KBV IT-Sicherheitsrichtlinie

Ärztin vor Computer - digitale Praxis - KBV IT-Sicherheitsrichtlinie

Die Umsetzung der Vorgaben aus §75 SGB V (KBV IT-Sicherheitsrichtlinie) zur IT-Sicherheit in Praxen, stellt viele Ärzte vor zusätzliche Herausforderungen.

 

Im Paragraph 75b des Sozialgesetzbuches V (§ 75b SGB V) ist seit dem 30.Juni 2020 eine Richtlinie zur Gewährleistung der IT-Sicherheit in ärztlichen und zahnärztlichen Praxen von den Kassenärztlichen Bundesvereinigungen (KBV IT-Sicherheitsrichtlinie), welche die sichere Installation und Wartung der IT-Komponenten und ausdrücklich der Telematikinfrastruktur die in den Praxen zum Einsatz kommt, verlangt (vollständiger Gesetzestext s.u.).

Im Wesentlichen sind die Vorgaben der KBV IT-Sicherheitsrichtlinie in denen der DSGVO begründet. Die Kassenärztliche Bundesvereinigung hat lediglich den Auftrag erhalten, die allgemein gehaltenen Vorschriften aus der Datenschutzgrundverordnung (DSGVO) für ärztliche und zahnärztliche Praxen zu präzisieren und verbindlich vorzuschreiben.
Ein Teil dieser Vorschriften sind seit dem 1. April 2021 verpflichtend in Kraft, ein zweites Vorschriftenpaket wird ab dem 1. Januar 2022 umgesetzt werden.

Die Umsetzung der Vorgaben aus § 75b SGV V obliegt in der Verantwortung des jeweiligen Arztes, regelmäßig werden jedoch auch die für die Praxis tätigen IT-Dienstleister hiermit beauftragt.

Hier kommen wir ins Spiel. Als IT-Systemhaus und Dienstleister für Unternehmen, halten wir bereits seit 2011 Mandate als externe Datenschutzbeauftragte (eDSB) bei unseren gewerblichen Kunden. Die präzisierte Vorschrift aus der KBV IT-Sicherheitsrichtlinie ist im Grunde eine angepasste Variante der technischen und organisatorischen Maßnahmen (T.O.M) die bei Unternehmen im Rahmen der DSGVO festgelegt und dokumentiert werden. Da wir bereits seit über 20 Jahren auch ärztliche und zahnärztliche Praxen zu unseren Kunden zählen, können wir die Umsetzung und Kontrolle der von der Kassenärztlichen Bundesvereinigung verlangten Maßnahmen, gerne für Sie durchführen.

Erste Anforderungen zur Umsetzung seit dem 1. April 2021

Wie groß ist meine Praxis? Einordnung der Praxistypen nach der KBV IT-Sicherheitsrichtlinie.

  1. „normale“ Praxis.
    Es sind üblicherweise bis zu fünf Personen ständig mit der Datenverarbeitung betraut. Anforderungen an alle Praxen Anlage 1 der KBV Praxishinweise.
  2. Mittlere Praxis
    Es sind zwischen 6 und 20 Personen ständig mit der Verarbeitung von Daten betraut. Besondere Anforderungen für mittlere Praxen Anlage 2 der KBV Praxishinweise.
  3. Große Praxis
    Es sind entweder mehr als 20 Personen ständig mit der Verarbeitung beschäftigt, oder es handelt sich um die Verarbeitung von Daten die über die normale Datenübermittlung hinaus geht (Labore, Medizinische Versorgungszentren, etc.). Besondere Anforderungen für große Praxen Anlage 3 der KBV Praxishinweise.
  4. Einsatz medizinischer Großgeräte
    Es werden Geräte wie CT, MRT, PET, o.ä. eingesetzt. Erläuterungen zu den medizinischen Großgeräten.

 

Arzt bei einer digitalen Sprechstunde - KBV IT-Sicherheitsrichtlinie

Auch die digitale Sprechstunde stellt Herausforderungen an Arztpraxen was die IT-Sicherheit betrifft – KBV IT-Sicherheitsrichtlinie.

Anforderungen an die IT-Sicherheit in allen Praxen – erster Schritt (ab 01.04.2021)

  • Einsatz von aktuellen Virenschutzprogrammen an allen Arbeitsplätzen in der Praxis
  • Der verwendete Webbrowser ist so konfiguriert, dass keine vertraulichen Daten im Browser gespeichert werden
  • Es werden ausschließlich verschlüsselte Internetanwendungen genutzt
  • Apps werden nur aus offiziellen App-Stores heruntergeladen und vollständig gelöscht, sobald sie nicht mehr benötigt werden
  • Es werden keine vertraulichen Daten über Apps versendet
  • Smartphones und Tablets müssen mit einem komplexen Sperrcode gesichert werden
  • Nach der Gerätenutzung (PC, Notebook, Smartphone, Tablet o.ä.) meldet sich die Person ab
  • Das Praxisnetzwerk ist vollständig dokumentiert

Weitere Links

Musterdokumente zur Einhaltung der KBV IT-Sicherheitsrichtlinie als Vorlage

Vorgaben zur Zertifizierung, Konnektoren, Lesegeräte, SMC-B, etc.

Artzt tippt auf Tastatur - KBV IT-Sicherheitsrichtlinie

Praxis-IT muss längst nicht mehr nur funktionieren, sondern auch gesetzlichen Anforderungen genügen.

§ 75b SGB V Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung

 

(1) Die Kassenärztlichen Bundesvereinigungen legen bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest. Die Richtlinie umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden.
(2) Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen Leistungserbringer in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden.
(3) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen und sind jährlich an den Stand der Technik und an das Gefährdungspotential anzupassen. Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen. Die Anforderungen nach Absatz 1 Satz 2 legen die Kassenärztlichen Bundesvereinigungen zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.
(4) Die Richtlinie ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. Die Richtlinie ist nicht anzuwenden für die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen getroffen werden. Angemessene Vorkehrungen im Sinne von Satz 2 gelten als getroffen, wenn die organisatorischen und technischen Vorkehrungen nach § 8a Absatz 1 des BSI-Gesetzes oder entsprechende branchenspezifische Sicherheitsstandards umgesetzt wurden.
(5) Die Kassenärztlichen Bundesvereinigungen müssen ab dem 30. Juni 2020 die Mitarbeiterinnen und Mitarbeiter der Anbieter im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.
Die Vorgaben für die Zertifizierung werden von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen bis zum 31. März 2020 erstellt. In Bezug auf die Anforderungen nach Absatz 1 Satz 2 legen die Kassenärztlichen Bundesvereinigungen die Vorgaben für die Zertifizierung der Mitarbeiterinnen und Mitarbeiter der Anbieter nach Satz 1 im Benehmen mit der Gesellschaft für Telematik fest.