Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 
aktualisiert am 12.07.2023

IT-Sicherheitsrichtlinie

Richtlinie zur Datensicherheit der Praxis-IT

IT-Systeme und sensible Daten in den Praxen noch besser schützen: Das ist eines der Ziele der IT-Sicherheitsrichtlinie, die die KBV erstellt hat. So sollen klare Vorgaben dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. 

Weiterhin hat die KBV eine Richtlinie für die Zertifizierung von Dienstleistern beschlossen, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der IT-Sicherheitsrichtlinie umsetzen. 

Video: IT-Sicherheitsrichtlinie im Überblick

Den sicheren Umgang mit personenbezogen Daten regelt die DS-GVO, kurz für Datenschutz-Grundverordnung. Europaweit, seit 2018.
Für die Praxen allerdings teils zu ungenau, oder nicht passend.
Daher hat der Gesetzgeber die KBV damit beauftragt, diese Regelungen für Praxen zu übersetzen, zu vereinheitlichen und verbindlich zu regeln: im Einvernehmen mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik – in der so genannten IT-Sicherheitsrichtlinie.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Ich halte sie für einen guten Kompromiss zwischen den hohen Anforderungen, die das BSI ursprünglich hatte und der Umsetzungsfähigkeit, die Praxen. Denn wir dürfen nicht vergessen, dass es in jedem Fall um sensible Daten in der Praxis geht und dass der Arzt unabhängig von dieser Richtlinie jede Praxis einem gewissen Haftungsrisiko ausgesetzt ist. Jeder Arzt möchte, dass er die Daten, die ihm anvertraut werden, sicher verwahrt.
Die Betriebssicherheit muss gewährleistet sein und da war bisher keine klare Richtlinie für da. Jeder Arzt hat das gemacht, sicherlich auch sehr gut, aber ich sehe da einen festen Handlungsrahmen. Insofern begrüße ich diese Festlegung.
Und im Gesetz steht auch drin, dass diese Richtlinie immer wieder angepasst werden muss. Angepasst werden muss auf mögliche andere technische Möglichkeiten, aber auch neue Bedrohungsszenarien.
Insofern hat die Ärzteschaft damit einen festen Rahmen, mit dem sie umgehen kann. Und wir glauben, sie sind auch praktikabel. Wir werden immer darauf achten, dass auch bei den Anpassungen immer die Praktikabilität im Vordergrund stehen muss.“

Wieviel Sicherheit nötig ist, richtet sich nach zwei Punkten: der Anzahl derjenigen, die ständig mit der Datenverarbeitung betraut sind und dem Umfang der Datenverarbeitung.

Obendrauf kommen zusätzliche Anforderungen für Praxen die mit medizinischen Großgeräten arbeiten. Aber auch für die dezentralen Komponenten der Telematik Infrastruktur, wie zum Beispiel dem Konnektor.

Um es den Praxen zu erleichtern, ist die Einführung in mehrere Etappen aufgeteilt.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Wir gehen davon aus, dass es in den wenigsten Praxen einen sehr hohen Aufwand bedeuten wird, weil viele Praxen haben sich schon selbst drum gekümmert. Allerdings der Aufwand wird sein, dass jede Praxis gut beraten ist, wenn sie sich einmal die Richtlinie durchliest, evtl., wenn sie unsicher ist, auch mit ihrem Berater, sofern sie einen hat, durchspricht und sagt, habe ich Anpassungsbedarf.“

Wer auf Nummer Sicher gehen möchte, sollte einen Dienstleister beauftragen und noch sicherer: ein entsprechend zertifizierter Dienstleister.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Der Gesetzgeber hat uns zwei Richtlinien aufgegeben einmal die Sicherheitsrichtlinien für die Arztpraxis und eine zweite Richtlinie für die Zertifizierung von Dienstleistern. Und nach dieser zweiten Richtlinie hat die KBV den Auftrag, Dienstleister, die sich zertifizieren lassen wollen, auch zu zertifizieren. Und über ein erfolgreichstes Zertifikat wird die KBV dann auf ihrer Internetseite auch Informationen geben, sodass der Arzt sich dahin wenden kann. Dann weiß er, wo er einen zertifizierten Dienstleister finden kann.“

Im Internet stellt die KBV ein ganzes Infopaket für Praxen zu der IT-Sicherheitsrichtlinie bereit.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Wir halten es für notwendig, dass wir die Richtlinien auch handhabbar machen. Wir wollen Anwendungshinweise dazu geben. Wir halten die Richtlinien per se für auch in sich lesbar. Aber nicht jeder Arzt ist ein EDV Experte. Deshalb ist es uns notwendig, dass wir als KBV, aber auch gemeinsam mit den KVen natürlich Anwendungshinweise geben.

So vereinfachen beispielsweise bereitgestellte Musterdokumente das schnelle umsetzen einzelner Vorgaben.

O-Ton Dr. Thomas Kriedel, Mitglied des Vorstands der KBV:

„Die Richtlinie sieht vor, dass man für den Einsatz von mobilen Geräten eine Richtlinie der Praxis haben soll, wenn beispielsweise eine Mitarbeiterin ein Diensthandy bekommt, vielleicht zum Patienten geht, da muss geregelt sein was darf mit diesem Handy gemacht werden und darf eine Richtlinie zu schreiben, da wird mancher Arzt oder Praxis sagen - Oh, wie soll ich das machen?
Dazu haben wir beispielsweise Mustertexte vorbereitet, die können heruntergeladen werden und die können dann vom Arzt auf die Praxis Bedingungen adaptiert werden. So stellen wir uns das vor. Es wird auch Erklärvideos geben und natürlich auch einzelne Anfragen werden beantwortet.“

Ausführliche Informationen finden Sie auf der Online-Plattform hub.kbv.de
Die Seite wird stetig aktualisiert und bei Bedarf um neue Informationen erweitert.

IT-Sicherheitsrichtlinie: Fristen und Vorgaben (Auswahl)

Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss meine Praxis ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen?

Da die IT-Sicherheitsrichtlinie keine neuen Vorgaben „erfindet“, sondern bestehende konkretisiert und praxistauglich macht (zum Beispiel aus der EU- Datenschutzgrundverordnung), werden die meisten Anforderungen bereits von den Praxen umgesetzt.

Anforderungen an alle Praxen *

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
  • Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
  • Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
  • Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Ab 1. Januar 2022

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).

Anforderungen zusätzlich für mittlere Praxen *

  • App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).

ab 1. Januar 2022

  • Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

Anforderungen zusätzlich für große Praxen *

ab 1. Januar 2022

  • Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

 

Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten *

ab 1. Juli 2021

  • Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

Erläuterung zur *Praxistypen

Praxistyp:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.

Hintergrund der Richtlinien

Hinter der Richtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragte er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollten die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die Richtlinie: 

  • Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
  • Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.  

Zudem hatten KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. 

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten seid 1. Januar 2021. Im Einverständnis mit der KZBV wird das Verfahren der Zertifizierung durch die KBV durchgeführt. 

Übersicht: Zertifizierte IT-Dienstleister

In einem Verzeichnis werden IT-Dienstleister aufgeführt, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden.

Dies ist ein optionales Angebot. Praxisinhaberinnen und -inhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.