"Nicht die Medizin – die IT, EDV, die Digitalisierung ist es, was mir täglich in der Praxis Kopfzerbrechen bereitet." Solche Sätze hört man immer häufiger aus der Ärzteschaft, denn Aufwand, Kosten und Probleme rund um die Praxis-IT nehmen kontinuierlich zu. Mit dem Ziel, die IT-Sicherheit in den Praxen zu gewährleisten, ist im Januar die IT-Sicherheitsrichtlinie in Kraft getreten. Die verbindliche Einführung erfolgt schrittweise ab dem 1. April 2021. Was genau beinhalten die Vorgaben, in welchem Zeitraum müssen sie erfüllt werden und ist die Umsetzung praktikabel?

Grund für die Erstellung der IT-Sicherheitsrichtlinie war es, den Arztpraxen im Dschungel der Datenschutzbestimmungen, die 2018 im Zuge der Datenschutz-Grundverordnung (DSGVO) in Kraft getreten sind, eine klare Orientierung zu geben. Bemängelt wurde nämlich u. a., dass die in der DSGVO beschriebenen Bestimmungen oftmals nicht gut auf Praxen anzuwenden sind oder zu ungenau für deren Bedürfnisse formuliert sind. Der Gesetzgeber hat somit im Zuge des Digitale-Versorgung-Gesetzes die KBV beauftragt, eine Richtlinie zu erstellen, mit dem Ziel, IT-Systeme und sensible Daten in den Praxen besser zu schützen. Erreicht werden soll dies durch klare Vorgaben, die dabei helfen, Patientendaten sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren.

Überblick über die Richtlinie

Für die IT-Sicherheitsrichtlinie hat die KBV eine eigene Website eingerichtet (s. QR-Code). Die Richtlinie selbst gliedert sich in zwei Teile:
  1. Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit (nach § 75b SGB V)
  2. Richtlinie zur Zertifizierung von Dienstleistern (nach § 75b Absatz 5 SGB V)

Die erstgenannte Richtlinie besteht im Wesentlichen aus den Anlagen 1 bis 5. Dabei richten sich die Anlagen 1 bis 3 an drei verschiedene Praxisgrößen:
  • Anlage 1 – "Praxis": Betrifft Praxen mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen
  • Anlage 2 – Zusätzliche Anforderungen für mittlere Praxen: Betrifft Praxen mit 6 bis 20 ständig mit der Datenverarbeitung betraute Personen
  • Anlage 3 – Zusätzliche Anforderungen für Großpraxen: Betrifft Praxen mit mehr als 20 ständig mit der Datenverarbeitung betrauten Personen oder Praxen, die "in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig" sind (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen).

Anlagen 4 und 5 beziehen sich auf zwei sog.Anforderungskategorien:
  • Anlage 4: Zusätzliche Anforderungen für Praxen mit medizinischen Großgeräten
  • Anlage 5: Anforderungen für dezentrale Komponenten der Telematikinfrastruktur

Hieraus ergibt sich, dass die Anlagen 1 und 5 für alle Praxen gelten, während es sich bei den Anlagen 2 bis 4 um zusätzliche Anforderungen handelt, die nur erfüllt werden müssen, wenn die Praxen per Definition "größer" sind und/oder mit medizinischen Großgeräten arbeiten.

Um bestimmte Anforderungen umzusetzen, stehen 3 Musterdokumente zur Verfügung: ein Muster-Netzplan, eine Muster-Richtlinie zur Benutzung von mobilen Geräten sowie eine für die Mitnahme von Wechseldatenträgern. Die Vorlagen können an die eigenen Praxisgegebenheiten angepasst werden.

Inhalte der Richtlinie

Die einzelnen Vorgabenkataloge sind aufgrund ihrer tabellarischen Auflistung zwar übersichtlich gestaltet, jedoch teilweise lang. So enthält die wichtigste Anlage 1, die von allen Praxen umgesetzt werden muss, 34 Anforderungen. Definiert wurden sog. "Zielobjekte", darunter versteht man z. B. Apps, Endgeräte, Smartphones, Wechseldatenträger oder Netzwerksicherheit. Diesen Zielobjekten ist zugeordnet, welche Anforderungen bis zu welchem Fristtermin erfüllt werden müssen. Zusätzliche Hinweise konkretisieren die Anforderungen. Es geht z. B. darum, wie Rechner, Mobiltelefone und Tablets vor unbefugten Zugriffen (intern und extern) und Datenklau geschützt werden, wie ein sicherer Umgang mit dem Internet gewährleistet wird und wie vertrauliche Daten online, per App oder Datenträger sicher übermittelt werden können.

Die Anlagen 2 und 3 erweitern Anlage 1 um 11 bzw. 12 zusätzliche Anforderungspunkte, gelten aber nur für Praxen, in denen eine "größere" Anzahl an Mitarbeiter:innen auf Geräte und Programme zugreifen können. Hier geht es vornehmlich darum, dass Praxen z. B. Richtlinien zur Nutzung verschiedener Geräte und Anwendungen erstellen sollen, in denen u. a. Berechtigungen, Verschlüsselungen oder die Protokollierung von Vorgängen klar geregelt sind.

Besitzt eine Praxis medizinische Großgeräte (z. B. CT, MRT, PET), sind 6 zusätzliche Anforderungen aus Anlage 4 zu erfüllen, hier geht es um Benutzerkonten, EDV-Schnittstellen und Protokollierung der Gerätenutzung. Auch die Anlage 5 mit Anforderungen an die Telematikinfrastruktur (TI) und deren dezentrale Komponenten ist mit 7 Punkten übersichtlich, muss aber aufgrund der Verpflichtung zur Teilnahme an der TI von allen Praxen erfüllt werden.

Die gute Nachricht: Einige Punkte der Liste werden für viele Praxen selbstverständlich und bereits umgesetzt sein. So besteht z. B. eine Anforderung für Internetanwendungen darin, eine Firewall zu benutzen und diese regelmäßig upzudaten, und für Endgeräte soll ein aktuelles Virenschutzprogramm eingesetzt werden. Durch einige dieser eher banalen Anforderungen kann vielleicht dem ein oder anderen die Panik vor der generellen Umsetzung der Richtlinie genommen werden.

Wie sehen die Fristen aus?

Für die zeitliche Umsetzung sind drei Stufen vorgesehen. Die erste Stufe tritt zum 1. April 2021 in Kraft und betrifft hauptsächlich die Anlage 1 mit 20 von den 34 Punkten. Die zweite Frist beginnt zum 1. Juli 2021 und die letzte Frist muss schlussendlich zum 1. Januar 2022 erfüllt werden. Die Anlagen 2 bis 5 beinhalten (bis auf zwei Ausnahmen) ausschließlich Anforderungen, die erst zu den Stichtagen 1. Juli 2021 und 1. Januar 2022 erfüllt werden müssen.

Richtlinie zur Zertifizierung von Dienstleistern

Mit der zweiten Richtlinie wird die Zertifizierung von Dienstleistern geregelt, die die Ärzt:innen in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. Hier werden die Rahmenbedingungen für dieses Zertifizierungsverfahren beschrieben. Verpflichtet sind Ärzt:innen jedoch nicht, einen solchen Dienstleister zu beauftragen, sie können die Umsetzung auch in Eigenregie vornehmen. Expert:innen empfehlen jedoch aufgrund der Fülle an Anforderungen, aber auch aus Gründen der Verantwortlichkeit, auf einen solchen Dienstleister zurückzugreifen.

Ob und wie sich der zusätzliche Aufwand zur Erfüllung der Richtlinie in der Vergütung niederschlagen wird, bleibt allerdings aktuell noch offen.



Autorin:
Yvonne Emard

Erschienen in: doctors|today, 2021; 1 (3) Seite 54-55