Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

IT-Sicherheitsrichtlinie

IT-Systeme und sensible Daten in den Praxen noch besser schützen: Das ist eines der Ziele der IT-Sicherheitsrichtlinie. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. 

Verbindliche Anforderungen an die IT-Sicherheit

Hinter der Richtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragt er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die Richtlinie: 

  • Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
  • Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt-, Zahnarzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen. 

Es ist vorgesehen, dass die Richtlinie zum 1. Oktober 2020 in Kraft tritt. Im Anschluss hätten die Praxen ein Jahr Zeit zur Umsetzung. 

Weitere Richtlinie für IT-Dienstleister

Der Gesetzgeber hat eine weitere Richtlinie beauftragt: Diese soll die Zertifizierung von Dienstleistern regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Aufwandgerechte Finanzierung gefordert

Die Richtlinie zur Zertifizierung stand Mitte Juni zur Abstimmung, die Vertreterversammlung der KBV hat jedoch zunächst entschieden, keinen Beschluss zur IT-Sicherheitsrichtlinie zu fassen. Grund sind die mit den erhöhten Sicherheitsanforderungen verbundenen Kosten für Praxen. In einer Resolution fordern die Delegierten eine aufwandsgerechte Finanzierung, die der Gesetzgeber sicherstellen muss.
 

Aktuelles

IT-Sicherheit: Vertreterversammlung fordert finanzielle Zusagen (Stand: 18.06.2020)

Resolution der KBV-Vertreterversammlung: Aufwandsgerechte Finanzierung der IT-Sicherheitsrichtlinie nach § 75B SGB V sicherstellen! (Stand: 12.06.2020, PDF, 411 KB)

Kriedel: Sicherheitsrichtlinie ist Chance und Risiko zugleich (Stand: 06.02.2020)

KBV erstellt Richtlinie zur Datensicherheit

Und da wir beide, sowohl die KZBV wie die KBV, diese Richtlinie im Einvernehmen mit dem BSI dem Bundesinstitut für Sicherheit Informationstechnologie umsetzen müssen, macht es Sinn, dass wir auch gemeinsam vorgehen. Denn ich denke nicht, dass das BSI unterschiedliche Normen und Standards akzeptieren wird. Deshalb macht es Sinn, dass wir uns abstimmen. Wir können auch vielleicht einige Arbeitsprozesse intern aufzeigen und damit die Umsetzung schneller gestalten. Zunächst mal ist diese Richtlinie Chance und Risiko zugleich. Die Chance ist, dass wir damit für die Praxen einen sicheren Rahmen schaffen, indem sie sich im Rahmen der Datensicherheit ihrer Praxis bewegen. Heute ist selbstverständlich klar, jeder Arzt kümmert sich darum und jeder Zahnarzt, dass die medizinischen Daten seiner Praxis höchstmöglich geschützt werden. Was bedeutet das aber konkret. Es gibt zurzeit keinen konkreten Rahmen und deshalb sehen wir eine Chance auch den Ärzten Zahnärzten einen sicheren Rahmen zu geben, in dem sie sich bewegen. Selbstverständlich kann jeder mehr für die Sicherheit tun, aber das ist ein Mindeststandard. Das ist die große Chance. Das Risiko ist natürlich, dass damit auf die Praxen enorme Investitionskosten zukommen könnten, weil auch jetzt schon die Sicherheit gewährleistet ist, aber durch gewisse Normen formaler Vorgaben natürlich mehr Aufwand entstehen kann. Und man darf nicht vergessen, dass viele Ärzte bis zu der Verpflichtung, dass sich die Praxen an die TI anschließen muss, aus Sicherheitsgründen ganz darauf verzichtet haben, ihre Praxis ans Internet anzuschließen. Damit waren sie sicher vor Hackerangriffen. Jetzt sind sie aber verpflichtet an dem allgemeinen Datenaustausch mit Telematik Infrastruktur teilzunehmen. Das bedeutet, sie müssen sich anschließen und das bedeutet auch, dass sie dann ganz andere Sicherheitsmaßnahmen vornehmen müssen, die sie vorher, weil sie abgeschottet waren mit ihrer Praxis, nicht hatten. Und deshalb auch unsere Forderung, dass zusätzliche Investitionsaufwand finanziert werden muss, von den Krankenkassen. Das betrifft insbesondere auch einen Check, wenn die Sicherheitsrichtlinien steht, dass man dann auch mal abgleichen kann, inwieweit sind die Bedingungen dieser neuen Richtlinie in der Praxis verwirklicht. Das ist eine zusätzliche Aufgabe, wofür wir mindestens eine Finanzierung forden und auch gegebenenfalls erweiterte Infrastrukturmaßnahmen. Dieser Check stellt sich nach unserer Auffassung so dar, dass am besten der Dienstleister vor Ort, der auch bisher, wenn der Arzt schon ein Netz hatte und demnächst haben muss, dass dieser Dienstleister auch zertifiziert ist, durch die KBV, das steht auch im Gesetz, zertifiziert ist und sich auch die Sicherheitsmaßnahmen in der Praxis ansieht. Er ist ja auch verantwortlich für das System, er weiß was das PVS-System an sich schon leisten kann und was an zusätzlichen Maßnahmen noch erfolgen müssen und dass er auch dem Arzt gegenüber dann bestätigt, Ja sie erfüllen, diese Praxis erfüllt den Standard der Sicherheitsrichtlinien. Nebenbei, wir stellen uns auch vor, dass wir die Sicherheitsrichtlinien natürlich verändern müssen, je nachdem um was für eine Praxis in der Größenklasse es sich handelt eine Einzelpraxis hat vielleicht andere Anforderungen als ein großes MVZ. Darauf wollen wir in der Sicherheitsrichtlinien auch eingehen.

Der Gesetzgeber hat mit dem DVG die KBV beauftragt, eine Datensicherheits-Richtlinie für Praxen zu entwickeln. Die Entwicklung erfolgt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik. KBV-Vorstandsmitglied Dr. Thomas Kriedel erklärt welches Ziel seine Institution mit der Richtlinie verfolgt und wie er sich die Umsetzung vorstellt.

Weitere Videos zum Thema

Weitere Informationen zum Thema