Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 
aktualisiert am 21.06.2024

Service

IT-Sicherheitsrichtlinie

Richtlinie zur Datensicherheit der Praxis-IT

IT-Systeme und sensible Daten in den Praxen noch besser schützen: Das ist eines der Ziele der IT-Sicherheitsrichtlinie, die die KBV erstellt hat. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. 

Weiterhin hat die KBV eine zweite Richtlinie beschlossen - und zwar für die Zertifizierung von Dienstleistern, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der IT-Sicherheitsrichtlinie umsetzen. 

Video: IT-Sicherheitsrichtlinie im Überblick

FeedbackFeedback Einbinden Einbinden Zur Mediathek
Wenn Sie das Video auf Ihren Seiten einbetten wollen, schicken Sie uns bitte Über das Feedback-Formular eine Nachricht
Textfassung des Videos



Den sicheren Umgang mit personenbezogen Daten regelt die DSGVO, kurz für Datenschutz-Grundverordnung. Europaweit, seit 2018.

Für die Praxen allerdings teils zu ungenau, oder nicht passend.

Daher hat der Gesetzgeber die KBV damit beauftragt, diese Regelungen für Praxen zu übersetzen, zu vereinheitlichen und verbindlich zu regeln: im Einvernehmen mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik – in der so genannten IT-Sicherheitsrichtlinie.

Wieviel Sicherheit nötig ist, richtet sich nach zwei Punkten: der Anzahl derjenigen, die ständig mit der Datenverarbeitung betraut sind und dem Umfang der Datenverarbeitung.

Obendrauf kommen zusätzliche Anforderungen für Praxen, die mit medizinischen Großgeräten arbeiten. Aber auch für die dezentralen Komponenten der Telematik Infrastruktur, wie zum Beispiel dem Konnektor.

Mit Blick auf neue Bedrohungsszenarien und technische Entwicklungen wird die Richtlinie immer wieder angepasst und weiterentwickelt. Die Praktikabilität für Praxen steht dabei immer im Vordergrund.

Eine zweite Richtlinie definiert die Zertifizierung der IT-Dienstleister, auch die wurde von der KBV erarbeitet.

Wer sich also mit der Umsetzung der IT-Sicherheitsrichtlinie in seiner Praxis unsicher ist, findet auf der Internetseite der KBV ein Verzeichnis zertifizierter Dienstleister.

Dort steht auch ein ganzes Infopaket für Praxen zur IT-Sicherheitsrichtlinie bereit.
Neben Anwendungshinweisen findet man dort auch Musterdokumente, zum Beispiel für den Einsatz von Diensthandys. Diese Musterdokumente können einfach an die jeweilige Praxissituation angepasst werden.


Ausführliche Informationen zu dem Thema finden Sie auf der Online-Plattform hub.kbv.de
Die Seite wird stetig aktualisiert und bei Bedarf um neue Informationen erweitert.

Vorgaben aus der IT-Sicherheitsrichtlinie

Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss meine Praxis ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen?

Da die IT-Sicherheitsrichtlinie keine neuen Vorgaben „erfindet“, sondern bestehende konkretisiert und praxistauglich macht (beispielsweise aus der EU-Datenschutzgrundverordnung), werden die meisten Anforderungen bereits von den Praxen umgesetzt. Hier eine Auswahl:

Anforderungen an alle Praxen*

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
  • Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
  • Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
  • Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).

Anforderungen zusätzlich für mittlere Praxen*

  • App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).
  • Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

Anforderungen zusätzlich für große Praxen*

  • Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten*

  • Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

*Praxistypen

Praxistyp:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.

Mehr zur Richtlinie

Hinter der IT-Sicherheitsrichtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragte er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollten die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die IT-Sicherheitsrichtlinie: 

  • Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
  • Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.  

Zudem hatten KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten seit 1. Januar 2021. Im Einverständnis mit der KZBV wird das Verfahren der Zertifizierung durch die KBV durchgeführt. 

Übersicht: Zertifizierte IT-Dienstleister

In einem Verzeichnis werden IT-Dienstleister aufgeführt, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden.

Dies ist ein optionales Angebot. Praxisinhaberinnen und -inhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

Zertifizierung von Dienstleistern

Informationen für Anbieter von Gesundheits-IT

Der Gesetzgeber hat eine weitere Richtlinie beauftragt: Diese soll die Zertifizierung von Dienstleistern regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Download

IT-Sicherheitsrichtlinie