1. Hinter­grund

Im Digitale-​​Versorgung-​​Gesetz beauf­tragt der Gesetz­geber die Kassen­ärzt­liche Bundes­ver­ei­nigung (KBV) und die Kassen­zahn­ärzt­liche Bundes­ver­ei­nigung (KZBV) damit, eine IT-​​Sicherheitsrichtlinie für alle Praxen zu entwi­ckeln, § 75b SGB V. Darin sollen die Anfor­de­rungen zur Gewähr­leistung der IT-​​Sicherheit verbindlich fest­gelegt sein, wobei diese nicht neu erfunden wurden, sondern die beste­henden Vorgaben lediglich konkre­ti­siert und praxis­tauglich darge­stellt werden.

 

  1. Zweck

Der Haupt­zweck dieser Richt­linie besteht darin, IT-​​Systeme und sensible Daten in den Praxen noch besser zu schützen. So sollen klare Vorgaben dabei helfen, Pati­en­ten­daten noch sicherer zu verwalten und Risiken wie Daten­verlust oder Betriebs­ausfall zu mini­mieren. Auf der extra einge­rich­teten Online-​​Plattform sind alle Anfor­de­rungen aufge­führt und die Muster­do­ku­mente abrufbar, um beispiels­weise den ab 1. April 2021 erfor­der­lichen Netzplan zu erstellen, falls die Praxis über ein internes Netzwerk verfügt (https://​hub​.kbv​.de/​d​i​s​p​l​a​y​/​itsrl).

 

  1. Auswahl umzu­set­zender Inhalte:

 

  • Anfor­de­rungen an alle Praxen (bis zu 5 Personen ständig mit der Daten­ver­ar­beitung betreut):

 

Ab 1. April 2021

  • In der Praxis werden aktuelle Viren­schutz­pro­gramme einge­setzt.
  • Der Internet-​​Browser ist so einge­stellt, dass in dem Browser keine vertrau­lichen Daten gespei­chert werden.
  • Es werden verschlüs­selte Inter­net­an­wen­dungen genutzt.
  • Apps werden nur aus den offi­zi­ellen App-​​Stores herun­ter­ge­laden und restlos gelöscht, wenn sie nicht mehr benötigt werden.
  • Es werden keine vertrau­lichen Daten über Apps versendet.
  • Smart­phones und Tablets sind mit einem komplexen Gerä­te­sperrcode geschützt.
  • Nach der Nutzung eines Gerätes meldet sich die Person ab.
  • Das interne Netzwerk ist anhand eines Netz­planes doku­men­tiert.

 

Ab 1. Januar 2022

  • Bei der Bereit­stellung und dem Betreiben von Internet-​​Anwendungen wie Praxis-​​Homepage oder Online-​​Terminkalender wird eine Firewall einge­setzt.
  • Bei der Bereit­stellung und dem Betreiben von Internet-​​Anwendungen wie Praxis-​​Homepage oder Online-​​Terminkalender werden keine auto­ma­ti­sierten Zugriffe bzw. Aufrufe auf Weban­wen­dungen einge­richtet oder zuge­lassen.
  • Auf Endge­räten, z.B. einem Praxis­rechner, erfolgt eine regel­mäßige Daten­si­cherung, wobei in einem Plan fest­gelegt ist, welche Daten wie oft gesichert werden sollen.
  • Bei Verlust eines Mobil­te­lefons (Dienst­handy) muss die darin verwendete SIM-​​Karte zeitnah gesperrt werden.
  • Wech­sel­da­ten­träger müssen bei jeder Verwendung mit einem aktuellen Schutz­pro­gramm auf Schad­software überprüft werden.
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspei­chern.
  • Für die dezen­tralen Kompo­nenten der Tele­ma­tik­in­fra­struktur werden Updates zeitnah instal­liert.
  • Für die dezen­tralen Kompo­nenten der Tele­ma­tik­in­fra­struktur werden die Admi­nis­tra­ti­ons­daten sicher aufbe­wahrt.

 

  • Anfor­de­rungen zusätzlich für mittlere Praxen (6 – 20 Personen)

 

Ab 1. April 2021: App-​​Berechtigungen mini­mieren: Bevor eine App einge­führt wird, muss sicher­ge­stellt werden, dass sie nur die minimal benö­tigten App-​​Berechtigungen für ihre Funktion erhält; weitere müssen hinter­fragt und gege­be­nen­falls unter­bunden werden (vgl. Anlage 2 Nummer 1).

 

Ab 1. Januar 2022: Werden Mobil­te­lefone für dienst­liche Zwecke verwendet, muss eine Nutzungs– und Sicher­heits­richt­linie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Muster­do­kument auf der Online-​​Plattform zur IT-​​Sicherheitsrichtlinie

 

  • Anfor­de­rungen zusätzlich für große Praxen (mehr als 20 Personen oder es handelt sich um eine Praxis, bei der die Daten­ver­ein­barung über die normale Daten­über­mittlung hinausgeht; z.B. Labor, Groß-​​MVZ mit Kran­ken­hau­s­ähn­lichen Struk­turen)

 

ab 1. Januar 2022: Bevor eine Praxis Smart­phones oder Tablets bereit­stellt, betreibt oder einsetzt, muss eine generelle Richt­linie im Hinblick auf die Nutzung und Kontrolle der Geräte fest­gelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Muster­do­kument auf der Online-​​Plattform zur IT-​​Sicherheitsrichtlinie

 

  • Anfor­de­rungen zusätzlich für Praxen mit medi­zi­ni­schen Groß­ge­räten (z.B. CT, MRT, PET, Line­ar­be­schleu­niger)

 

ab 1. Januar 2022: Bevor eine Praxis Smart­phones oder Tablets bereit­stellt, betreibt oder einsetzt, muss eine generelle Richt­linie im Hinblick auf die Nutzung und Kontrolle der Geräte fest­gelegt werden

 

  1. Weitere Richt­linie für IT-​​Dienstleister

Der Gesetz­geber hat eine weitere Richt­linie beauf­tragt: Diese soll die Zerti­fi­zierung von Dienst­leistern nach § 75b Abs. 5 SGB V regeln, die die Ärzte in IT-​​Sicherheitsfragen beraten und die Vorgaben der Sicher­heits­richt­linie umsetzen.

 

Beide Richt­linien wurden von der KBV-​​Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten ab 1. Januar 2021.

 

Wenn Sie weitere Fragen zur Richt­linie oder deren Umsetzung haben, wenden Sie sich gerne an uns.