IT-Sicherheitsrichtlinie für Arztpraxen: Alles, was Sie wissen müssen

Die IT-Sicherheitsrichtlinie für Arztpraxen wurde auf Grundlage von § 390 SGB V (vormals § 75b Abs. 5 SGB V) entwickelt und trat zum 1. Januar 2021 in Kraft. Sie wurde in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet, um die Patientendaten und IT-Systeme aller vertragsärztlich tätigen Praxen bestmöglich zu schützen.
Dabei baut die Richtlinie auf den bereits bestehenden Anforderungen aus Artikel 32 der DSGVO auf, welcher die Umsetzung von technischen und organisatorischen Maßnahmen (TOMs) zum Schutz personenbezogener Daten vorschreibt.

Zusätzlich hatten die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) den Auftrag, eine Zertifizierungsrichtlinie zu erarbeiten. Diese zusätzliche Richtlinie stellt sicher, dass IT-Dienstleister, die Arztpraxen in IT-Sicherheitsfragen unterstützen, die notwendigen Qualifikationen mitbringen. Die KBV-Vertreterversammlung verabschiedete beide Richtlinien am 16. Dezember 2020, und das Zertifizierungsverfahren wird seitdem von der KBV in Abstimmung mit der KZBV durchgeführt.

Technische und Organisatorische Maßnahmen nach Praxistyp

Um den individuellen Sicherheitsanforderungen verschiedener Praxen gerecht zu werden, hat die IT-Sicherheitsrichtlinie je nach Praxisgröße spezifische Maßnahmen definiert. Die Praxisgrößen werden dabei von der KBV wie folgt definiert:

  • Praxis: Betrifft kleinere Praxen, in denen maximal fünf Personen regelmäßig mit der Datenverarbeitung betraut sind.
  • Mittlere Praxis: Gilt für Einrichtungen, in denen sechs bis zwanzig Personen mit der Verarbeitung von Patientendaten beschäftigt sind.
  • Große Praxis: Hierzu zählen Praxen mit über zwanzig Mitarbeitenden, die Daten verarbeiten, oder Praxen mit einer Datenverarbeitung, die deutlich über die Standarddatenübermittlung hinausgeht – etwa bei Laboren oder großen medizinischen Versorgungszentren (MVZ) mit krankenhausähnlicher Struktur.
  • Medizinische Großgeräte: Umfasst Praxen, die Geräte wie CTs, MRTs, PETs oder Linearbeschleuniger nutzen. Diese Praxen haben spezielle Anforderungen an den Datenschutz und die Datensicherheit, da diese Geräte große Mengen sensibler Patientendaten verarbeiten und speichern.

Während für die verschiedenen Praxisgrößen teils unterschiedliche Anforderungen enthalten sind, sieht die IT-Sicherheitsrichtlinie zentrale Maßnahmen vor, die in jeder Praxis umgesetzt werden müssen:

Virenschutz: Auf allen Geräten ist aktueller Schutz vor Schadsoftware zu gewährleisten.

Datensparsame Browser-Einstellungen: Vertrauliche Daten werden nicht im Browser gespeichert.

Verschlüsselte Anwendungen: Internetanwendungen müssen verschlüsselt sein.

App-Nutzung: Nur sichere Apps aus offiziellen Stores dürfen verwendet werden; sensible Daten werden nicht über Apps versendet.

Gerätesicherheit: Mobilgeräte sind mit einem sicheren Sperrcode zu schützen; Abmeldung erfolgt nach Nutzung.

Netzwerk-Dokumentation: Das interne Netzwerk wird dokumentiert; eine Firewall schützt internetbasierte Anwendungen.

Datensicherung: Regelmäßige Sicherungen aller relevanten Daten sind durchzuführen.

Mobilgeräteschutz: Bei Verlust eines Geräts sind SIM-Karten sofort zu sperren.

Telematik-Sicherheit: Telematik-Komponenten werden regelmäßig aktualisiert, und Administrationsdaten werden sicher aufbewahrt.

Spezifische Anforderungen nach Praxisgröße

Zusätzlich zu den grundlegenden Maßnahmen verlangt die IT-Sicherheitsrichtlinie für mittlere und größere Praxen erweiterte Sicherheitsvorkehrungen, die auf die erhöhte Anzahl an Nutzern und die besonderen Konfigurationen von medizinischen Großgeräten abgestimmt sind:

Strukturierte Richtlinien für Geräte und Apps
Größere Praxen müssen verbindliche Richtlinien erstellen, die den sicheren Einsatz von Mobilgeräten wie Smartphones und Tablets regeln. Dabei wird besonderer Wert darauf gelegt, die Berechtigungen von Apps auf das Nötigste zu beschränken. So wird sichergestellt, dass nur Funktionen aktiviert sind, die für den Praxiseinsatz erforderlich sind.

Sichere Verwaltung dienstlicher Geräte
Für alle mobilen Geräte, die in der Praxis genutzt werden, ist eine Sicherheits- und Nutzungsrichtlinie unerlässlich. Diese umfasst klare Vorgaben zur Einrichtung, Verwaltung und Kontrolle der Geräte, etwa für den Umgang mit dienstlichen Daten oder den Schutz bei Verlust eines Geräts. Passende Musterdokumente können dabei als Vorlage genutzt werden.

Erweiterte Sicherheitsmaßnahmen für medizinische Großgeräte
In Praxen, die komplexe medizinische Geräte wie CTs oder MRTs nutzen, gelten zusätzliche Vorgaben. So dürfen nur berechtigte Mitarbeitende Zugriff auf die Konfigurations- und Wartungsschnittstellen erhalten. Gleichzeitig müssen bei der Kommunikation und Wartung dieser Geräte sichere Protokolle verwendet werden, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.

Mit diesen erweiterten Sicherheitsvorkehrungen stellt die IT-Sicherheitsrichtlinie sicher, dass größere Praxen den spezifischen Anforderungen ihrer komplexen IT-Umgebungen gerecht werden. Weitere Details und praktische Umsetzungshilfen finden sich in der vollständigen Richtlinie der KBV.

IT-Sicherheitsrichtlinie: Verantwortung und Umsetzung

Die Verantwortung für die Umsetzung der IT-Sicherheitsrichtlinie liegt bei den Praxisinhabern. Sie sind dafür verantwortlich, die festgelegten Maßnahmen zum Schutz der Patientendaten und IT-Systeme in ihrer Praxis zu implementieren. Dabei können sie Unterstützung von IT-Dienstleistern in Anspruch nehmen. Es besteht jedoch keine Verpflichtung, zertifizierte IT-Dienstleister zu beauftragen. Die Kassenärztliche Bundesvereinigung (KBV) bietet zwar Zertifizierungen für IT-Dienstleister an, doch sowohl die Inanspruchnahme solcher zertifizierten Dienste als auch die Zertifizierung selbst sind freiwillig.

Viele der in der IT-Sicherheitsrichtlinie festgelegten Anforderungen entsprechen bereits den bestehenden Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die Richtlinie konkretisiert diese Vorgaben und bietet praxisnahe Umsetzungsanleitungen. Für die meisten Praxen ist eine aufwandsarme Implementierung möglich.

Wir bieten umfassende Unterstützung bei der Umsetzung der IT-Sicherheitsrichtlinie. Mit unserer Expertise aus den Bereichen IT-Service, Datenschutz und Softwareentwicklung stehen wir Ihnen als kompetenter Partner zur Seite.

Kontaktieren Sie uns noch heute, um Ihre Praxis optimal abzusichern und den gesetzlichen Anforderungen gerecht zu werden.