Neue Sicherheitsrichtlinie für Praxen tritt in Kraft

IT-Sicherheitsrichtlinie nach § 75b SGB V

Die IT-Sicherheit in Arztpraxen ist elementar wichtig. Aus diesem Grund wurde nun auch die Kassenärztliche Bundesvereinigung (KBV) damit beauftragt, die Anforderungen an jene IT-Sicherheit festzulegen. Ziel ist es, die Vertraulichkeit sensibler Daten sicherzustellen und die Integrität und Verfügbarkeit der vorhandenen IT-Systeme zu gewährleisten.

Bereits im Dezember hatte die Vertreterversammlung der KBV die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie beschlossen. Diese tritt nun am Samstag, den 23. Januar 2021, offiziell in Kraft. Laut Angaben von Dr. Thomas Kriedel, Vorstandsmitglied der KBV, seien die Maßnahmen, auf die man sich geeinigt hat, praktikabel und realistisch umzusetzen, da sie bereits regelhaft in den Arztpraxen zum Einsatz kommen und sie sich im Einklang mit der Datenschutzgrundverordnung (DSGVO) bewegen. Dazu gehören z. B. der Schutz des eigenen Netzwerks an Übergabepunkten (insbesondere zum Internet) durch eine Firewall, den Einsatz eines Antiviren-Programms und die Dokumentation des Netzwerks anhand eines Netzplans.

Die geforderten Maßnahmen, die nun in jeder Praxis umgesetzt werden müssen, richten sich nach der Praxisgröße. Die Praxen werden demnach in drei unterschiedliche Kategorien unterteilt:

Praxis

vertragsärztliche Praxis
bis zu 5 ständig mit der Datenverarbeitung betraute Personen

Mittlere Praxis

vertragsärztliche Praxis
6 bis 20 ständig mit der Datenverarbeitung betraute Personen

Großpraxis

vertragsärztliche Praxis
über 20 ständig mit der Datenverarbeitung betraute Personen
über die normale Datenübermittlung hinausgehenden Umfang (z. B. Labore, Groß-MVZ u. ä.)

* Zusätzliche Sicherheitsanforderungen gibt es auch für Praxen, in denen medizinische Großgeräte wie Computertomographen (CT) oder Magnetresonanztomographen (MRT) zum Einsatz kommen.

Anforderungen mit Frist 01. April 2021

Die erste Frist läuft am 01. April 2021 ab. Von da an müssen zahlreiche Anforderungen an die Praxis-IT erfüllt sein. Weitere Fristen sind der 01. Januar und der 01. Juli 2022. Im Folgenden finden Sie einen Auszug der zu treffenden Maßnahmen. Die IT-Sicherheitsrichtlinie nach § 75b SGB V enthält in ihren Anhängen eine vollständige Liste.

Software

Mobile Anwendungen

Es dürfen ausschließlich Apps aus den offiziellen Stores verwendet werden. Außerdem sollten diese aktuell gehalten werden. Vertrauliche Daten dürfen nicht über Apps versendet werden und Dokumente verschlüsselt lokal gespeichert werden.

Office Produkte

Die Office-integrierten Cloud-Speicher sollten vermieden werden. Außerdem müssen vertrauliche Informationen aus Dokumenten vor der Weitergabe entfernt werden. (Nutzen Sie stattdessen unseren Cloud-Speicher)

Internetanwendungen

Vertrauliche Daten dürfen nicht im Webbrowser gespeichert werden. Zudem sollten ausschließlich verschlüsselte Internetanwendungen genutzt werden, die ihre Zugänge strikt absichern.

Hardware

Endgeräte

Mikrofone und Kameras sollten grundsätzlich ausgeschaltet sein und nur bei Bedarf aktiviert werden.
Jeder Nutzer muss sich nach der Aufgabenerfüllung abmelden.
Der Einsatz einer aktuellen Anti-Viren-Software ist obilgatorisch.

Smartphone und Tablet

Die Geräte müssen über einen komplexen Gerätesperrcode verfügen und stets aktuell gehalten werden.
Darüber hinaus muss der PIN-Code verwendet werden und ein aktuelles Schutzprogramm vor Pishing und Malware im Browser genutzt werden.

Wechseldatenträger / Speichermedien

Beim Versand von Speichermedien (USB-Stick o. ä.) ist auf eine eindeutige Kennzeichnung zu achten, wobei zeitgleich kein Rückschluss auf den Inhalt für Dritte möglich ist. Außerdem dürfen nur manipulationssichere Versandarten mit Nachweissystemen verwendet werden.

Netzwerksicherheit

Der Einsatz einer Firewall als Absicherung des Netzwerks gegenüber dem Internet ist verpflichtend, ebenso wie die Dokumentation des Netzwerks in Form eines Netzplans.