Aufgrund gesetzlicher Anforderungen durch das Digitale-Versorgung-Gesetz (DVG) mussten KBV und KZBV, die Kassen(zahn)ärztlichen Bundesvereinigungen, eine IT-Sicherheitsrichtlinie für alle Praxen entwickeln. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten noch besser zu schützen, Patientendaten sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall etwa durch Cyber-Angriffe zu minimieren.
Mit der Einführung der EU-Datenschutzgrundverordnung am 25. Mai 2018 haben viele Praxisinhaber bereits Maßnahmen ergriffen, um die ihnen anvertrauten sensiblen Patientendaten optimal zu sichern und zu schützen. „Da die meisten Praxen keinen Datenschutzbeauftragten bestellen müssen, kommen Datenschutz und IT-Sicherheit im hektischen Berufsalltag oft zu kurz“, weiß Larissa von Paulgerg, externe Datenschutzbeauftragte bei Ecovis in München.
Was die neue IT-Sicherheitsrichtlinie bedeutet und regelt
Die Anforderungen der IT-Sicherheitsrichtlinie hängen von der Praxisgröße, der Anzahl der mit der Datenverarbeitung betrauten Personen sowie der Technikausstattung ab. Die IT-Sicherheitsrichtlinie besteht aus verschiedenen Anlagen, die Ärzte künftig erfüllen müssen. Dabei gibt es drei Größenklassen:
- Kleine Praxis mit bis zu fünf Kollegen: Sie müssen die in Anlage 1 und 5 aufgeführten Anforderungen erfüllen sowie die in Anlage 4 genannten, wenn medizinische Großgeräte wie Computertomographen oder Dialysegeräte zum Einsatz kommen.
- Mittlere Praxis mit sechs bis 20 Mitarbeitenden: Für sie gelten die Anlagen 1, 2 und 5 sowie 4, wenn medizinische Großgeräte zum Einsatz kommen.
- Großpraxen ab 21 Personen: Für Praxen mit Großgeräten oder Einrichtungen mit krankenhausähnlichen Strukturen, beispielsweise medizinische Versorgungszentren, oder Betriebe mit massenhafter Datenverarbeitung, etwa Labore, gilt: Sie müssen die Anforderungen der Anlagen 1, 2, 3 und 5 erfüllen sowie Anlage 4, wenn sie mit medizinischen Großgeräten arbeiten.
Anlage 1 ist für alle Praxen verbindlich. Sie regelt die grundsätzlichen Anforderungen an die Soft- und Hardware-Handhabung. Anlage 5 ist ebenfalls für alle Praxistypen verbindlich. Sie formuliert die Anforderungen an den Umgang mit der Telematik-Infrastruktur (TI).
Die Einführung erfolgt in drei Stufen
Unabhängig von der Praxisgröße sind die Umsetzungstermine in drei Stufen vorgegeben. Bereits seit April 2021 sind erste Basisanforderungen zu erfüllen. Dazu sind alle Praxen unabhängig von ihrer Größe verpflichtet, sofern sie die entsprechenden IT-Komponenten, zum Beispiel Praxiscomputer, Office-Produkte, das Praxisnetzwerk, Internetanwendungen, Apps und mobile Anwendungen, Speichermedien, Handys oder Tablets, verwenden. Zu den seit April 2021 eingeführten Basisanforderungen gehören:
- der Einsatz von aktuellen Virenschutzprogrammen,
- ein Netzplan für die Netzwerksicherheit,
- die sichere Nutzung von Apps durch Herunterladen aus den offiziellen App-Stores und entsprechende Konfiguration der Sicherheitseinstellungen.
Bis 1. Januar 2022 folgen weitere Anforderungen:
- die geschützte Kommunikation mit dem TI-Konnektor,
- die sichere Speicherung lokaler Gesundheits- App-Daten (verschlüsselt und lokal abgespeichert),
- Nutzung einer Firewall und regelmäßige Updates,
- sichere Grundkonfiguration für mobile Geräte.
Für mittlere Praxen und Großpraxen sind abschließende Maßnahmen bis 1. Juli 2022 umzusetzen:
- Für Endgeräte mit dem Betriebssystem Windows ist ein sicherer zentraler Nachweis der Identität (Authentisierung) in Windows-Netzen einzusetzen.
- Eine Richtlinie für Mitarbeitende ist einzurichten, wenn sie mobile Geräte wie Smartphone und Tablet nutzen.
- Es sind eine Sicherheitsrichtlinie sowie Regelungen für die Mobiltelefon-Nutzung einzurichten.
Wer für die Datensicherheit verantwortlich ist
„Die Verantwortung für die Datensicherheit der Praxis-IT liegt beim Praxisinhaber“, sagt von Paulgerg. Dieser kann die Verantwortung in Teilen an Dienstleister delegieren. Sie haften dann in einem Schadenfall als Auftragnehmer im Innenverhältnis. Der Gesetzgeber hat im Patientendatenschutzgesetz klare Bestimmungen zur Haftung in Bezug auf Datensicherheit und Datenschutz der TI-Anbindung vorgesehen.
Wie weit die Zuständigkeit des Praxisinhabers reicht
Vertragsarztpraxen sind für die bestimmungsgemäße Nutzung und den Betrieb des Konnektors im Rahmen des Beherrschbaren zuständig. Nicht zuständig sind sie aber für die Nutzung dezentraler TI-Komponenten oder die von der Gematik GmbH spezifizierten Anwendungen in der TI. Diese Verantwortung kann sich in der Praxis maximal bis vor den Konnektor erstrecken.
Sanktionen im Rahmen der DSGVO möglich
Das DVG sieht derzeit keine eigenen Sanktionen vor. Das bedeutet aber nicht, dass die Vorgaben nicht einzuhalten sind. Die Richtlinie definiert Maßnahmen, die die Einhaltung der verschiedenen rechtlichen Vorgaben unterstützen, etwa die Bestimmungen der Datenschutzgrundverordnung (DSGVO). In ihrem Rahmen gibt es Möglichkeiten, dass die Behörden hohe Strafen durchsetzen. Zudem sind auch im Straf- und Berufsrecht Sanktionen bei Datenschutzvergehen vorgesehen. „Praxisinhaber, die die Vorgaben der IT-Sicherheitsrichtlinie genau umsetzen, sollten von Sanktionen, die die DSGVO oder das Berufsrecht vorsehen, verschont bleiben“, sagt von Paulgerg.
Checkliste: Erfüllt meine Praxis die IT-Sicherheitsrichtlinie?
Nehmen Sie die IT Sicherheitsrichtlinie zum Anlass, Ihre Praxis auf Datenschutz und IT-Sicherheit zu überprüfen.
- Legen Sie Ihren Praxistyp fest: Die Anforderungen, die nach den entsprechenden Anlagen zu erfüllen sind, hängt vom Praxistyp ab.
- Bestimmen Sie die IT-Komponenten, die bei Ihnen zum Einsatz kommen: Erstellen Sie eine Liste der verwendeten IT-Komponenten, etwa Art und Anzahl der Hardware oder Software.
- Beschreiben Sie Ihre Sicherheitsmaßnahmen: Prüfen Sie, wie Sie schon jetzt Ihre IT-Komponenten schützen, und schauen Sie, wo es noch Handlungsbedarf gibt.
- Setzen Sie Dienstleister ein, wenn die Umsetzung der Anforderung zu komplex wird: Sprechen Sie mit Ihrem Berater, wenn Sie Unterstützung brauchen.
„Ständig mit der Datenverarbeitung betraute Person“ – was das bedeutet
Der Begriff ist aus der Datenschutzgrundverordnung (DSGVO) bekannt. Er fasst die Arbeit mit Daten zusammen, beispielsweise
- erheben und abfragen,
- ordnen und speichern,
- anpassen und ändern,
- auslesen und weiterleiten oder
- löschen und vernichten.
In der ärztlichen Praxis beginnt dieser Prozess bereits bei der Terminvereinbarung am Telefon oder beim Einlesen der elektronischen Gesundheitskarte.
ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com