IT-Sicherheit
Umsetzung ab 1. April 2021 in allen Praxen
Die Kassenärztliche Bundesvereinigung (KBV) und die KZBV haben die Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung – kurz: IT-Sicherheitsrichtlinie – erlassen. Ziel der IT-Sicherheitsrichtlinie ist es, die IT-Systeme und damit sensible Daten in den Praxen noch besser zu schützen, indem klare Vorgaben zur sicheren Verwaltung von Patientendaten und zur Risikominimierung wie Datenverlust oder Betriebsausfall adressiert werden.
Je nach Dringlichkeit der Maßnahmen müssen diese ab dem 01.04.2021 umgesetzt werden.
Für welche Praxis gilt die IT-Sicherheitsrichtlinie?
Kurz gesagt: für jede Größe!
Im Detail wird nach der Anzahl der mit der Datenverarbeitung betrauten Personen unterteilt. Wobei diese mit der Anzahl der Mitarbeiter gleich zusetzen ist.
- Kleine Praxis: bis 5 Personen
- Mittlere Praxis: 6 bis 20 Personen
- Großpraxis: über 20 Personen
Je nach Einordnung müssen strengere Richtlinien umgesetzt werden. Diese können bei der KBV detailliert eingesehen werden.
Wer ist verantwortlich?
Praxisinhaber*in sind allein verantwortlich!
Der/die Praxisinhaber ist/ sind verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie sowie der DSGVO. Die Verantwortungen können nicht delegiert werden. Weder an einen Datenschutzbeauftragten noch an einen IT-Dienstleister. Deswegen ist ein Handeln unbedingt nötig!
Reichen nicht die Schutzmaßnahmen von Windows, macOS, Android oder iOS?
Nein! Es müssen diverse Maßnahmen getroffen werden, wie
- Professionelle Firewall am Gateway/ Internetzugang
- Professioneller Virenschutz auf den PCs
- Absicherung von mobilen Geräten
- Verzicht auf Cloud-Speicherung
- Authentisierung bei Webanwendungen
- Schutz vertraulicher Daten
- Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
Was muss am Beispiel eine kleine Praxis zwingend umgesetzt werden?
- Absicherung des Netzwerks mit einer UTM-Firewall an Gateway/ Internetzugang
- Trennung des Netzwerks in sinnvolle Bereiche, z. B. PC/ Server, Drucker/ Telefone, Gäste-WLAN
- Auf jedem PC einen professionellen Virenschutz einsetzen
- Wenn mobile Geräte in Benutzung sind, müssen diese ebenfalls abgesichert werden
- Jeder Benutzer hat sein eigenes Passwort. Klare Trennung.
- Benutzer haben keinen Vollzugriff auf alle Daten, sondern nur auf benötigte Bereiche
- Regelmäßige doppelte Datensicherung. Auch möglich in der Cloud, wenn diese DSGVO-konform ist.
- Aktualität der eingesetzten Betriebssysteme, Hardware