KBV startet Informationsoffensive zur IT-Sicherheit in Praxen
„Die Bedrohung der IT-Sicherheit wächst weltweit. Auch die ärztlichen und psychotherapeutischen Praxen sind davon betroffen und müssen ihre IT vor unberechtigten Zugriffen schützen“, sagte KBV-Vorstandsmitglied Dr. Sibylle Steiner den PraxisNachrichten.
Aus diesem Grund hat die KBV erst jüngst die IT-Sicherheitsrichtlinie aktualisiert. „Wir sind gesetzlich verpflichtet, Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen in einer Richtlinie festzulegen und diese regelmäßig anzupassen“, sagte Steiner. Dies erfolge im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Mit der Aktualisierung wurde die Richtlinie hauptsächlich um Maßnahmen ergänzt, die das Sicherheitsbewusstsein des Praxispersonals betreffen. Die Mitarbeiterinnen und Mitarbeiter sollen nach einer Empfehlung des BSI stärker sensibilisiert und geschult werden, um potenzielle Sicherheitsrisiken zu erkennen und zu vermeiden.
Serviceheft und Serie in den PraxisNachrichten
Die KBV bietet den Praxen hierfür Informationsmaterialien sowie Schulungen an. Teil der Informationsoffensive ist eine monatliche Serie in den PraxisNachrichten, die Tipps und Hinweise zur Cybersicherheit gibt. Das Themenspektrum reicht vom Umgang mit Spam bei E-Mails über sichere Passwörter, Virenschutz, Software-Updates und das Nutzen einer Cloud bis hin zum Basisschutz der Praxis-IT oder was bei einem Sicherheitsvorfall zu tun ist. Die Serie startet am 3. Juli.
Einen kompakten Einstieg in das Thema gewährt das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen. Es wurde neu aufgelegt und berücksichtigt nun auch das Praxispersonal, das spätestens ab Oktober regelmäßig für Informationssicherheit sensibilisiert und geschult werden muss. Dies sieht die aktualisierte IT-Sicherheitsrichtlinie vor.
Das 16-seitige Heft ist 2021 erstmals erschienen. Es enthält neben Informationen zu den Sicherheitsanforderungen auch eine Checkliste, Tipps sowie Beispiele für die Umsetzung von Schutzmaßnahmen in der Praxis. Das Heft steht online bereit.
Fortbildung und Schulungen für das Praxispersonal
Speziell für Medizinische Fachangestellte (MFA) bietet die KBV zwei Online-Schulungen zur IT-Sicherheit an. Es gibt eine Basis-Schulung und eine Schulung zum Thema Phishing für MFA. Praxisinhaberinnen und Praxisinhaber können die Angebote nutzen, um ihre Angestellten in Fragen der IT-Sicherheit zu schulen.
Beide Schulungen stehen im Fortbildungsportal der KBV bereit. Dort wird es demnächst auch eine Fortbildung zur IT-Sicherheit für Ärzte und Psychotherapeuten geben, die mit CME-Punkten zertifiziert ist.
Online-Plattform bündelt alle Informationen
Mehr Informationen zu Fortbildungen für das Praxispersonal finden Interessierte im Hub zur IT-Sicherheit, einer Online-Plattform. Dort bietet die KBV auch Musterdokumente an, zum Beispiel eine Verschwiegenheitserklärung für Mitarbeiterinnen und Mitarbeiter und für externes Personal, das in der Praxis beispielsweise Technik installiert.
Praxisinhaberinnen und Praxisinhaber können die Musterdokumente nutzen und für ihre Gegebenheiten anpassen. Im Hub sind zudem alle Anforderungen an die IT-Sicherheit übersichtlich aufgelistet und mit Hinweisen versehen. Außerdem stehen dort Fragen und Antworten bereit.
Unterstützung für Praxen
„Es geht um sensible Gesundheitsdaten, die besonders geschützt werden müssen“, sagte KBV-Vorstandsmitglied Steiner. Praxisinhaberinnen und Praxisinhaber trügen hierfür eine große Verantwortung. Sowohl die IT-Sicherheitsrichtlinie als auch die Informationsmaßnahmen der KBV sollen sie unterstützen, notwendige Vorkehrungen zu treffen.
Das Infoangebot im Überblick
Das bietet der Hub zur IT-Sicherheit
Der Hub der KBV zur IT-Sicherheit ist eine Online-Plattform, die alles Wichtige zur IT-Sicherheitsrichtlinie enthält. Hinzu kommen Musterdokumente, Informationen zu Fortbildung sowie Fragen und Antworten.
IT-Sicherheitsrichtlinie
Alle Anforderungen, die für die IT-Sicherheit wichtig sind, werden übersichtlich dargestellt. Daneben stehen Erläuterungen, was konkret gemeint ist, sowie Tipps und Hinweise für die Umsetzung.
Fortbildungen
Im Hub können sich Praxisinhaberinnen und Praxisinhaber über Fortbildungen für ihre Medizinischen Fachangestellten (MFA) zur IT-Sicherheit informieren. Es gibt eine Basis-Schulung und eine Schulung zum Thema Phishing für MFA. Die Fortbildungen selbst stehen im Fortbildungsportal bereit (Login erforderlich).
Musterdokumente
Darüber hinaus finden Praxisinhaberinnen und Praxisinhaber im Hub mehrere Musterdokumente, die sie nutzen und individuell für ihren Praxisbetrieb anpassen können:
- Eintrittsformular
- Austrittsformular
- Verschwiegenheitserklärung Praxispersonal
- Verschwiegenheitserklärung externes Personal
- Richtlinie mobile Geräte
- Richtlinie Wechseldatenträger
- Netzplan
- Informationen zu Schulungen für Medizinische Fachangestellte
Fragen und Antworten
Gibt es eine Nachweispflicht für die Umsetzung der Anforderungen der IT-Sicherheitsrichtlinie? Wer erstellt den in der IT-Sicherheitsrichtlinie geforderten Netzwerkplan? Praxen finden auf diese und weitere Fragen im Hub Antworten. Einige sind eher für IT-Dienstleister relevant. Für wen die jeweilige Frage/Antwort gedacht ist, steht in der Spalte Adressat.
Gesetzlicher Auftrag: IT-Sicherheitsrichtlinie
Die KBV ist vom Gesetzgeber beauftragt, in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung festzulegen. Die Richtlinie ist an den Stand der Technik und an das Gefährdungspotenzial anzupassen.
Dies muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und im Benehmen mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft, der gematik und den maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erfolgen.
Grundlage ist Paragraf 390 SGB V. Dabei haben sich die gesetzlichen Anforderungen über die Jahre mehrfach geändert. So wurde der 2019 eingeführte Paragraf 75 b SGB V ein Jahr später erweitert und schließlich im Jahr 2024 durch das Digital-Gesetz aufgehoben. Die Inhalte wurden in den Paragrafen 390 SGB V überführt und erweitert.
Bereits seit 2020 unterstützt die IT-Sicherheitsrichtlinie der KBV die Praxen dabei, geeignete Schutzmaßnahmen zu treffen. Diese betreffen die Hardware, Software und Netzanbindung und nun spätestens ab Oktober 2025 auch das Praxispersonal.
Die KBV hat darauf geachtet, praktikable und realistische Vorgaben für die Praxen zu machen, die möglichst aufwandsarm umzusetzen sind. Die Richtlinie soll Praxisinhaberinnen und -inhaber dabei unterstützen, alle nötigen Sicherheitsvorkehrungen zu treffen, um einen Datenmissbrauch zu verhindern.