bestätigt Sicherheitsniveau und schafft regulatorische Grundlage für den Cloud-Einsatz in der GKV
Bonn/Berlin, 19.03.2026 (PresseBox) - Die gevko GmbH, IT-Dienstleister aus dem AOK-System, hat für ihren Cloud-Dienst HealthPortal erfolgreich das Testat nach dem Kriterienkatalog „Cloud Computing Compliance Criteria Catalogue (C5:2020)“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) der Stufe 2 erhalten.
Mit dieser Prüfung wird bestätigt, dass sowohl die Konzeption der Sicherheitsarchitektur als auch die Wirksamkeit der implementierten Sicherheitsmaßnahmen im laufenden Betrieb den hohen Anforderungen des BSI-Kriterienkatalogs entsprechen. Die gevko ist damit das erste Unternehmen innerhalb der AOK-Gemeinschaft, das diese umfassende Cloud-Sicherheitsprüfung erfolgreich abgeschlossen hat.
Die erfolgreiche C5-Testierung des HealthPortal hat auch eine strategische Bedeutung für die weitere Digitalisierung innerhalb der GKV. Der Einsatz cloudbasierter Anwendungen gewinnt im Gesundheitswesen zunehmend an Bedeutung, insbesondere bei der Umsetzung digitaler Versorgungsangebote, interoperabler Datenaustauschformate sowie bei der Standardisierung administrativer Prozesse. Mit der C5-Stufe-2-Zertifizierung steht nun eine Plattform zur Verfügung, die den regulatorischen Anforderungen an Cloud-Infrastrukturen im Umfeld der gesetzlichen Krankenversicherung entspricht und damit eine belastbare Grundlage für zukünftige Digitalisierungsprojekte schafft. Dies betrifft insbesondere Anwendungen im Kontext regionaler Versorgungsmodelle, digitaler Einschreibeverfahren, strukturierter Dokumentationsprozesse sowie der Zusammenarbeit zwischen Krankenkassen, Leistungserbringern und weiteren Akteuren des Gesundheitswesens.
Regulatorischer Maßstab für Cloud-Dienste im Gesundheitswesen
Die Bedeutung der C5-Zertifizierung hat in den vergangenen Jahren erheblich zugenommen. Der Kriterienkatalog des BSI gilt mittlerweile als der Sicherheitsmaßstab für Cloud-Dienste, die im Umfeld der gesetzlichen Krankenversicherung eingesetzt werden.
Mit dem Testat erfüllt die gevko zugleich eine zentrale gesetzliche Voraussetzung für den rechtssicheren Einsatz von Cloud-Technologien im Gesundheitswesen. Nach §393 SGB V ist für Cloud-Dienste, die Gesundheits- oder Sozialdaten verarbeiten, ein C5-Testat auf Stufe 2 erforderlich. Damit schafft die Zertifizierung die regulatorische Grundlage dafür, Cloud-basierte Anwendungen auch im sensiblen Umfeld der gesetzlichen Krankenversicherung einzusetzen. In der Praxis wird der C5-Nachweis deshalb häufig als maßgeblicher Sicherheitsstandard („Goldstandard“) für Cloud-Infrastrukturen im deutschen Gesundheitswesen bezeichnet.
Wirksamkeitsprüfung statt reiner Dokumentationsprüfung
Der Kriterienkatalog C5:2020 umfasst mehr als 120 Sicherheitsanforderungen, die sich auf 17 Themenbereiche der Cloud-Sicherheit verteilen. Neben technischen Maßnahmen werden insbesondere auch organisatorische, rechtliche und prozessuale Anforderungen überprüft.
Zu den zentralen Prüfbereichen gehören unter anderem:
- Informationssicherheitsmanagement und Governance-Strukturen
- Netzwerksicherheit, Verschlüsselung und Systemhärtung
- Identitäts- und Zugriffsmanagement
- Risikomanagement und Sicherheitsmonitoring
- Incident- und Notfallmanagement
- Audit- und Kontrollverfahren
- Schulungs- und Sensibilisierungsprogramme
- Datenschutzanforderungen gemäß Datenschutz Grundverordnung
Beitrag zur digitalen Infrastruktur der GKV
„Der C5-Kriterienkatalog zählt zu den anspruchsvollsten Prüfstandards für Cloud-Services und steht für ein besonders hohes Sicherheitsniveau“, sagt Stefan Schaefer, Geschäftsführer der gevko GmbH. „Mit der erfolgreichen Zertifizierung nach C5 Stufe 2 unterstreichen wir unseren Anspruch, mit dem HealthPortal eine sichere und leistungsfähige digitale Infrastruktur für Versorgungsprojekte im Gesundheitswesen bereitzustellen. Gerade im Kontext der zunehmenden Digitalisierung der gesetzlichen Krankenversicherung ist eine belastbare und regulatorisch abgesicherte Cloud-Basis eine zentrale Voraussetzung.“
Die Plattform unterstützt Krankenkassen und Leistungserbringer dabei, Versorgungsverträge digital abzubilden, administrative Prozesse zu standardisieren und innovative Versorgungsmodelle effizient umzusetzen.
Sicherheitsarchitektur auch im Realbetrieb bestätigt
„Die C5-Stufe-2-Prüfung umfasst weit mehr als eine Prüfung von Konzepten und Richtlinien“, erläutert Marc Peltzer, Informationssicherheitskoordinator der gevko GmbH. „Im Rahmen der Wirksamkeitsprüfung wird bewertet, ob die festgelegten Sicherheitsmaßnahmen im täglichen Betrieb tatsächlich funktionieren. Dass wir diese Prüfung erfolgreich bestanden haben, bestätigt, dass unser Informationssicherheitsmanagementsystem und die technischen Schutzmaßnahmen rund um das HealthPortal auch unter realen Betriebsbedingungen zuverlässig greifen.“
Die Zertifizierung ist zugleich Teil eines kontinuierlichen Sicherheitsprozesses. Cloud-Dienste mit C5-Testat unterliegen einer regelmäßigen Rezertifizierung, um sicherzustellen, dass die Sicherheitsanforderungen dauerhaft eingehalten werden.
Plattform für digitale Versorgungsmodelle
Das HealthPortal der gevko ist eine digitale Plattform zur Unterstützung von Verträgen zur Besonderen Versorgung sowie weiterer sektorenübergreifender Versorgungsprojekte im deutschen Gesundheitswesen.
Die Plattform ermöglicht unter anderem:
- digitale Einschreibe- und Teilnahmeprozesse für Versicherte
- strukturierte medizinische Dokumentation
- digitale Zusammenarbeit verschiedener Leistungserbringer
- elektronische Leistungsdokumentation und Direktabrechnung mit Krankenkassen
- standardisierte Schnittstellen zu Primärsystemen im Gesundheitswesen
