In einem Rundschreiben an die KVen stellt die KBV Maßnahmen zur IT-Sicherheit vor. Hintergrund ist die kürzlich aktualisierte IT-Sicherheitsrichtlinie. Hier wurde die KBV aufgrund eines gesetzlichen Auftrags und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik tätig.

In ihrer sog. Informationsoffensive weist die KBV auf die Notwendigkeit von IT-Schutzmaßnahmen hin und bietet den Praxisteams Unterstützung an. Dazu gehört u.a. eine Serie in den „PraxisNachrichten“ der Körperschaft mit Themen wie Spam bei E-Mails, Gefahren durch Phishing, sichere Passwörter, regelmäßige Updates oder „Was ist bei einem Sicherheitsvorfall zu tun?“.

Auf der Homepage (siehe Link am Textende) wird den Praxen das Serviceheft „IT-Sicherheit“ zum Download angeboten. Damit können sich die Praxisteams einen Überblick über wichtige Anforderungen verschaffen. Für MFA stehen im Online-Fortbildungsportal der KBV eine Basisschulung und eine Schulung zum Thema Phishing bereit. Angekündigt ist eine CME-Fortbildung zur IT-Sicherheit für Ärztinnen, Ärzte, Psychotherapeutinnen und -therapeuten. Auf einer spezifischen Online-Plattform (Hub) sind Musterdokumente erhältlich, etwa eine Verschwiegenheitserklärung für Mitarbeitende bzw. Externe, die zum Beispiel Technik installieren.

Die Vertreterversammlung der KBV hat die Aktualisierung der IT-Sicherheitsrichtlinie zum 1. April 2025 in Kraft gesetzt. Die neuen Vorgaben sind spätestens ab dem 1. Oktober 2025 von den Praxen umzusetzen. Die seit 2021 bestehenden Vorgaben gelten weiter. Neu sind insbesondere Regelungen, die das Praxispersonal betreffen, wie:

• Erhöhung des Sicherheitsbewusstseins
• Sensibilisierung und Schulung des Personals zur IT-Sicherheit
• Datensicherung (wie und von wem)
• sichere Konfiguration von E-Mail-Clients und -Servern sowie Umgang mit Spam bei E-Mails
• Patch- und Änderungsmanagement, z. B. zeitnahe Installation von Updates
• Sicherheit von Cloudanwendungen

Gesundheitsdaten müssen stets angemessen geschützt werden, weil der Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität schwerwiegende Folgen für Betroffene haben kann.

Basisanforderungen gelten für alle Praxistypen

Die Richtlinie soll einen verlässlichen Rahmen für das bieten, was Praxisinhaberinnen und -inhaber tun müssen, sollten und können, um Risiken wie Datenverlust oder Betriebsausfall zu minimieren. Die Verantwortung dazu ergibt sich z.B. aus der ärztlichen Schweigepflicht (§ 9 Abs. 1 Musterberufsordnung), den Regelungen zur Verletzung von Privatgeheimnissen (§ 203 Strafgesetzbuch) und der europäische Datenschutzgrundverordnung.

Die Richtlinie enthält Basisanforderungen an alle Praxen bezüglich Hard- und Software sowie jetzt auch fürs Praxispersonal sowie für dezentrale Komponenten der Telematikinfrastruktur. Zusatzanforderungen gibt es für sog. mittlere Praxen, in denen 6 bis 20 Personen ständig mit der Datenverarbeitung betraut sind, sowie für große Praxen, wo über 20 Personen ständig mit der Datenverarbeitung zu tun haben oder wo Daten in einem Umfang verarbeitet werden, der die normale Übermittlung übersteigt (z.B. Labore  oder Groß-MVZ mit krankenhausähnlichen Strukturen). Praxen mit medizinischen Großgeräten wie CT oder MRT haben die Anlage 4 zu beachten.

Fazit: Während das BMG und die Gematik noch bemüht sind, Sicherheitslücken bei der elektronischen Patientenakte zu schließen, wurden die vertragsärztlichen Praxen bereits zu umfangreichen Sicherheitsmaßnahmen verpflichtet. Diese müssen jetzt zeitintensive Maßnahmen ergreifen, die auch mit Kosten verbunden sein werden.

Infos zur IT-Sicherheitsrichtlinie: bitly/kbv_cybersicherheit

Quelle: Medical-Tribune-Bericht