Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Praxisnachrichten

IT-Sicherheitsrichtlinie im Überblick

IT-Sicherheitsrichtlinie: Video zur Umsetzung und Überblick

25.02.2021 - Was bedeutet die neue IT-Sicherheitsrichtlinie für meine Praxis? Ein Video bietet jetzt einen ersten Einstieg ins Thema. Darin erläutert KBV-Vorstandsmitglied Dr. Thomas Kriedel, warum die Richtlinie wichtig ist. Außerdem bietet die KBV einen Überblick zu Fristen und Anforderungen.

Jeder Arzt möchte, dass die ihm anvertrauten Daten sicher verwahrt sind, wie Kriedel im Video-Interview betont. Und das hätten die Ärzte auch bisher schon gemacht. Allerdings fehlte ein verlässlicher Rahmen, der nun durch die Richtlinie geschaffen wurde, erläutert er.

Welche Sicherheitsmaßnahmen konkret nötig sind, richtet sich grundsätzlich nach der Anzahl der Personen in der Praxis, die ständig mit der Datenverarbeitung beschäftigt sind. Wie im Video gezeigt wird, bestehen zusätzliche Anforderungen, wenn mit medizinischen Großgeräten wie CT oder MRT gearbeitet wird.

Erste Anforderungen ab 1. April 2021

Die Anforderungen werden schrittweise eingeführt. Erste Schritte – zum Beispiel aktuelle Virenschutzprogramme einzusetzen oder den Internet-Browser so einzustellen, dass er keine vertraulichen Daten speichert – müssen Praxen bis 1. April 2021 realisieren. Dabei gilt immer: Wird eine bestimmte IT nicht genutzt, müssen auch die entsprechenden Vorgaben nicht umgesetzt werden.

Die PraxisNachrichten haben einige wichtige Punkte ausgewählt und in einem Überblick zusammengestellt (siehe Infokasten). Detailliertere Informationen sowie Umsetzungshinweise und Musterdokumente stehen auf einer Online-Plattform zur IT-Sicherheitsrichtlinie bereit.

Online-Plattform nutzen

Die Online-Plattform können Ärzte und Psychotherapeuten nutzen, um sich ausführlich über die IT-Sicherheitsrichtlinie und was dazu gehört zu informieren. Zu jeder Anforderung ist aufgeführt, wo genau die entsprechende Vorgabe zu finden ist (z.B. Anlage 1 Nummer 1) und wie sie umgesetzt werden muss, sollte oder kann.

Außerdem können sich Praxen Musterdokumente herunterladen. Dazu gehören beispielsweise ein Muster-Netzplan und eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten. Die Plattform bietet außerdem eine Suchfunktion und es besteht die Möglichkeit, Fragen zu stellen.

Online-Fortbildung und Praxisinformation

Voraussichtlich ab März bietet die KBV über ihr Fortbildungsportal eine Online-Schulung für Ärzte und Psychotherapeuten zur IT-Sicherheitsrichtlinie an. Derzeit läuft die Zertifizierung der Fortbildung bei der Ärztekammer Berlin, damit für die Fortbildung CME-Punkte erworben werden können. Eine Praxisinformation ist ebenfalls für März geplant.

Hintergrund: Digitale-Versorgung-Gesetz

Der Gesetzgeber hatte mit dem Digitale-Versorgung-Gesetz die KBV beauftragt, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein. Die Richtlinie wurde unter anderem im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und wird jährlich aktualisiert.

Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen. Die Zertifizierung dieser Dienstleister hat die KBV in einer zweiten Richtlinie geregelt. Zertifizierte Dienstleister wird die KBV auf ihrer Internetseite veröffentlichen.

IT-Sicherheitsrichtlinie: Fristen und Vorgaben (Auswahl)

Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss meine Praxis ab wann ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen? Nachfolgend eine Auswahl der Fristen und Vorgaben, die auf der Online-Plattform zur IT-Sicherheitsrichtlinie bereit stehen.

Auf der extra eingerichteten Online-Plattform sind alle Anforderungen aufgeführt und die Musterdokumente abrufbar, um beispielsweise den ab 1. April 2021 erforderlichen Netzplan zu erstellen, falls die Praxis über ein internes Netzwerk verfügt.

Die Anforderungen sind sortiert nach Anlage und Nummer (nachfolgend in Klammern). Anlage 1 betrifft alle Praxen. Die Anlagen 2, 3 und 4 enthalten Zusatzanforderungen für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten wie CT, MRT, PET oder Dialysegeräte. Anlage 5 betrifft ebenfalls alle Praxen, hier geht es um die dezentralen Komponenten der Telematikinfrastruktur, zum Beispiel Konnektor, Kartenlesegeräte oder Praxisausweis.

Außerdem wird unterschieden, ob die Vorgabe erfüllt sein muss oder sein sollte (Muss-Regelung, Sollte-Regelung), denn es gibt auch Empfehlungen (Kann-Regelung).

Da die IT-Sicherheitsrichtlinie keine neuen Vorgaben „erfindet“, sondern bestehende konkretisiert und praxistauglich macht (zum Beispiel aus der EU- Datenschutzgrundverordnung), werden die meisten Anforderungen bereits von den Praxen umgesetzt und können somit abgehakt werden.

Anforderungen an alle Praxen *

Ab 1. April 2021

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
  • Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
  • Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
  • Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Ab 1. Januar 2022

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).

Anforderungen zusätzlich für mittlere Praxen *

Ab 1. April 2021

  • App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).

ab 1. Januar 2022

  • Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

Anforderungen zusätzlich für große Praxen *

ab 1. Januar 2022

  • Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten *

ab 1. Juli 2021

  • Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

* Praxistyp:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.


** Online-Plattform zur IT-Sicherheitsrichtlinie

Zur IT-Sicherheitsrichtlinie gibt es eine eigene Online-Plattform. Dort sind alle Anforderungen aufgeführt sowie Erläuterungen und Hinweise zu finden und auch die Musterdokumente abrufbar. Die Anforderungen sind sortiert nach Anlage und Nummer.

Dabei betrifft Anlage 1 alle Praxen, die Anlagen 2, 3 und 4 enthalten Zusatzanforderungen für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten (siehe Praxistyp oben).

Außerdem gibt es eine Anlage 5 mit den Anforderungen für dezentrale Komponenten der Telematikinfrastruktur. So sind Vertragsärzte und Vertragspsychotherapeuten beispielsweise für das zeitnahe Installieren verfügbarer Aktualisierungen des Konnektors verantwortlich (Anlage 5 Nummer 6).

Mehr zum Thema

zu den PraxisNachrichten