KBV IT-Sicherheitsrichtlinie: Neue Anforderungen für Arztpraxen

seperator
71002415

Seit dem 1. Januar 2021 gilt die neue IT-Sicherheitsrichtlinie nach § 75b SBG V, welche von der Kassenärztlichen Bundesvereinigung (KBV) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministermium für Gesundheit (BMG) entwickelt wurde. Ziel der Richtlinie ist es, sensible Gesundheitsdaten noch besser zu schützen, indem verbindliche IT-Sicherheitsanforderungen für alle Praxen gelten. Damit kommen auf alle Arztpraxen in Deutschland neue und verbindliche Anforderungen an ihre IT-Infrastruktur zu, die sich allerdings je nach Praxisgröße unterscheiden. Die 16-seitige Richtlinie definiert hierzu drei verschiedene Praxistypen. Diese sind:

  • Praxis: bis zu fünf Personen mit der Datenverarbeitung betraut
  • Mittlere Praxis: 6 bis 20 Personen mit der Datenverarbeitung betraut
  • Große Praxis: mehr als 20 Personen mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).

In den Anlage 1 werden verbindliche Sicherheitsanforderungen an alle Arztpraxen festgelegt. Anlage 2 definiert darüberhinaus zusätzliche Anforderungen für Praxen mittlerer Größe, Anlage 3 die für große Praxen. In Anlage 4 finden sich die zusätzlichen Anforderungen an medizinische Großgeräte (zum Beispiel CT, MRT, PET, Linearbeschleuniger). Viele der Sicherheitsanforderungen ergeben sich bereits aus der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO).

Anforderungen an alle Praxen ab dem 1. April 2021

  • Einsatz aktuelle Virenschutzprogramme (vgl. Anlage 1 Nummer 15)
  • Einstellung der Internet-Browser so, dass keine vertraulichen Daten gespeichert werden (vgl. Anlage 1 Nummer 8)
  • Es dürfen nur verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
  • Apps drüfen nur aus den offiziellen App-Stores heruntergeladen und müssen restlos gelöscht, wenn sie nicht mehr benötigt werden (vgl. Anlage 1 Nummer 1).
  • Es dürfen keine vertraulichen Daten über Apps versendet (vgl. Anlage 1 Nummer 4).
  • Smartphones und Tablets müssen mit einem komplexen Gerätesperrcode geschützt sein (vgl. Anlage 1 Nummer 22).
  • Nach der Nutzung eines Gerätes muss sich die Person abmelden (vgl. Anlage 1 Nummer 13).
  • Das interne Netzwerk muss anhand eines Netzwerkplans dokumentiert werden (vgl. Anlage 1 Nummer 33).

Anforderungen ab dem 01. Juli für alle Praxen mit medizinischen Großgeräten (zum Beispiel CT, MRT, PET, Linearbeschleuniger)

  • Nur zuvor festgelegte berechtigte Mitarbeiter dürfen auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen (vgl. Anlage 4 Nummer 1).
  • Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (vgl. Anlage 4 Nummer 2).

Anforderungen an alle Praxen ab dem 01. Januar 2022

  • Bereitstellung und Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender nur mit Firewall (vgl. Anlage 1 Nummer 9).
  • Bei der Bereitstellung und Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (vgl. Anlage 1 Nummer 11).
  • Datensicherung: Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (vgl. Anlage 1 Nummer 14).
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (vgl. Anlage 1 Nummer 25).
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (vgl. Anlage 1 Nummer 28).
  • Es dürfen nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern (vgl. Anlage 1 Nummer 3).
  • Für die dezentralen Komponenten der Telematikinfrastruktur müssen Updates zeitnah installiert werden (vgl. Anlage 5 Nummer 6).
  • Für die dezentralen Komponenten der Telematikinfrastruktur müssen die Administrationsdaten sicher aufbewahrt werden (vgl. Anlage 5 Nummer 7).

Anforderungen ab dem 01. Januar 2022 für mittlere Praxen

  • Endgeräte mit dem Betriebssystem Windows eine sichere zentrale Authentisierung in Windows-Netzen einsetzen
  • Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten wie Smartphone und Tablet implementieren
  • Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung implementieren

Anforderungen ab dem 01. Januar 2022 für große Praxen

  • Bevor Smartphones oder Tablets eingesetzt werden, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1)

Bei den definierten Anforderungen kann es immer wieder Änderungen geben, da die IT-Sicherheitsrichtlinie jährlich im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BMG aktualisiert wird.

Quelle: Kassenärztliche Bundesvereinigung (KBV): Richtlinie nach § 75B SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit.pdf

Wichtiger Hinweis: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen.