Datenschutz in Praxen – KBV stellt IT-Sicherheitsrichtlinie vor
Mit dem Digitale-Versorgung-Gesetz wurde die KBV beauftragt, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Diese war im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erstellen – keine leichte Aufgabe, wie KBV-Vorstand Dr. Thomas Kriedel erklärt. Mit dem gefundenen Kompromiss ist er aber zufrieden. Denn bei den Anforderungen wird nach der Praxisgröße unterschieden. Außerdem wird die Umsetzung der Schutzmaßnahmen über mehrere Termine gestreckt. Die Richtlinie kann jährlich angepasst werden.
Kamera und Mikrofon nach der Besprechung deaktivieren
Als (kleine) vertragsärztliche Praxis definiert die Richtlinie eine Praxis mit bis zu fünf Personen, die ständig mit der Datenverarbeitung betraut sind. Bei einer „mittleren“ Praxis tun dies 6 bis 20 Personen. Von einer „Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang“ wird bei über 20 beteiligten Personen gesprochen bzw. bei Laboren sowie MVZ mit krankenhausähnlichen Strukturen.
Der Anforderungskatalog für (kleine) Praxen umfasst rund 40 Maßnahmen. Zu denen, die ab April 2021 zu erfüllen sind, gehört z.B. der Verzicht auf eine Cloud-Speicherung bei Office-Produkten. Internetbrowser sind so einzustellen, dass keine vertraulichen Daten gespeichert werden. Mikrofon und Kamera am Rechner sollen nur bei Bedarf temporär aktiviert werden. Natürlich sind aktuelle Virenschutzprogramme einzusetzen. Diese und ähnliche Vorgaben dürften für die Praxen nichts Neues sein.
Ab Januar 2022 kommen weitere Punkte hinzu, z.B.: Datenträger sind nach ihrer Verwendung immer sicher und vollständig zu löschen. Das interne Netz ist mit einem Netzplan zu dokumentieren. Für den Zugriff auf Netzkomponenten und Managementinformationen muss eine geeignete Authentisierung verwendet werden.
Für die Zeit ab 2022 heißt es dann u.a.: Die Informationen auf der gematik-Webseite zur Installation der TI-Komponenten müssen berücksichtigt werden. Und: Die TI-Komponenten müssen gemäß ihrer Handbuchvorgaben vor dem Zugriff Unberechtigter geschützt werden. Dazu sind sie regelmäßig und zeitnah von der Praxis zu aktualisieren.
Für mittlere und Groß-Praxen sowie medizinische Großgeräte gibt es zusätzliche Listen mit detaillierten Anforderungen. Um die Praxen für die Umsetzung der Richtlinie fit zu machen, bietet die KBV eine Online-Fortbildung an. Hilfreich sind auch Musterdokumente, die für die eigene Praxis angepasst werden können. Derzeit sind dies ein Netzplan sowie je eine Mitarbeiterrichtlinie zur Benutzung mobiler Geräte und zur Mitnahme von Wechseldatenträgern.
Praxen können auch IT-Dienstleister für das Erfüllen von Aufgaben engagieren. Damit diese qualifiziert sind, hat die KBV eine weitere Richtlinie zu deren Zertifizierung beschlossen. Das Zertifizierungsverfahren läuft jetzt an, so Dr. Kriedel.
Das KBV-Vorstandsmitglied betont, dass den Ärzten und Psychotherapeuten kein zusätzlicher Kostenaufwand für die IT-Sicherheitsmaßnahmen entstehen dürfe. Dieser müsse refinanziert werden.
Ihn wurmt es, wenn IT-Anbieter den Praxen Preise berechnen, die höher ausfallen als die Finanzierungsvereinbarungen zwischen KBV und Kassen es vorsehen. Dass es kostendeckend geht, macht Dr. Kriedel am Beispiel des KV-eigenen KIM-Dienstes kv.dox fest. Dessen Nutzung sei durch die Gebührenabrechnung gedeckt. Der Dienst, der eine sichere E-Mail-Kommunikation zwischen Ärzten und mit weiteren Akteuren des Gesundheitswesens ermöglicht, ist seit Anfang 2021 für KV-Mitglieder verfügbar. Er steht im Wettbewerb mit anderen Diensten für die „Kommunikation im Medizinwesen“.
Sanktionsschraube wird nicht weitergedreht
Man nähere sich der Zahl von 1000 Anwendern, so Dr. Kriedel. Die Nutzung eines KIM-Dienstes zählt zu den Voraussetzungen der elektronischen Krankschreibung, die ab dem vierten Quartal 2021 geplant ist.
Beruhigt nimmt Dr. Kriedel zur Kenntnis, dass zumindest beim geplanten dritten Digitalisierungsgesetz keine weiteren Fristen mit Sanktionsandrohung vorgesehen sind.
Quelle: KBV-Pressegespräch