PRAXIS-EDV: IT-SICHERHEITSRICHTLINIE – SO MÜSSEN PRAXEN KÜNFTIG AUF DATENSCHUTZ ACHTEN
Die IT-Sicherheitsrichtlinie ist fertig. Für Praxisinhaber steht und fällt der zu betreibende Aufwand mit Belegschaftsstärke und Technikausstattung. Drei Praxis-Größen sind dazu definiert.
Berlin. Die seit einem halben Jahr überfällige IT-Sicherheitsrichtlinie scheint unter Dach und Fach. Im Anschluss an die virtuelle KBV-Vertreterversammlung Ende voriger Woche hatte KBV-Vorstand Dr. Thomas Kriedel bereits wissen lassen, dass im Konsens mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Richtlinienentwurf erarbeitet worden sei.
Unterdessen teilte die KBV auf Nachfrage der „Ärzte Zeitung“ mit, der Entwurf liege den Mitgliedern der Vertreterversammlung bereits zur schriftlichen Beschlussfassung vor. Nach der zustimmenden Ankündigung Kriedels – „aus unserer Sicht ist hier ein Kompromiss gefunden worden, der für die Praxen gut umsetzbar scheint und ihnen die erhoffte Rechtssicherheit und Klarheit gibt“ – ist kaum mehr mit Dissens zu rechnen. Auch aus VV-Kreisen heißt es, der Richtlinienentwurf finde allgemein Zustimmung.
Vorlage der IT-Richtlinie war überfällig
Eigentlich hätte die KBV gemäß Paragraf 75b Sozialgesetzbuch V die Richtlinie mit „Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung“, wie es im Gesetz heißt, bis Ende Juni dieses Jahres vorlegen sollen.
Doch sorgten nicht nur pandemiebedingt andere Prioritäten für Verzögerung. Auch ungeklärte Fragen zur Finanzierung des Umsetzungsaufwands ließen erst Mitte Juni und dann erneut im September die Delegierten der KBV-VV von einer Beschlussfassung Abstand nehmen. Stattdessen verabschiedeten sie eine Resolution, wonach der Vorstand aufgefordert wurde, der Vertreterversammlung erst dann einen Antrag zur IT-Sicherheitsrichtlinie vorzulegen, „wenn der Gesetzgeber eine aufwandsgerechte Finanzierung der aus der Richtlinie resultierenden Aufwände sichergestellt hat“.
Ob sich in Sachen Finanzierung zwischenzeitlich etwas zugunsten der Ärzteschaft getan hat, oder ob die KBV mit der aktuellen Beschlussvorlage lediglich einer Sanktionierung durch das Bundesgesundheitsministeriums entgehen will, war nicht in Erfahrung zu bringen; bereits im Sommer hatte das BMG aufsichtsrechtliche Maßnahmen angedroht, sollte die KBV die IT-Sicherheitsrichtlinie nicht „schnellstmöglich verabschieden“.
Fünf Listen sagen, was zu tun ist
Konkret nennt die jetzt zur Entscheidung anstehende Richtlinie technische und organisatorische Vorkehrungen, um den Datenschutz in Praxen im Einklang mit der europäischen Datenschutzgrundverordnung (DSGVO) zu gewährleisten.
Und so sieht die Richtlinie, die der Redaktion vorliegt, in groben Zügen aus:
- Je nach Praxisgröße variiert der Anforderungsumfang.
- Es gibt drei Größenklassen: Erstens Praxen mit bis zu fünf ständig mit EDV betrauten Mitarbeitern. Zweitens mittlere Einrichtungen mit 6 bis 20 ständig mit EDV betrauten Mitarbeitern. Und drittens Großpraxen oder Praxen mit EDV in „erheblichem Umfang“, die entweder mehr als 20 Mitarbeiter beschäftigen, die ständig mit Datenverarbeitung zu tun haben, oder deren Datenübermittlung das normale Maß übersteigt, beispielsweise große MVZ mit wie es heißt „krankenhausähnlichen Strukturen“ oder Labore.
- Alle drei Praxisformen müssen die in Anlage 1 der Richtlinie aufgelisteten grundsätzlichen Anforderungen an die Soft- und Hardware-Handhabung erfüllen sowie die in Anlage 5 formulierten Anforderungen an den Umgang mit der Telematikinfrastruktur (TI) und deren dezentrale Komponenten.
- Die für alle verbindliche Anlage 1 regelt beispielsweise, wie unbefugte Zugriffe oder Cyberangriffe auf Praxisrechner und Speichermedien zu verhindern, Online-Anwendungen vor Datenklau zu sichern oder PC-Netze zu schützen sind.
- Die ebenfalls für alle Praxen verbindliche Anlage 5 schreibt vor, worauf beim Betrieb der Telematikinfrastruktur besonders zu achten ist. So wird unter anderem ausdrücklich darauf hingewiesen, dass die TI-Komponenten in der Praxis entsprechend den jeweiligen Handbuch-Vorgaben vor unbefugten Zugriffen zu sichern seien oder dass bei parallel geschaltetem Konnektor zusätzliche Maßnahmen zur Cybersicherheit der Praxis-EDV ergriffen werden müssen.
- Darüber hinaus gelten für mittlere Praxen erweiterte Anforderungen gemäß Anlage 2 sowie für Großpraxen gemäß Anlage 2 und 3.
- Anlage 2 beinhaltet unter anderem, dass Praxen eigene Sicherheitsrichtlinien für den Gebrauch mobiler Endgeräte und Dienst-Handys erstellen. Zudem müssen mittlere und große Praxen ein Netzwerkmonitoring betreiben, das kleinen Praxen erspart bleibt. Anlage 3 sieht zusätzlich etwa auch noch ein aufwändiges Mobile Device Management vor, also die sichere Anbindung von mobilen Endgeräten wie Tablets oder Smartphones an die IT-Systeme der Einrichtung.
- Praxen, die medizinische Großtechnik wie CT, MRT, PET oder Linearbeschleuniger einsetzen, haben ergänzende Sicherheitsauflagen (Anlage 4) im Umgang mit diesen Geräten zu erfüllen.
Anforderungen greifen ab 1. April
Die IT-Sicherheitsrichtlinie soll „am Tag nach der Veröffentlichung“ in Kraft treten. Für jede einzelne der in den fünf Anlagen aufgeführten Anforderungen ist ein eigener Geltungsbeginn genannt; beginnend ab dem 1. April 2021 variieren die Termine über mehrere Stichtage bis Mitte 2022.
Auch die „Richtlinie zur Zertifizierung“, in der definiert ist, wie Dienstleister, die Praxen bei der Umsetzung der IT-Sicherheitsrichtlinie unterstützen wollen, sich dafür als befähigt zertifizieren lassen können, steht jetzt wieder zur Abstimmung. Im Juni hatte die KBV-VV noch abgelehnt, über das gleichwohl damals schon fertige Skript den Finger zu heben – ebenfalls aus Verärgerung über die bis dato fehlende Finanzierungszusage zur Umsetzung der IT-Sicherheitsrichtlinie.