Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung, 75b SGB V (Sozialgesetzbuch- Fünftes Buch- Gesetzliche Krankenversicherung)

26. März 2021

Datenschutz und IT-Recht

  1. Hintergrund

Im Digitale-Versorgung-Gesetz beauftragt der Gesetzgeber die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln, § 75b SGB V. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein, wobei diese nicht neu erfunden wurden, sondern die bestehenden Vorgaben lediglich konkretisiert und praxistauglich dargestellt werden.

  1. Zweck

Der Hauptzweck dieser Richtlinie besteht darin, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. Auf der extra eingerichteten Online-Plattform sind alle Anforderungen aufgeführt und die Musterdokumente abrufbar, um beispielsweise den ab 1. April 2021 erforderlichen Netzplan zu erstellen, falls die Praxis über ein internes Netzwerk verfügt (https://hub.kbv.de/display/itsrl).

  1. Auswahl umzusetzender Inhalte:

 

  • Anforderungen an alle Praxen für IT-Sicherheit (bis zu 5 Personen ständig mit der Datenverarbeitung betreut):

Ab 1. April 2021

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt.
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden.
  • Es werden verschlüsselte Internetanwendungen genutzt.
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden.
  • Es werden keine vertraulichen Daten über Apps versendet.
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt.
  • Nach der Nutzung eines Gerätes meldet sich die Person ab.
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert.

Ab 1. Januar 2022

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt.
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen.
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen.
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden.
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern.
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert.
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt.
  • Anforderungen zusätzlich für mittlere Praxen (6-20 Personen)

Ab 1. April 2021: App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).

Ab 1. Januar 2022: Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie

  • Anforderungen zusätzlich für große Praxen (mehr als 20 Personen oder es handelt sich um eine Praxis, bei der die Datenvereinbarung über die normale Datenübermittlung hinausgeht; z.B. Labor, Groß-MVZ mit Krankenhausähnlichen Strukturen)

ab 1. Januar 2022: Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie

  • Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten (z.B. CT, MRT, PET, Linearbeschleuniger)

ab 1. Januar 2022: Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden

  1. Weitere Richtlinie für IT-Dienstleister

Der Gesetzgeber hat eine weitere Richtlinie beauftragt: Diese soll die Zertifizierung von Dienstleistern nach § 75b Abs. 5 SGB V regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen.

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten ab 1. Januar 2021.

Wenn Sie weitere Fragen zur IT-Sicherheit, zur Richtlinie oder deren Umsetzung haben, wenden Sie sich gerne an uns.