Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 
Stand 25.03.2021

IT-Sicherheitsrichtlinie

KBV erstellt Richtlinie zur Datensicherheit

IT-Systeme und sensible Daten in den Praxen noch besser schützen: Das ist eines der Ziele der IT-Sicherheitsrichtlinie. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. 

Video: IT-Sicherheitsrichtlinie im Überblick

Den sicheren Umgang mit personenbezogen Daten regelt die DSGVO, kurz für Datenschutz-Grundverordnung. Europaweit, seit 2018.
Für die Praxen allerdings teils zu ungenau, oder nicht passend.
Daher hat der Gesetzgeber die KBV damit beauftragt, diese Regelungen für Praxen zu übersetzen, zu vereinheitlichen und verbindlich zu regeln: im Einvernehmen mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik – in der so genannten IT-Sicherheitsrichtlinie.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Ich halte sie für einen guten Kompromiss zwischen den hohen Anforderungen, die das BSI ursprünglich hatte und der Umsetzungsfähigkeit, die Praxen. Denn wir dürfen nicht vergessen, dass es in jedem Fall um sensible Daten in der Praxis geht und dass der Arzt unabhängig von dieser Richtlinie jede Praxis einem gewissen Haftungsrisiko ausgesetzt ist. Jeder Arzt möchte, dass er die Daten, die ihm anvertraut werden, sicher verwahrt.
Die Betriebssicherheit muss gewährleistet sein und da war bisher keine klare Richtlinie für da. Jeder Arzt hat das gemacht, sicherlich auch sehr gut, aber ich sehe da einen festen Handlungsrahmen. Insofern begrüße ich diese Festlegung.
Und im Gesetz steht auch drin, dass diese Richtlinie immer wieder angepasst werden muss. Angepasst werden muss auf mögliche andere technische Möglichkeiten, aber auch neue Bedrohungsszenarien.
Insofern hat die Ärzteschaft damit einen festen Rahmen, mit dem sie umgehen kann. Und wir glauben, sie sind auch praktikabel. Wir werden immer darauf achten, dass auch bei den Anpassungen immer die Praktikabilität im Vordergrund stehen muss.“

Wieviel Sicherheit nötig ist, richtet sich nach zwei Punkten: der Anzahl derjenigen, die ständig mit der Datenverarbeitung betraut sind und dem Umfang der Datenverarbeitung.

Obendrauf kommen zusätzliche Anforderungen für Praxen die mit medizinischen Großgeräten arbeiten. Aber auch für die dezentralen Komponenten der Telematik Infrastruktur, wie zum Beispiel dem Konnektor.

Um es den Praxen zu erleichtern, ist die Einführung in mehrere Etappen aufgeteilt.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Wir gehen davon aus, dass es in den wenigsten Praxen einen sehr hohen Aufwand bedeuten wird, weil viele Praxen haben sich schon selbst drum gekümmert. Allerdings der Aufwand wird sein, dass jede Praxis gut beraten ist, wenn sie sich einmal die Richtlinie durchliest, evtl., wenn sie unsicher ist, auch mit ihrem Berater, sofern sie einen hat, durchspricht und sagt, habe ich Anpassungsbedarf.“

Wer auf Nummer Sicher gehen möchte, sollte einen Dienstleister beauftragen und noch sicherer: ein entsprechend zertifizierter Dienstleister.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Der Gesetzgeber hat uns zwei Richtlinien aufgegeben einmal die Sicherheitsrichtlinien für die Arztpraxis und eine zweite Richtlinie für die Zertifizierung von Dienstleistern. Und nach dieser zweiten Richtlinie hat die KBV den Auftrag, Dienstleister, die sich zertifizieren lassen wollen, auch zu zertifizieren. Und über ein erfolgreichstes Zertifikat wird die KBV dann auf ihrer Internetseite auch Informationen geben, sodass der Arzt sich dahin wenden kann. Dann weiß er, wo er einen zertifizierten Dienstleister finden kann.“

Im Internet stellt die KBV ein ganzes Infopaket für Praxen zu der IT-Sicherheitsrichtlinie bereit.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Wir halten es für notwendig, dass wir die Richtlinien auch handhabbar machen. Wir wollen Anwendungshinweise dazu geben. Wir halten die Richtlinien per se für auch in sich lesbar. Aber nicht jeder Arzt ist ein EDV Experte. Deshalb ist es uns notwendig, dass wir als KBV, aber auch gemeinsam mit den KVen natürlich Anwendungshinweise geben.

So vereinfachen beispielsweise bereitgestellte Musterdokumente das schnelle umsetzen einzelner Vorgaben.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Die Richtlinie sieht vor, dass man für den Einsatz von mobilen Geräten eine Richtlinie der Praxis haben soll, wenn beispielsweise eine Mitarbeiterin ein Diensthandy bekommt, vielleicht zum Patienten geht, da muss geregelt sein was darf mit diesem Handy gemacht werden und darf eine Richtlinie zu schreiben, da wird mancher Arzt oder Praxis sagen - Oh, wie soll ich das machen?
Dazu haben wir beispielsweise Mustertexte vorbereitet, die können heruntergeladen werden und die können dann vom Arzt auf die Praxis Bedingungen adaptiert werden. So stellen wir uns das vor. Es wird auch Erklärvideos geben und natürlich auch einzelne Anfragen werden beantwortet.“

Ausführliche Informationen finden Sie auf der Online-Plattform hub.kbv.de
Die Seite wird stetig aktualisiert und bei Bedarf um neue Informationen erweitert.

IT-Sicherheitsrichtlinie: Fristen und Vorgaben (Auswahl)

Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss meine Praxis ab wann ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen? Nachfolgend eine Auswahl der Fristen und Vorgaben, die auf der Online-Plattform zur IT-Sicherheitsrichtlinie bereit stehen.

Auf der extra eingerichteten Online-Plattform sind alle Anforderungen aufgeführt und die Musterdokumente abrufbar, um beispielsweise den ab 1. April 2021 erforderlichen Netzplan zu erstellen, falls die Praxis über ein internes Netzwerk verfügt.

Die Anforderungen sind sortiert nach Anlage und Nummer (nachfolgend in Klammern). Anlage 1 betrifft alle Praxen. Die Anlagen 2, 3 und 4 enthalten Zusatzanforderungen für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten wie CT, MRT, PET oder Dialysegeräte. Anlage 5 betrifft ebenfalls alle Praxen, hier geht es um die dezentralen Komponenten der Telematikinfrastruktur, zum Beispiel Konnektor, Kartenlesegeräte oder Praxisausweis.

Außerdem wird unterschieden, ob die Vorgabe erfüllt sein muss oder sein sollte (Muss-Regelung, Sollte-Regelung), denn es gibt auch Empfehlungen (Kann-Regelung).

Da die IT-Sicherheitsrichtlinie keine neuen Vorgaben „erfindet“, sondern bestehende konkretisiert und praxistauglich macht (zum Beispiel aus der EU- Datenschutzgrundverordnung), werden die meisten Anforderungen bereits von den Praxen umgesetzt und können somit abgehakt werden.

Anforderungen an alle Praxen *

Ab 1. April 2021

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
  • Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
  • Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
  • Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Ab 1. Januar 2022

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).

Anforderungen zusätzlich für mittlere Praxen *

Ab 1. April 2021

  • App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).

ab 1. Januar 2022

  • Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

Anforderungen zusätzlich für große Praxen *

ab 1. Januar 2022

  • Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten *

ab 1. Juli 2021

  • Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

* Praxistyp:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.


** Online-Plattform zur IT-Sicherheitsrichtlinie

Zur IT-Sicherheitsrichtlinie gibt es eine eigene Online-Plattform. Dort sind alle Anforderungen aufgeführt sowie Erläuterungen und Hinweise zu finden und auch die Musterdokumente abrufbar. Die Anforderungen sind sortiert nach Anlage und Nummer.

Dabei betrifft Anlage 1 alle Praxen, die Anlagen 2, 3 und 4 enthalten Zusatzanforderungen für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten (siehe Praxistyp oben).

Außerdem gibt es eine Anlage 5 mit den Anforderungen für dezentrale Komponenten der Telematikinfrastruktur. So sind Vertragsärzte und Vertragspsychotherapeuten beispielsweise für das zeitnahe Installieren verfügbarer Aktualisierungen des Konnektors verantwortlich (Anlage 5 Nummer 6).

Verbindliche Anforderungen an die IT-Sicherheit

Hinter der Richtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragt er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die Richtlinie: 

  • Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
  • Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.  

Weitere Richtlinie für IT-Dienstleister

Der Gesetzgeber hat eine weitere Richtlinie beauftragt: Diese soll die Zertifizierung von Dienstleistern regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Richtlinien gelten ab Januar 2021

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten ab 1. Januar 2021. Somit kann die Zertifizierung von Dienstleistern theoretisch im Januar starten. Aufgrund der aktuellen Lage können Vor-Ort-Zertifizierungen von Dienstleistern jedoch voraussichtlich erst ab Februar 2021 erfolgen. Hiervon nicht betroffen ist die Erlangung von Kreuzzertifizierungen.

KBV stellt unterstützende Materialien für Praxen bereit

Die KBV stellt als Unterstützung für Ärzte und Psychotherapeuten auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise für Praxen zu der Richtlinie bereit, die kontinuierlich ergänzt werden. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten. Zusätzlich bietet die KBV ab Mitte Februar über ihr Fortbildungsportal Online-Schulungen für Ärzte und Psychotherapeuten an, für die CME-Punkte erworben werden können.

Zertifizierung von Dienstleistern nach § 75b Abs. 5 SGB V

Informationen für Anbieter von Gesundheits-IT

KBV und Kassenzahnärztliche Bundesvereinigung (KZBV) haben nach § 75b SGB V den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung zu regeln. Zudem haben KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten ab 1. Januar 2021. Im Einverständnis mit der KZBV wird das Verfahren der Zertifizierung durch die KBV durchgeführt. 

Hinweis: Eine Durchführung von Vor-Ort-Zertifizierungen ist aufgrund der aktuellen Lage derzeit nicht möglich. Sobald es die Situation zulässt werden Vor-Ort-Zertifizierungen bei der KBV in Berlin angeboten. Die Erlangung von Kreuzzertifizierungen ist hiervon unbeeinflusst.