In die­sem Jahr sind die Rege­lun­gen der IT-Sicher­heits­richt­li­nie §75b SGB V in Kraft getre­ten. Mit den neu­en Vor­ga­ben gel­ten nun ver­bind­li­che Anfor­de­run­gen an die IT-Sicher­heit für Arzt‑, Psy­cho­the­ra­pie- und Zahn­arzt­pra­xen. Die Umset­zungs­ter­mi­ne der ver­schie­de­nen Maß­nah­men sind gestaf­felt, begin­nend mit dem 01. April 2021.

IT-Sicher­heits­richt­li­nie §75b SGB V

Die IT-Sicher­heits­richt­li­nie §75b SGB V for­mu­liert ver­bind­li­che Maß­nah­men und Vor­keh­run­gen für die Sicher­heits­an­for­de­run­gen in Arzt‑, Psy­cho­the­ra­pie- und Zahn­arzt­pra­xen. Sie beschreibt das Min­dest­maß der zu ergrei­fen­den Vor­keh­run­gen, um die IT-Sicher­heit zu gewähr­leis­ten und damit sowohl die IT-Sys­te­me als auch die sen­si­blen Daten der Pati­en­ten aus­rei­chend zu schüt­zen. Berück­sich­ti­gung fin­den dar­in unter ande­rem das Sicher­heits­ma­nage­ment der IT-Sys­te­me, genutz­ter Anwen­dun­gen und Diens­te sowie das Auf­spü­ren von Sicher­heits­vor­fäl­len. Die Anfor­de­run­gen ori­en­tie­ren sich am aktu­el­len Stand der Tech­nik und zie­len dar­auf ab, den Daten­schutz in Pra­xen an die Vor­ga­ben der euro­päi­schen Daten­schutz­grund­ver­ord­nung (DSGVO) anzugleichen. 

Wel­che Maß­nah­men in wel­chem Umfang von den ein­zel­nen Pra­xen umge­setzt wer­den müs­sen, ist abhän­gig von der Grö­ße bzw. der Anzahl der Mit­ar­bei­ter. Dabei wird zwi­schen drei ver­schie­de­nen Grö­ßen­klas­sen unterschieden:

  1. Pra­xis: Bis zu fünf stän­dig mit der Daten­ver­ar­bei­tung betrau­te Personen
  2. Mitt­le­re Pra­xis: Von 6 bis 20 stän­dig mit der Daten­ver­ar­bei­tung betrau­te Personen
  3. Groß­pra­xis: Über 20 stän­dig mit der Daten­ver­ar­bei­tung betrau­te Personen

Was bedeu­tet „stän­dig mit der Daten­ver­ar­bei­tung betrau­te Personen“?

Der Aus­druck stammt aus dem Daten­schutz­recht und beschreibt die ver­bind­li­che Beru­fung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten. Um die Anzahl die­ser Per­so­nen in einer Pra­xis fest­zu­le­gen, müs­sen alle Voll- und Teil­zeit­be­schäf­tig­ten gezählt wer­den, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten – unab­hän­gig von Zeit und Umfang.

Grund­sätz­lich zäh­len alle Mit­glie­der eines Pra­xis­teams sowie die Pra­xis­in­ha­be­rin bzw. der Pra­xis­in­ha­ber dazu, die mit dem Pra­xis­ver­wal­tungs­sys­tem (PVS) arbei­ten. Nicht dar­un­ter fal­len bspw. Rei­ni­gungs­kräf­te oder sons­ti­ge Mit­ar­bei­ter, die kei­nen Zugang zu daten­ver­ar­bei­ten­den Sys­te­men der Pra­xis haben.

Die KBV bzw. die KZBV stellt die umzu­set­zen­den Maß­nah­men in einem umfas­sen­den Doku­ment mit einer kur­zen Erläu­te­rung dar. Eben­falls dort zu fin­den ist der Gel­tungs­zeit­punkt der jewei­li­gen Anforderung.

Her­aus­for­de­run­gen bei der Ein­hal­tung der IT-Sicherheitsrichtlinie

Bei der Umset­zung der IT-Sicher­heits­richt­li­nie ent­ste­hen diver­se Her­aus­for­de­run­gen für Pra­xis­in­ha­ber und Praxisinhaberinnen:

U
Gegen­wär­ti­gen IT-Bestand identifizieren

Der aktu­el­le Bestand der IT muss iden­ti­fi­ziert und mit den Anfor­de­run­gen der Richt­li­nie abge­gli­chen wer­den. Nur so kann fest­ge­stellt wer­den, wel­che Maß­nah­men erfüllt sind bzw. wel­che bis zum fest­ge­leg­ten Gel­tungs­zeit­punkt noch rea­li­siert wer­den müssen.

Die Anfor­de­run­gen umsetzen

Die Maß­nah­men sind eher als gene­rel­le Vor­ge­hens­wei­sen for­mu­liert und bezie­hen sich auch nicht auf ein­zel­ne Anbie­ter oder Diens­te. Die not­wen­di­gen Kennt­nis­se über indi­vi­du­ell rele­van­te Maß­nah­men, mög­li­che Miss­stän­de sowie eine zeit­ge­rech­te Umset­zung lie­gen einem Nicht-IT-Fach­mann nicht voll­um­fäng­lich vor.

Kon­ti­nu­ier­li­che Aktua­li­tät gewährleisten

Der IT-Bestand sowie die Daten müs­sen dau­er­haft aktu­ell gehal­ten wer­den. Dar­über hin­aus soll die IT-Sicher­heits­richt­li­nie im Ein­ver­neh­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und dem Bun­des­ge­sund­heits­mi­nis­te­ri­um jähr­lich aktua­li­siert wer­den. Es sind somit auch hier regel­mä­ßi­ge Über­prü­fun­gen bzgl. mög­li­cher Anpas­sun­gen vorzunehmen.

Per­sön­lich absichern 

Die IT-Sicher­heits­richt­li­nie rich­tet sich nach der DSGVO. Im Fal­le von Ver­stö­ßen gegen die­se kön­nen Pra­xis­in­ha­ber und Inha­be­rin­nen per­sön­lich zur Haf­tung gezo­gen werden.

Um die­se Her­aus­for­de­run­gen zu meis­tern, ist ein ver­trau­ens­wür­di­ger IT-Part­ner von gro­ßer Bedeu­tung. Aber auch auf Soft­ware­ebe­ne gibt es Lösun­gen, die bei der Umset­zung und Ein­hal­tung der Anfor­de­run­gen unterstützen.

Mit Docus­nap den Anfor­de­run­gen gerecht werden

Bei Docus­nap han­delt es sich um ein Soft­ware­pro­dukt, das auto­ma­tisch und in regel­mä­ßi­gen Abstän­den die gesam­te IT-Infra­struk­tur eines Betrie­bes bzw. einer Pra­xis inven­ta­ri­siert und doku­men­tiert. Es kann somit ein­fach und schnell den gegen­wär­ti­gen IT-Bestand iden­ti­fi­zie­ren. Berück­sich­ti­gung fin­den dabei neben phy­si­sche Gerä­te wie Ser­ver, PCs, Dru­ckern, Lap­tops und Smart­pho­nes auch die im Ein­satz befind­li­che Soft­ware, wie z.B. Office-Pro­duk­te. Auch die in die­sem Zusam­men­hang gekauf­ten Lizenz­ver­trä­ge las­sen sich dokumentieren.

Ist Docus­nap ein­mal ein­ge­rich­tet, sinkt der admi­nis­tra­ti­ve Auf­wand enorm. Durch eine auto­ma­tisch statt­fin­den­de, regel­mä­ßi­ge Aktua­li­sie­rung der inven­ta­ri­sier­ten Daten bleibt die ein­ge­rich­te­te Doku­men­ta­ti­on immer auf einen aktu­el­len Stand. Somit ist schnell ersicht­lich, an wel­chen Stel­len der IT even­tu­ell Hand­lungs­be­darf vor­liegt. Dar­über hin­aus gibt es die Mög­lich­keit über­sicht­li­che Plä­ne ein­zel­ner Netz­wer­ke bzw. der gesam­ten Netz­werk-Topo­lo­gie zu erstel­len. So ist auch im Fal­le von zukünf­ti­gen Anpas­sun­gen eine schnel­le Reak­ti­on möglich.

Wei­te­re Funk­tio­nen, die bei der Ein­hal­tung der IT-Sicher­heits­richt­li­nie unter­stüt­zen, sind z.B. ein Sta­tus­be­richt für Viren­schutz­pro­gram­me oder Infor­ma­tio­nen über die genutz­ten Spei­cher­me­di­en bzw. Backup-Programme.

Zer­ti­fi­zie­rung der Sach­kun­de – BCS ist bes­tens vorbereitet

Um sicher­zu­ge­hen, dass alle ver­füg­ten Maß­nah­men auch geset­zes­kon­form unge­setzt wer­den, ist es rat­sam einen fach­kun­di­gen IT-Dienst­leis­ter zu beauf­tra­gen. Sei­ne Kom­pe­tenz und Sach­kun­de im Zusam­men­hang mit den Erfor­der­nis­sen der IT-Sicher­heits­richt­li­nie beweist die­ser mit einer Zer­ti­fi­zie­rung nach dem Stan­dard der KVB. Für den Erhalt die­ses Zer­ti­fi­kats muss eine Prü­fung abge­legt wer­den, bei der der Dienst­leis­ter sei­ne Kennt­nis­se und Fähig­kei­ten im IT-Sicher­heits­um­feld nach­weist. Der Fokus der Prü­fung liegt dabei auf der Über­prü­fung eines ganz­heit­li­chen Ansat­zes für die Ein­füh­rung der IT-Sicher­heits­maß­nah­men in ver­trags­ärzt­li­chen und ver­trags­zahn­ärzt­li­chen Praxen.

Uns bei BCS liegt in Kür­ze die­se Zer­ti­fi­zie­rung vor, sodass wir Sie zu den zahl­rei­chen Punk­ten der Ver­ord­nung aus­führ­lich bera­ten und indi­vi­du­ell zuge­schnit­te­ne Maß­nah­men für Ihre Pra­xis umset­zen können.

 

Wün­schen Sie ein Beratungsgespräch?

Schil­dern Sie uns ger­ne Ihre indi­vi­du­el­len Her­aus­for­de­run­gen über das Kon­takt­for­mu­lar. Wir set­zen uns umge­hend mit Ihnen in Verbindung.

Möch­ten Sie noch spe­zi­fi­sche­re Infor­ma­tio­nen dar­über, bei wel­chen Punk­ten der IT-Sicher­heits­richt­li­nie Sie von Docus­nap unter­stützt wer­den? Dann schau­en Sie hier.

Benö­ti­gen Sie zunächst grund­sätz­lich nähe­re Infor­ma­tio­nen zu der Richt­li­nie? Schau­en Sie auf der Web­site der KBV bzw. der KZBV vorbei.