06181 - 180180 mail@twn.de

Mit Beginn des Jahres 2021 kommen auf Praxen enorme Anforderungen im Bereich der IT zu. Hierbei geht es nicht um eine marginale Optimierung der Praxis-IT, sondern um eine komplette Neuorientierung und Bewertung der Vertraulichkeit, Integrität und Verfügbarkeit des IT-Systems in den vertragsärztlichen und psychotherapeutischen Praxen. Dabei wird in der von der Kassenärztlichen Bundesvereinigung (KBV) verabschiedeten Richtlinie nur das Mindestmaß beschrieben. Diese Richtlinie ist jedoch verbindlich im festgelegten Zeitrahmen durch den Praxisinhaber umzusetzen. Dabei richten sich die Anforderungen nach der Größe der Praxis. In diesem Blog sehen wir uns an was es für Praxen mit bis zu fünf Personen bedeutet, die mit der Datenverarbeitung betraut sind.

Gesetzliche Grundlage der IT-Richtlinie und Betrachtung einzelner Maßnahmen für kleine Praxen

Die von der KBV festgelegten Maßnahmen basieren auf den § 75b SGB V und es soll ein Standard der IT-Systeme in den Praxen gemäß Artikel 32 der Datenschutz-Grundverordnung (DSGVO) geschaffen werden. In diesem Artikel wird die Sicherheit der Verarbeitung beschrieben und wie sie anzuwenden ist. Seitens der KBV wurde die IT-Richtlinie um eine Definition der Praxisgröße ergänzt. Dies macht auch Sinn, denn bei einer Praxis mit bis zu fünf Personen sind andere Maßnahmen erforderlich als bei einer Praxis mit 20 Personen und mehr. Für kleine Praxen wird der Maßnahmenkatalog im Anhang 1 und Anlage 5 der Richtlinie beschrieben. Schauen wir uns nachfolgend einmal vier Maßnahmen an und zeigen, wo nachgebessert werden sollte.

Verhinderung von Datenabfluss

In Punkt 4 der Anlage 1 wird gefordert, dass keine vertraulichen Daten über Apps von einem mobilen Gerät versendet werden. Diese Regelung gilt ab dem 01.04.2021. Wird die Regelung 1 : 1 umgesetzt, dürfen vertrauliche Daten nicht über ein mobiles Gerät an ein Netzlaufwerk oder internes Postfach gesendet werden.

Schutz vertraulicher Daten

Der Punkt 8 der Anlage 1 fordert den Schutz vertraulicher Daten bei Internet-Anwendungen. Gemeint ist hiermit der Internet-Browser, der so einzustellen ist, dass keine vertraulichen Daten im Browser gespeichert werden. Dies bedingt jedoch tiefe Eingriffe in die Konfiguration des jeweiligen Browsers. Ob mit dem Begriff „vertrauliche Daten“ nur personenbezogene Angaben gemeint sind, ist der Richtlinie nicht zu entnehmen. Denn im weitesten Sinne fällt auch eine IP-Adresse in den Bereich der Vertraulichkeit, da hier wiederum Rückschlüsse auf den Standort und den Rechnernamen gezogen werden können. Diese Regelung gilt ebenfalls ab dem 01.04.2021.

Datensicherung

Der Punkt 14 widmet sich der Datensicherung und bezieht sich auf Endgeräte. Bei einem serverbasierten IT-Netz werden die Dokumente und Datenbanken auf dem Server abgelegt oder verarbeitet. Eine Datensicherung ist somit nur auf dem Server notwendig. Jedoch entscheidet die Art der Datensicherung über eine mögliche Wiederherstellung. Hier ist eine Absprache mit dem IT-Beauftragten zu empfehlen und einen Datensicherungsplan festzulegen. Ab dem 01.01.2022 tritt diese Richtlinie in Kraft.

Firewall

Mit dem Punkt 9 der Anlage 1 soll der Zugriff aus dem Internet in das interne Netzwerk über eine Web App Firewall unterbunden werden. Zwar ist eine softwaregesteuerte Firewall durchaus sinnvoll, aber die Richtlinie beschreibt nicht den Standort der Firewall. Denn wenn ein Angreifer erst an der Firewall des Servers oder Arbeitsplatz abgewiesen wird, ist der Angreifer ja schon im internen Netz drin. Daher ist eine Hardware-Firewall wesentlich effizienter und sicherer und erhöht die IT-Sicherheit.

Was hinter der Richtlinie steckt

Der ein oder andere Praxisinhaber wird sich fragen, wofür dieser Aufwand gemacht werden soll. Es sind alles vorbereitende Maßnahmen für die elektronische Patienten Akte (ePA) und der elektronische Impfpass. Hier werden in absehbarer Zeit enorme Datenströme entstehen. Diese bestehen aus persönlichen Daten, Arztberichten und Rezepten der Patienten. Der Praxisinhaber haftet dabei persönlich für die Einhaltung des strikten Datenschutzes. Gerne stehen wir Ihnen bei Fragen zur Absicherung Ihres IT-Netzwerks zur Verfügung.

Sie benötigen Unterstützung?
Schreiben Sie uns eine Nachricht!

Haben Sie Fragen zu der IT-Sicherheitsrichtlinie nach § 75 B SGB V und benötigen Unterstützung für die Erfüllung der Vorgaben so kontaktieren Sie uns mit dem unten angeführten Kontaktformular oder telefonisch unter 06181 180 180.

3 + 4 =