Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Praxisnachrichten

Wie sicher ist meine Praxis in der Telematikinfrastruktur?

05.12.2019 - Die Verunsicherung der Ärzte und Psychotherapeuten bei der Frage, ob ihre Praxen sicher an die Telematikinfrastruktur angebunden sind, ist weiterhin hoch. Dabei ist nicht entscheidend, ob die Praxis im sogenannten Reihen- oder Parallelbetrieb angeschlossen ist.

Beide Installationsvarianten sind von der gematik als Standard-Szenarien für den sicheren Anschluss an die Telematikinfrastruktur (TI) vorgesehen. Welche für eine Praxis am besten ist, hängt von der IT-Infrastruktur der Praxis und den schon vorhandenen Sicherungsmaßnahmen ab.

Im Reihenbetrieb – auch als serieller Betrieb bezeichnet – befinden sich Kartenterminals und Praxisrechner im selben Praxisnetzwerk (LAN). Sie erhalten den Zugang zur TI nur über den Konnektor, dessen integrierte Firewall das Praxisnetz vor unautorisierten Zugriffen schützt. Der Reihenbetrieb eignet sich vor allem für Praxen, die vorher noch keine Internetanbindung hatten oder die über keine komplexe IT-Vernetzung verfügen.

Für Praxen, die bereits eine komplexere IT-Infrastruktur haben und diese auch entsprechend absichern, ist dagegen eher der Parallelbetrieb geeignet. Hier wird der Konnektor in das bestehende Praxisnetzwerk und dessen Sicherheitsmaßnahmen integriert. Er ist dann ein gleichwertiger, aber eigenständiger Teil des LAN neben anderen Komponenten wie dem Praxis-PC und dem Kartenterminal. Da die integrierte Firewall des Konnektors nicht genutzt werden kann, müssen eigene Sicherheitsmaßnahmen der Praxis wie eine eigene Firewall die Praxis-IT absichern.

Muster-Installationsprotokoll verschafft Überblick

Damit Praxen nachvollziehen und dokumentieren können, was der IT-Dienstleister beim Anschluss an die TI macht oder gemacht hat, sollten sie sich eng mit ihm abstimmen. Der Dienstleister ist grundsätzlich verpflichtet, die Installation verantwortungsvoll und ordnungsgemäß durchzuführen. Idealerweise füllt er das Muster-Installationsprotokoll der gematik aus. Dort wird neben technischen Details auch vermerkt, ob eine Beratung zu sicherheitsrelevanten Aspekten stattgefunden hat.

Die Angaben im Protokoll sind für alle Praxen relevant, unabhängig davon, ob sie bereits an die TI angeschlossen sind oder die Installation gerade stattfindet. Praxen, die den TI-Anschluss bereits abgenommen haben, sollten prüfen, ob es Punkte oder Fragen gibt, die im Abnahmeprotokoll im Gegensatz zum Muster-Installationsprotokoll nicht vorkommen.

Praxen verantwortlich für Sicherheit der Patientendaten

Unabhängig vom Anschluss an die TI ist jeder Praxisinhaber für die Sicherheit der Patientendaten verantwortlich. Er muss für die Praxis technische und organisatorische Maßnahmen für den Datenschutz festlegen. Hierzu zählen neben der Netzwerksicherheit auch Punkte wie die Verwendung eines Virenschutzes und sicherer Passwörter. Die "Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen" bietet hierfür eine gute Übersicht.

Dagegen haben Praxen bei der Anbindung an die TI nur wenig Einfluss, da die gesamte Architektur der TI und die einzelnen Komponenten von der gematik spezifiziert und zertifiziert wurden. Auf deren Sicherheit kann er sich daher prinzipiell verlassen. In einem Informationsblatt zu Datenschutz und Haftung stellt die gematik klar, dass Ärzte und Psychotherapeuten nicht haften, sofern die zugelassenen Konnektoren vorschriftsgemäß verwendet, aufgestellt und betrieben würden.

Neue Richtlinie zu IT-Sicherheit ab Mitte 2020

Die KBV hat mit dem Digitale-Versorgung-Gesetz (DVG) den Auftrag erhalten, bis zum 30. Juni 2020 eine Richtlinie zur IT-Sicherheit in der Arztpraxis zu erstellen. Die bereits vorhandene „Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen“ soll dabei eine Grundlage sein, die weiter ausgebaut und ausgearbeitet wird. Die KBV wird sich dabei mit dem Bundesamt für Sicherheit in der Informationstechnik abstimmen. Für Praxen soll die neue Richtlinie eine Handlungsempfehlung sein, mit der sie bei korrekter Umsetzung auch rechtlich abgesichert sind.

Eine weitere Aufgabe der KBV aus dem DVG ist es, vertrauenswürdige Dienstleister für die Beratung von Praxen zu IT und TI zu zertifizieren. Die Zertifizierung soll ab dem 1. Juli 2020 möglich sein. Die Anforderungen dafür werden bis zum Frühjahr 2020 entwickelt. Eine Zertifizierung von Praxen ist dagegen nicht vorgesehen.

Service: Serie rund um die TI

Die KBV hat eine Serie zur Telematikinfrastruktur gestartet: Darin erscheinen alle 14 Tage Service-Beiträge mit wichtigen Hinweisen und praktischen Tipps rund um Ausstattung, Finanzierung und Anwendung.

Teil 1 vom 14. März: Einstieg in die Telematikinfrastruktur - Was ist jetzt zu beachten?

Teil 2 vom 28. März: Kurz vor dem Ruhestand noch an die TI anbinden? Hinweise für Praxisabgeber

Teil 3 vom 11. April: Langsames Internet in der Region: So können sich Praxen trotzdem an die TI anschließen

Teil 4 vom 25. April: Ohne TI-Anschluss drohen nicht nur finanzielle Sanktionen

Teil 5 vom 9. Mai: TI-Anschluss: Tipps rund um den Installationstermin

Teil 6 vom 23. Mai: TI-Finanzierung: So kommen die Pauschalen zustande

Teil 7 vom 6. Juni: Mobile Kartenterminals: Was passiert bei einem Arztwechsel?

Teil 8 vom 27. Juni: VSDM – Tipps und Hinweise zum Start des Online-Datenabgleichs

Teil 9 vom 11. Juli: Das VSDM ist nur der Einstieg - Weitere Anwendungen in der TI

Teil 10 vom 25. Juli: VSDM-Pflicht: Welche Ausnahmen gibt es für Praxen?

Teil 11 vom 8. August: Welche Daten über die Telematikinfrastruktur übertragen werden

Teil 12 vom 22. August: Telematikinfrastruktur: Ärzte, Apotheken, Krankenhäuser - wer geht wann ans Netz?

Teil 13 vom 5. September: Telematikinfrastruktur: So werden Anschluss und Betrieb ab 2020 finanziert

Teil 14 vom 19. September: Telematikinfrastruktur: Wer informiert die Patienten?

Teil 15 vom 17. Oktober: Telematikinfrastruktur: Wozu benötige ich einen elektronischen Heilberufeausweis?

Teil 16 vom 31. Oktober: Anschluss an die TI: Was passiert mit Nebenbetriebsstätten und ausgelagerten Praxisräumen?

Teil 17 vom 21. November: Software-Update des Konnektors: Was sollte die Praxis tun?

Teil 18 vom 5. Dezember: Wie sicher ist meine Praxis in der Telematikinfrastruktur?

Teil 19 vom 19. Dezember: Neue Anwendungen: Was sich 2020 in der TI ändert

Mehr zum Thema

zu den PraxisNachrichten