Blog-Layout

Die neue IT-Sicherheitsrichtlinie für Arztpraxen

Apr. 26, 2021

Die neue IT-Sicherheitsrichtlinie für Arztpraxen

Um den Schutz von IT-Systemen in Arztpraxen noch besser zu gewährleisten, ist zum 01. Januar 2021 die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (IT- Sicherheitsrichtlinie) der Kassenärztlichen Bundesvereinigung (KBV) in Kraft getreten. Die IT- Sicherheitsrichtlinie wurde damit nach einer länger andauernden Prozedur schließlich am 16. Dezember 2020 durch die Vertreterversammlung der KBV beschlossen.

Der gesetzliche Auftrag zur Erstellung der Richtlinie ergab sich bereits im Dezember 2019 im Rahmen des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz). Der darin neu geschaffene § 75b SGB V legt fest, dass sich die maßgeblichen Vereinigungen, Kammern und Verbände, im Einvernehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. Juni 2020 auf eine gemeinsame IT-Sicherheitsrichtlinie verständigen. Da man sich jedoch innerhalb der Frist nicht über die konkreten Inhalte der IT- Sicherheitsrichtlinie einig wurde, zog sich die finale Entscheidungsphase bis zum Dezember 2020.

Die IT-Sicherheitsrichtlinie richtet sich grundsätzlich an alle Vertragsärzte und Vertragspsychotherapeuten. Die konkret umzusetzenden Maßnahmen ergeben sich in Abhängigkeit von der Größe beziehungsweise Anzahl der Beschäftigten der jeweiligen Praxis. So gilt ein Großteil der umzusetzenden Maßnahmen für sämtliche Praxen. Weitere Anforderungen ergeben sich für mittlere Praxen sowie für große Praxen. Überdies können sich auch spezielle Anforderungen aus dem Betrieb medizinischer Großgeräte ergeben.

Praxistypen

Die verschiedenen Praxistypen im Sinne der IT- Sicherheitsrichtlinie ergeben sich dabei wie folgt:
  • Praxis: Bis zu fünf Personen, die ständig mit der Datenverarbeitung betraut sind.
  • Mittlere Praxis: Es sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Es sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über den üblichen Umfang hinausgeht (zum Beispiel bei einem Labor oder einem Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: Zum Beispiel Röntgengeräte, CT, MRT, PET, Linearbeschleuniger, Herzkatheter-Messplätze, Dialysegeräte, Gammakameras, Herz- Lungen-Maschinen.

Kernbereiche der Umsetzungsmaßnahmen

Ein Teil der in den Anlagen zur IT-Sicherheitsrichtlinie festgelegten Maßnahmen gilt bereits recht kurzfristig ab dem 01. April 2021. Für andere Maßnahmen ergeben sich etwas längere Umsetzungszeiten, sodass diese Maßnahmen ab dem 01. Januar 2022 verbindlich werden. Bei einigen Maßnahmen ergeben sich auch davon abweichende Umsetzungsfristen.

Inhaltlich betreffen die Umsetzungsmaßnahmen insbesondere zwei Kernbereiche. Dabei handelt es sich um:
  • Software: Rechner-Programme, mobile Apps und Internetanwendungen sowie
  • Hardware: Endgeräte und IT-Systeme
Im Rahmen der Umsetzung der IT- Sicherheitsrichtlinie empfiehlt es sich, die erforderlichen Maßnahmen aufzulisten und Stück für Stück durchzugehen und den Umsetzungsstand zu dokumentieren. Dabei kann insbesondere die von der KBV geschaffene Online-Plattform eine wertvolle Hilfe bieten. Hier finden sich neben verschiedenen Mustervorlagen auch konkrete Praxis- und Auslegungshinweise. Bei einigen Maßnahmen werden Praxen jedoch auch auf die Hilfe der IT- und EDV-Betreuung angewiesen sein, welche in den meisten Fällen durch externe Dienstleister übernommen wird. Eine interdisziplinäre Besprechung kann dabei sehr aufschlussreich sein und eine sinnvolle Aufgabenverteilung im Rahmen der Umsetzung der IT-Sicherheitsrichtlinie bewirken.

Im Ergebnis ist die Etablierung der IT- Sicherheitsrichtlinie für medizinische Einrichtungen sehr zu begrüßen. Auch wenn sich die Vorfreude bei einigen Ärztinnen und Ärzten aufgrund der knappen zeitlichen Umsetzung sowie der damit verbundenen Aufwände in Grenzen halten sollte, so verfügen Praxen damit allerdings über verlässliche Standards zur konkreten Umsetzung von IT-Sicherheitsmaßnahmen. Im Übrigen könnten sich daraus auch hilfreiche Ableitungen und Orientierungshilfen für andere im Gesundheitswesen tätige Einrichtungen, zum Beispiel Apotheken, ergeben.

Gleichwohl sei darauf hingewiesen, dass es sich bei den in der derzeitigen IT-Sicherheitsrichtlinie genannten Anforderungen um Mindest- anforderungen handelt. Die Richtlinie wird in regelmäßigen Abständen überprüft und ggf. überarbeitet. Aus diesem Grund sollten Praxen die für sie geltenden Anordnungen der IT- Sicherheitsrichtlinie stets im Blick behalten.

Letzte Aktualisierung: 26.04.2021 (jer)
Bildnachweise: © Olivier Le Moal - www.stock.adobe.com 

Zurück
Das könnte für Sie auch interessant sein:

Digitale oder analoge Arbeitszeiterfassung

Arbeitszeiterfassung und Datenschutz

30 Apr., 2024
Was ist zu beachten?
Faxgerät

Das gute alte Faxgerät

30 Apr., 2024
Besteht noch Hoffnung für den Datenschutz?

Aktuelle Stellen-ausschreibungen

01 Jan., 2023
Zur Verstärkung unseres Teams sind aktuell die nachfolgenden Stellen ausgeschrieben:
Show More
Share by: