In diesem Jahr sind die Regelungen der IT-Sicherheitsrichtlinie §75b SGB V in Kraft getreten. Mit den neuen Vorgaben gelten nun verbindliche Anforderungen an die IT-Sicherheit für Arzt‑, Psychotherapie- und Zahnarztpraxen. Die Umsetzungstermine der verschiedenen Maßnahmen sind gestaffelt, beginnend mit dem 01. April 2021.
IT-Sicherheitsrichtlinie §75b SGB V
Die IT-Sicherheitsrichtlinie §75b SGB V formuliert verbindliche Maßnahmen und Vorkehrungen für die Sicherheitsanforderungen in Arzt‑, Psychotherapie- und Zahnarztpraxen. Sie beschreibt das Mindestmaß der zu ergreifenden Vorkehrungen, um die IT-Sicherheit zu gewährleisten und damit sowohl die IT-Systeme als auch die sensiblen Daten der Patienten ausreichend zu schützen. Berücksichtigung finden darin unter anderem das Sicherheitsmanagement der IT-Systeme, genutzter Anwendungen und Dienste sowie das Aufspüren von Sicherheitsvorfällen. Die Anforderungen orientieren sich am aktuellen Stand der Technik und zielen darauf ab, den Datenschutz in Praxen an die Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) anzugleichen.
Welche Maßnahmen in welchem Umfang von den einzelnen Praxen umgesetzt werden müssen, ist abhängig von der Größe bzw. der Anzahl der Mitarbeiter. Dabei wird zwischen drei verschiedenen Größenklassen unterschieden:
- Praxis: Bis zu fünf ständig mit der Datenverarbeitung betraute Personen
- Mittlere Praxis: Von 6 bis 20 ständig mit der Datenverarbeitung betraute Personen
- Großpraxis: Über 20 ständig mit der Datenverarbeitung betraute Personen
Was bedeutet „ständig mit der Datenverarbeitung betraute Personen“?
Der Ausdruck stammt aus dem Datenschutzrecht und beschreibt die verbindliche Berufung eines betrieblichen Datenschutzbeauftragten. Um die Anzahl dieser Personen in einer Praxis festzulegen, müssen alle Voll- und Teilzeitbeschäftigten gezählt werden, die personenbezogene Daten verarbeiten – unabhängig von Zeit und Umfang.
Grundsätzlich zählen alle Mitglieder eines Praxisteams sowie die Praxisinhaberin bzw. der Praxisinhaber dazu, die mit dem Praxisverwaltungssystem (PVS) arbeiten. Nicht darunter fallen bspw. Reinigungskräfte oder sonstige Mitarbeiter, die keinen Zugang zu datenverarbeitenden Systemen der Praxis haben.
Die KBV bzw. die KZBV stellt die umzusetzenden Maßnahmen in einem umfassenden Dokument mit einer kurzen Erläuterung dar. Ebenfalls dort zu finden ist der Geltungszeitpunkt der jeweiligen Anforderung.
Herausforderungen bei der Einhaltung der IT-Sicherheitsrichtlinie
Bei der Umsetzung der IT-Sicherheitsrichtlinie entstehen diverse Herausforderungen für Praxisinhaber und Praxisinhaberinnen:
Gegenwärtigen IT-Bestand identifizieren
Der aktuelle Bestand der IT muss identifiziert und mit den Anforderungen der Richtlinie abgeglichen werden. Nur so kann festgestellt werden, welche Maßnahmen erfüllt sind bzw. welche bis zum festgelegten Geltungszeitpunkt noch realisiert werden müssen.
Die Anforderungen umsetzen
Die Maßnahmen sind eher als generelle Vorgehensweisen formuliert und beziehen sich auch nicht auf einzelne Anbieter oder Dienste. Die notwendigen Kenntnisse über individuell relevante Maßnahmen, mögliche Missstände sowie eine zeitgerechte Umsetzung liegen einem Nicht-IT-Fachmann nicht vollumfänglich vor.
Kontinuierliche Aktualität gewährleisten
Der IT-Bestand sowie die Daten müssen dauerhaft aktuell gehalten werden. Darüber hinaus soll die IT-Sicherheitsrichtlinie im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesgesundheitsministerium jährlich aktualisiert werden. Es sind somit auch hier regelmäßige Überprüfungen bzgl. möglicher Anpassungen vorzunehmen.
Persönlich absichern
Die IT-Sicherheitsrichtlinie richtet sich nach der DSGVO. Im Falle von Verstößen gegen diese können Praxisinhaber und Inhaberinnen persönlich zur Haftung gezogen werden.
Um diese Herausforderungen zu meistern, ist ein vertrauenswürdiger IT-Partner von großer Bedeutung. Aber auch auf Softwareebene gibt es Lösungen, die bei der Umsetzung und Einhaltung der Anforderungen unterstützen.
Mit Docusnap den Anforderungen gerecht werden
Bei Docusnap handelt es sich um ein Softwareprodukt, das automatisch und in regelmäßigen Abständen die gesamte IT-Infrastruktur eines Betriebes bzw. einer Praxis inventarisiert und dokumentiert. Es kann somit einfach und schnell den gegenwärtigen IT-Bestand identifizieren. Berücksichtigung finden dabei neben physische Geräte wie Server, PCs, Druckern, Laptops und Smartphones auch die im Einsatz befindliche Software, wie z.B. Office-Produkte. Auch die in diesem Zusammenhang gekauften Lizenzverträge lassen sich dokumentieren.
Ist Docusnap einmal eingerichtet, sinkt der administrative Aufwand enorm. Durch eine automatisch stattfindende, regelmäßige Aktualisierung der inventarisierten Daten bleibt die eingerichtete Dokumentation immer auf einen aktuellen Stand. Somit ist schnell ersichtlich, an welchen Stellen der IT eventuell Handlungsbedarf vorliegt. Darüber hinaus gibt es die Möglichkeit übersichtliche Pläne einzelner Netzwerke bzw. der gesamten Netzwerk-Topologie zu erstellen. So ist auch im Falle von zukünftigen Anpassungen eine schnelle Reaktion möglich.
Weitere Funktionen, die bei der Einhaltung der IT-Sicherheitsrichtlinie unterstützen, sind z.B. ein Statusbericht für Virenschutzprogramme oder Informationen über die genutzten Speichermedien bzw. Backup-Programme.
Zertifizierung der Sachkunde – BCS ist bestens vorbereitet
Um sicherzugehen, dass alle verfügten Maßnahmen auch gesetzeskonform ungesetzt werden, ist es ratsam einen fachkundigen IT-Dienstleister zu beauftragen. Seine Kompetenz und Sachkunde im Zusammenhang mit den Erfordernissen der IT-Sicherheitsrichtlinie beweist dieser mit einer Zertifizierung nach dem Standard der KVB. Für den Erhalt dieses Zertifikats muss eine Prüfung abgelegt werden, bei der der Dienstleister seine Kenntnisse und Fähigkeiten im IT-Sicherheitsumfeld nachweist. Der Fokus der Prüfung liegt dabei auf der Überprüfung eines ganzheitlichen Ansatzes für die Einführung der IT-Sicherheitsmaßnahmen in vertragsärztlichen und vertragszahnärztlichen Praxen.
Uns bei BCS liegt in Kürze diese Zertifizierung vor, sodass wir Sie zu den zahlreichen Punkten der Verordnung ausführlich beraten und individuell zugeschnittene Maßnahmen für Ihre Praxis umsetzen können.
Wünschen Sie ein Beratungsgespräch?
Schildern Sie uns gerne Ihre individuellen Herausforderungen über das Kontaktformular. Wir setzen uns umgehend mit Ihnen in Verbindung.
Möchten Sie noch spezifischere Informationen darüber, bei welchen Punkten der IT-Sicherheitsrichtlinie Sie von Docusnap unterstützt werden? Dann schauen Sie hier.