Die Kassenärztliche Bundesvereinigung (KBV) hat gemeinsam mit der Gematik eine überarbeitete IT-Sicherheitsrichtlinie veröffentlicht. Ziel ist es, die IT-Sicherheit in vertragsärztlichen und psychotherapeutischen Praxen zu erhöhen, sensible Patientendaten zu schützen und die Digitalisierung im Gesundheitswesen sicher zu gestalten. In diesem Beitrag werfen wir einen Blick auf die neue IT-Sicherheitsrichtline für Arztpraxen und was diese jetzt wissen müssen.
Was ist die IT-Sicherheitsrichtlinie der KBV?
Die neue IT-Sicherheitsrichtlinie der KBV basiert auf gesetzlichen Vorgaben des §75b SGB V und setzt unter anderem Anforderungen aus der DSGVO konkret und praxisnah um. Dabei werden die Maßnahmen an die Größe und Ausstattung der jeweiligen Praxis angepasst. Ein abgestuftes Modell unterscheidet zwischen verschiedenen Praxisgrößen und technischen Anforderungen, die auf die jeweilige Situation zugeschnitten sind.
4 Kategorien der IT-Sicherheitsrichtlinie
Zur besseren Orientierung sind die Anforderungen in vier Kategorien unterteilt.
- Alle Praxen: Basisanforderungen, die jede Praxis erfüllen muss
- Mittlere Praxen (ab 6 IT-Arbeitsplätzen): Erweiterte Anforderungen
- Große Praxen (ab 20 IT-Arbeitsplätzen): Zusätzliche organisatorische Maßnahmen
- Praxen mit medizinischen Großgeräten: Spezielle Anforderungen für Praxen mit digital angebundenen Geräten wie MRT, CT etc.
Kategorie 1: Anforderungen an alle Praxen
Dieser Abschnitt bildet das Fundament der IT-Sicherheit in medizinischen Einrichtungen. Hier geht es um Maßnahmen, die jede Praxis unabhängig von ihrer Größe ergreifen muss. Sie dienen dazu, das grundsätzliche Sicherheitsniveau auf ein solides Fundament zu stellen.
Dabei geht es konkret um:
- Virenschutz & Firewall: Aktueller Virenschutz und Firewall müssen installiert sein.
- Passwortschutz/Sperrcode: Systeme müssen durch sichere Zugangscodes geschützt sein.
- Sichere Nutzung von Apps: Nur Apps aus offiziellen App-Stores dürfen verwendet werden. Nicht benötigte Apps müssen deinstalliert werden.
- Datensicherung: Regelmäßige, automatisierte Backups sind Pflicht.
- Dokumentation: Alle Maßnahmen müssen dokumentiert und überprüfbar sein.
Kategorie 2: Zusätzliche Anforderungen für mittlere Praxen (ab 6 IT-Arbeitsplätzen)
In mittleren Praxen ist die IT-Infrastruktur komplexer – es gibt mehr Arbeitsplätze, Geräte und Nutzende. Dadurch steigen auch die Anforderungen an die Sicherheit. In diesem Abschnitt geht es um zusätzliche Maßnahmen, die über die Basisanforderungen hinausgehen.
Dabei geht es konkret um:
- Richtlinien für dienstliche Mobiltelefone: Es muss eine schriftliche Nutzungsrichtlinie geben.
- Netzwerkstruktur: Klare Trennung von medizinischen Geräten und Office-Netzen ist empfohlen.
- Regelmäßige Überprüfung: Sicherheitsmaßnahmen müssen intern überprüft werden.
Zusätzliche Anforderungen für große Praxen (ab 20 IT-Arbeitsplätzen)
Große Praxen haben meist umfangreiche IT-Systeme, viele Mitarbeitende und oft externe Dienstleister im Einsatz. Hier ist eine strukturierte, professionelle Herangehensweise an IT-Sicherheit unerlässlich. Dieser Abschnitt beschreibt die organisatorischen und technischen Maßnahmen, die zusätzlich notwendig sind.
Dabei geht es konkret um:
- Zugriffsberechtigungskonzepte: Klare Rollen- und Rechtevergabe.
- Schulungen: Regelmäßige Schulungen zu Datenschutz und IT-Sicherheit.
- Notfallkonzept: IT-Notfallplan mit klarer Struktur.
- Externe Audits: Empfohlene Prüfungen durch Dienstleister.
Anforderungen für Praxen mit medizinischen Großgeräten
Praxen mit Geräten wie CT, MRT oder Röntgen arbeiten mit vernetzten Systemen, die besonders abgesichert werden müssen. In diesem Abschnitt geht es um spezifische Maßnahmen für diese sensiblen Technologien.
Dabei geht es konkret um:
- Absicherung der Geräte: Physisch und digital vor unbefugtem Zugriff schützen.
- Netzwerktrennung: Eigene Netzsegmente für Großgeräte.
- Wartung & Updates: Regelmäßige Aktualisierung und Dokumentation.
Was Arztpraxen für Cybersicherheit tun können
Ist Ihre Arztpraxis bereit für die neuen IT-Sicherheitsanforderungen? Kontaktieren Sie uns für eine individuelle Beratung und praxisgerechte Lösungen – damit Ihre Patientendaten sicher bleiben. Lesen Sie dazu mehr hier:
Foto von National Cancer Institute auf Unsplash