IT-Sicherheit für Arztpraxen: Richtlinie der Kassenärztlichen Bundesvereinigungen (KBV)

Welche Maßnahmen gelten für Ihre Praxis?

 

Die KBV hat insgesamt fünf Maßnahmenpakete beschlossen, die abhängig von der Größe und und dem Aufwand bei der Verarbeitung von personenbezogenen Daten, Anwendung finden.

Die Kassenärztliche Bundesvereinigung (KBV) unterscheidet dabei:

• kleine Praxen mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen,
• mittlere Praxen mit sechs bis 20 mit der Datenverarbeitung betrauten Personen.
• und Großpraxen oder Praxen mit Datenverarbeitung im erheblichem Umfang mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder Praxen, die in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig sind.

 

Welche Anlage gilt für Sie?

 

Anlage 1: Allgemeine Maßnahmen zu Erhöhung von Datenschutz und Informationssicherheit

Umzusetzen von Praxistyp 1, 2 und 3

Das erste Maßnahmenpaket, das für alle Praxen gilt, definiert grundsätzliche Maßnahmen, die alle Organisationen im Gesundheitswesen umsetzen und regelmäßig auf ihre Einhaltung überprüfen sollten. Die KBV definiert hierbei Zielobjekte, formuliert Anforderungen und erläutert diese. Zu beachten ist, dass diese Maßnahmen bereits seit dem 01.04.2021 gelten. Arztpraxen sind angehalten, dieses Paket schnellstmöglich umsetzen.

 

Anlage 2: Zusätzliche Anforderungen für mittlere Praxen

Umzusetzen von Praxistyp 2

Praxen mit höherem Aufkommen an personenbezogenen Daten sind ein interessanteres Ziel für potentielle Angreifer. Daher müssen mittlere Praxen zusätzlich noch die Maßnahmen aus der Anlage 2 umsetzen. Ein Großteil der Maßnahmen tritt erst am 01.07.2021 in Kraft, größere Anpassungen in der IT-Infrastruktur müssen bis zum 01.01.2022 umgesetzt werden.

 

Anlage 3: Zusätzliche Anforderungen für Großpraxen

Umzusetzen von Praxistyp 3

Großpraxen mit Datenverarbeitung in erheblichem Umfang sind auf eine strategische Integration von Datenschutz und Informationssicherheit, beispielsweise durch ein Managementsystem für Informationssicherheit, angewiesen, um nachhaltig IT-Sicherheit umsetzen zu können. Hierzu werden in Anlage 3 organisatorische Maßnahmen definiert, die bis zum 01.01.2022 umgesetzt sein müssen. Das Ziel der Anlage ist die Entwicklung einer Security Policy, die systematisch implementiert und nachhaltig überwacht und optimiert werden kann.

 

Anlage 4: Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte

Umzusetzen von Praxistyp 3, wenn medizinische Großgeräte zum Einsatz kommen

Die Anlage 4 findet Anwendung, wenn Praxen vernetzte medizinische Großgeräte betreiben. Das Ziel des Maßnahmenpakets ist die Segmentierung und Sicherheit des Netzwerkes, in dem die Geräte betrieben werden. So können Angreifer nur schwer auf ein solches kritisches Netzwerk zugreifen und Schaden anrichten. Die Maßnahmen gelten teilweise am dem 01.07.2021. Die übrigen müssen erst bis zum 01.01.2022 umgesetzt werden.

 

Anlage 5: Dezentrale Komponenten der Telematikinfrastruktur

Umzusetzen von Praxistyp 1, 2 und 3

Anlage 5 definiert Anforderungen an die IT-Infrastruktur hinsichtlich der Zusammenarbeit mit der gematik GmbH. Diese organisiert die Digitalisierung des Deutschen Gesundheitswesens und ist für die Optimierung der Gesundheitsversorgung von ca. 70 Millionen Menschen zuständig. Da die gematik zum Ziel hat, alle Organisationen des Gesundheitswesens miteinander zu vernetzen, hat die Sicherung der Telematikstruktur für alle Teilnehmer eine hohe Relevanz. Die in der Anlage 5 definierten Maßnahmen müssen größtenteils bis zum 01.01.2022 umgesetzt werden.

Zurück zur Themenübersicht