Die IT-Sicherheitsrichtlinie der KBV auf der Rechtsgrundlage von § 75 b SGB V regelt mit Wirkung seit dem 01.04.2021 die Anforderungen zur Gewährleistung der Informationssicherheit in der vertragsärztlichen Versorgung für die Praxen von Vertragsärzten und Psychotherapeuten.
Sie gibt verbindliche Maßnahmen vor, worauf die in den Praxen eingesetzen IT-Systeme, Programme, mobile Apps und Internetanwendungen zu überprüfen sind. Damit soll die Sicherheit der Komponenten und Dienste in den Praxen als Bestandteil der Telematikinfrastruktur gewährleitet werden.
Die Richtlinie wird im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und wird jährlich an den aktuellen Stand der Technik und an geänderte Gefährdungspotentiale für die Anwendungen in den Praxen angepasst. Sie ist weiterhin aus den Pflichten der Praxeninhaber nach Art 32 “Sicherheit der Verarbeitung“ nach der Datenschutzgrundverordnung (DSGVO) seit Mai 2018 abgeleitet. Die Richtlinie hat insofern den Anspruch bestehenden Vorgaben zur Informationssicherheit zu konkretisieren und praxistauglich zu machen.
Ab 1. April 2021 wurden die zu überprüfenden Maßnahmen der Anlagen und deren sich daraus ergebenden Vorgaben schrittweise eingeführt.
Der Chaos Computer Club hat Schwachstellen bei der elektronischen Patientenakte (ePA) aufgedeckt. Die KBV hat in ihren Praxisnachrichten zusammengetragen, wo die Schwachstellen in der Sicherheitsarchitektur der ePA liegen und was Praxen tun können, um ihre Telematik-Infrastruktur vor illegalen Zugriffen zu schützen. Zu den KBV-Praxisnachrichten.
Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss eine Praxis ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen? Einen Überblick und weiterführende Informationen zur IT-Sicherheitsrichtlinie werden durch die KBV bereitgestellt.
Die IT-Sicherheitsrichtlinie besteht insgesamt aus fünf Anlagen, die sich nach der Praxisgröße (kleine Praxis mit 1-5 Personen, mittlere Praxis mit 6-20 Personen und große Paxis mit 21 und mehr Personen) sowie den eingesetzten Geräten oder Komponenten gliedern. Die Anlagen sind auf der zentralen Online-Plattform der KBV abrufbar.
Um den Umgang mit den Anlagen praxisgerecht zu gestalten hat die KVSA die Anlagen nach der jeweiligen Praxisgröße zusammengefasst und in die Form einer Checkliste umgewandelt, mit der die Praxen die durchgeführten Maßnahmen einfach dokumentieren können. Die betreffenden Checklisten sind der nebenstehenden Box hinterlegt. Die spezielle Vorgabe der Anlage für Großgeräte wurde in ihrer Form belassen, da sie nur einen spezialisierten Teil der Praxen betrifft.
Praxen können sich beim Umsetzen der IT-Sicherheitsrichtlinie von IT-Dienstleistern beraten und unterstützen lassen. Die IT-Dienstleister haben dabei die Möglichkeit sich speziell auf die Umsetzung der Maßnahmen in den Praxen zertifizieren zu lassen. Die Zertifizierung dieser Dienstleister hat die KBV in einer separaten Richtlinie geregelt. Zertifizierte Dienstleister veröffentlicht die KBV in dem Verzeichnis zertifizierter Dienstleister.
