IT-Systeme und Daten in Arztpraxen benötigen besonderen Schutz!
Die Realisierung dieses Schutzes ist das Ziel der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV), sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV).
Mit relativ klaren Vorgaben setzt die KBV/KZBV das angemessene Schutzniveau zum Schutz von Patientendaten fest. Dieses Schutzniveau dient der Sicherstellung der Vertraulichkeit der Daten, aber auch der Reduzierung der Risiken eines Datenverlustes.
Grundlage der IT-Sicherheitsrichtlinie der KBV bzw. KZBV
Mit dem Digitale-Versorgung-Gesetz (DVG) will die Bundesregierung den Digitalisierungsprozess im Gesundheitswesen weiter vorantreiben und legt Anforderungen und Konkretisierungen für die digitale Zukunft in Praxen fest. Der Gesetzgeber hat die KBV und die KZBV verpflichtet, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Die Richtlinie wurde mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt.
Die IT-Sicherheitsrichtline unterscheidet dabei nach allgemeinen, mittelgroßen und großen Praxen. Je nach eigener Eingruppierung müssen dabei unterschiedliche Anforderungen erfüllt werden. Die Eingruppierung orientiert sich dabei maßgeblich an der Anzahl der Mitarbeiter in der Praxis, die Zugriff auf die Praxisverwaltungssoftware haben.
Dabei ist die IT-Sicherheitsrichtlinie gem. §75b SGB V für alle kassenärztlichen Praxen verbindlich einzuhalten. Allerdings bedarf dies tiefgreifender IT-Kenntnisse, die regelmäßig in den Praxen fehlen dürfte, weshalb viele Ärztinnen und Ärzte bei der Umsetzung der IT-Sicherheitsrichtlinie vor großen Herausforderungen stehen.
KBV-zertifizierte Beratung
Um Sie bei der Umsetzung der IT-Sicherheitsrichtlinie bestmöglich unterstützen zu können, haben wir uns umfangreich mit der IT-Sicherheitsrichtlinie befasst und unsere Expertise durch die KBV überprüfen und bestätigen lassen. Dadurch steht Ihnen René Floitgraf als KBV-zertifizierter Berater für die IT-Sicherheitsrichtlinie zur Verfügung.
Das gesamte Team der CompliPro GmbH steht allen Ärzten gerne beratend zur Seite, damit die Umsetzung der IT-Sicherheitsrichtlinie nicht im Sande verläuft! Wir unterstützen und beraten praxisnah und setzen zusammen mit Ihnen die Forderungen der IT-Sicherheitsrichtlinie individuell um.
Fragen zur IT-Sicherheitsrichtlinie
Sowohl die KBV, als auch die KZBV, haben durch den Gesetzgeber den Auftrag erhalten, eine IT-Sicherheitsrichtlinie zu veröffentlichen. Beide Vereinigungen haben eine entsprechende Richtlinie veröffentlicht, wobei die Richtlinien der KBV und KZBV nahezu identisch sind.
Dazu eine Pressemitteilung der KBV vom 21.01.2021: „Für Arzt- und Psychotherapeutenpraxen gelten neue verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie tritt am Samstag offiziell in Kraft.“
Die KBV und die KZBV sind nach § 75b Abs. 1 Satz 1 SGB V gesetzlich verpflichtet eine „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ zu erstellen.
Gem. §75b Abs. 4 Satz 1 SGV V ist die IT-Sicherheitsrichtlinie für alle an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich.
Bei der Ermittlung werden Voll- und Teilzeitbeschäftigte gezählt, die regelmäßig – unabhängig von der tatsächlichen Arbeitszeit und dem Verarbeitungsumfang – Daten verarbeiten. In der Regel zählen somit alle Mitarbeiter der Praxis dazu, die mit dem Praxisverwaltungssystem (PVS) arbeiten, auch die Praxisleitung. Zudem auch Mitarbeiter, die mit der Lohnbuchhaltung beschäftigt sind, oder im hauseigenen Labor arbeiten. Ausgenommen werden nur Mitarbeiter, die keinen Zugang zur Datenverarbeitung haben, wie zum Beispiel Reinigungskräfte oder sonstige Mitarbeiter, oder Personen, die lediglich sporadisch im Auftrag der Praxis arbeiten.
Das Digitale Versorgung-Gesetz (DVG), mit dem die IT-Sicherheitsrichtlinie eingeführt wurde (§ 75 SGB V), sieht derzeit keine eigenen Sanktionen vor. Das bedeutet jedoch nicht, dass diese Vorgaben nicht eingehalten werden müssen. Die Richtlinie definiert Maßnahmen, die die Einhaltung der verschiedenen rechtlichen Vorgaben unterstützen.
So fordert beispielsweise die DSGVO die Etablierung technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik. Wird gegen diese Anforderung verstoßen, haben die Aufsichtsbehörden die Möglichkeit, hohe Strafen durchzusetzen.
Auch im Straf- und Berufsrecht sind entsprechende Sanktionen vorgesehen und können durch einen Verstoß gegen die IT-Sicherheitsrichtlinie begründet werden.
Zuletzt könnte eine CyberRisk-Versicherung möglicherweise die Leistungen im Schadensfall verweigern oder kürzen, wenn die Praxisleitung wissentlich die IT-Sicherheitsrichtlinie nicht umgesetzt hat, wenn die entsprechenden Maßnahmen in der Lage gewesen wären, den vorliegenden Schadensfall zu vermeiden.
Gem. §75b Abs. 5 Satz 1 SGB V müssen Kassenärztlichen Bundesvereinigungen „Mitarbeiterinnen und Mitarbeiter der Anbieter“ (also Berater) auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.
Diese Eignung wird im Rahmen einer Zertifizierungsprüfung durch die KBV überprüft und mit einem entsprechenden Zertifikat bestätigt.