Was bedeutet die IT-Sicherheitsrichtlinie
der KBV in der Praxis?

 
Am 27.02.2021 trat die neue Richtlinie zur Datensicherheit in Arztpraxen und psychotherapeutischen Praxen der KBV in Kraft. Sie soll IT-Systeme und sensible Daten in den Praxen noch besser schützen. Die IT-Sicherheitsrichtlinie legt auf der Grundlage des BSI-Grundschutz ein Mindestmaß an Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen fest. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. So sollen klare Anforderungen dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren.

Verantwortlich für die Umsetzung dieser Sicherheitsanforderungen sind die Praxisinhaber*innen, die sich allerdings von IT – Dienstleister*innen beraten und unterstützen lassen können.

Bereits bis zum 1. April 2021 sollen Praxen erste Anforderungen realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Hintergrund der IT-Sicherheitsrichtlinie ist das Digitale-Versorgung-Gesetz.

In einem Interview spreche ich mit Herrn Hoenicke, Praxisbetreuer und IT-Experte, über die neue IT-Sicherheitsrichtlinie der KBV und was natürlich noch viel spannender ist, über die Umsetzung.
 

Wofür brauchen wir diese Richtlinie überhaupt?

In der heutigen Zeit werden viele Vorgänge digital abgebildet. Auch zukünftig wird die Digitalisierung im Gesundheitswesen weiter voranschreiten. Aber wie schützen wir diese digitalen Daten? Wie schützen wir die Infrastruktur vor Angriffen von außen? Wie können wir die Abläufe in der Praxis und in der Kommunikation absichern? Patientendaten sind sehr sensibel und das Haftungsrisiko der Praxisinhaber ist nicht unerheblich. Bisher gab es da keine einheitlichen Regelungen. Die neue IT-Sicherheitsrichtlinie der KBV bildet nun einen gesicherten Rahmen für Praxisinhaber, an dem sie sich orientieren können. Das ist erstmal eine gute Sache.
 

Die Anforderungen sind z.T. sehr komplex. Kann ich das als Praxisinhaber*in wirklich allein bewerkstelligen?

Aus meiner Sicht ist die Umsetzung der KBV IT-Sicherheitsrichtline tatsächlich in vielen Punkten so komplex, dass es für einen IT-Laien kaum allein umsetzbar ist. Wir dürfen auch nicht vergessen, dass die Richtlinie jedes Jahr geprüft und aktualisiert wird. Deshalb kann und sollte man sich Unterstützung von einem Experten holen. Ich empfehle einen von der KBV zertifizierten IT-Dienstleister. Aktuell hat die KBV diesen Zertifizierungsprozess gestartet und veröffentlicht die zertifizierten Dienstleister auf ihrer Website.
 

Welche Punkte sind denn besonders relevant? Was muss ich unbedingt umsetzen?

Das lässt sich nicht so pauschal beantworten, da ja immer neue Anforderungen dazu kommen werden. In der ersten Umsetzungsrunde jetzt im April müssen neben einigen anderen Maßnahmen ein Netzwerkplan erstellt und aktuelle Virenschutzprogramme eingesetzt werden. Ab Januar 2022 kommen dann neue Anforderungen hinzu. Genauer kann man das in der Richtlinie der KBV nachlesen.
 

Gilt die neue Sicherheitsrichtlinie der KBV auch für Praxen, die nicht an die Telematik Infrastruktur angeschlossen sind?

Ja, die IT – Sicherheitsrichtline der KBV betrifft auch Praxen, die nicht an die Telematik Infrastruktur (TI) angeschlossen sind. Es geht ja z.B. darum, dass die Praxis-IT bzw. Patientendaten abgesichert werden. Das ist vollkommen unabhängig von der TI. (vgl. Anlage 5)
 

Benötige ich eine Firewall?

Eine Firewall erhöht die Datensicherheit immens, daher rate ich sehr dazu. Die Firewall ist allerdings nicht die einzige umzusetzende Maßnahme und muss sinnvoll in das IT-Konzept eingebunden werden.
 

Kann ich meinen Konnektor nicht einfach auf Reihe umstellen lassen?

Ja, das kann man machen, aber das erfüllt nicht die IT – Sicherheitsrichtline der KBV, denn diese sieht zahlreiche andere Maßnahmen zur Erhöhung der Datensicherheit vor.
 

Benötige ich eine Cyberversicherung?

Die IT-Sicherheitsrichtline der KBV und auch der BSI-Grundschutz verlangt sie nicht explizit. Dennoch sollte man prüfen, ob sie nicht doch für die eigene Praxis sinnvoll ist. Ich würde auf jeden Fall empfehlen, eine Cyberversicherung abzuschließen.
 

Was sollte ich tun, wenn ich meine Technik privat und geschäftlich nutze?

Ich rate dringend davon ab, die Praxis-Geräte speziell Handy und Rechner auch für den privaten Gebrauch zu nutzen. Die Sicherheitsvorkehrungen für eine Trennung sind so hoch und kompliziert, dass sich zwei Geräte an dieser Stelle lohnen.
 

Unabhängig von deinem eigenen Konzept, wie schätzt du die Angebote ein, die derzeit auf dem Markt sind? Worauf sollten Praxisinhaber*innen achten?

Momentan kommen sehr viele Angebote auf den Markt – die kenne ich natürlich nicht alle. Ich bin sicher, dass es für Praxisinhaber nicht leicht ist, den Überblick zu behalten oder den passendes Dienstleister auszuwählen. Daher würde ich empfehlen, einen (zertifizierten) IT-Dienstleister zu wählen, den Sie kennen und dem Sie vertrauen. Praxisinhaber können auch bei Kollegen nach Empfehlungen fragen. Inhaltlich sollte man darauf achten, dass die Betreuung nicht nur eine Firewall oder eine serielle Schaltung, bzw. eine Reihenschaltung des Konnektors umfasst, sondern wirklich alle Anforderungen der Richtlinien umgesetzt werden.
 

Gibt es eine Förderung für die Umsetzung?

Bei der KBV wird eine Kostenübernahme diskutiert, aber aktuell gibt es keine Zuschüsse.
 

Wird die Umsetzung kontrolliert?

Die IT – Sicherheitsrichtline soll von den jeweiligen KV´en kontrolliert werden. Diese haben bereits angekündigt, diese Prüfungen zu gegebener Zeit durchzuführen. Bisher haben sie sich allerdings noch nicht zur Form der Kontrollen geäußert.
 

Wo finde ich als Praxisinhaber*in Informationen zur neuen IT-Sicherheitsrichtlinie der KBV?

Zur IT-Sicherheitsrichtlinie gibt es eine eigene Online-Plattform. Außerdem gibt es ein Video der KBV, in dem die Richtlinie genauer erklärt wird: https://www.kbv.de/html/it-sicherheit.php.

Auf der Website des Bundesamtes für Sicherheit in der Informationstechnik findet man zusätzlich Informationen zu den zugrunde liegenden BSI-Standards sowie das BSI-Grundschutzkompendium: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html.