IT-Sicherheit für Arztpraxen: Richtlinie der Kassenärztlichen Bundesvereinigungen (KBV)

Dossier zum Patientendatenschutz-Gesetz

Hintergrund Gitternetz
Cybersicherheit im Gesundheitswesen - Praxen und Labore

Für die Umsetzung des Gesetzes in vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen und Laboren ist in Deutschland die Kassenärztliche Bundesvereinigung (KBV) zuständig. Sie erließ am 16. Dezember 2020 die “Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit”.

Laden Sie die Richtlinie hier herunter.

Welche Maßnahmen gelten für Ihre Praxis?

 

Die KBV hat insgesamt fünf Maßnahmenpakete beschlossen, die abhängig von der Größe und und dem Aufwand bei der Verarbeitung von personenbezogenen Daten, Anwendung finden.

Welcher Praxis-Typ sind Sie? KBV-Richtlinie zum PDSGDie Kassenärztliche Bundesvereinigung (KBV) unterscheidet dabei:

 

Welche Anlage gilt für Sie?

 

Anlage 1: Allgemeine Maßnahmen zu Erhöhung von Datenschutz und Informationssicherheit

Umzusetzen von Praxistyp 1, 2 und 3

Das erste Maßnahmenpaket, das für alle Praxen gilt, definiert grundsätzliche Maßnahmen, die alle Organisationen im Gesundheitswesen umsetzen und regelmäßig auf ihre Einhaltung überprüfen sollten. Die KBV definiert hierbei Zielobjekte, formuliert Anforderungen und erläutert diese. Zu beachten ist, dass diese Maßnahmen bereits seit dem 01.04.2021 gelten. Arztpraxen sind angehalten, dieses Paket schnellstmöglich umsetzen.

 

Anlage 2: Zusätzliche Anforderungen für mittlere Praxen

Umzusetzen von Praxistyp 2

Praxen mit höherem Aufkommen an personenbezogenen Daten sind ein interessanteres Ziel für potentielle Angreifer. Daher müssen mittlere Praxen zusätzlich noch die Maßnahmen aus der Anlage 2 umsetzen. Ein Großteil der Maßnahmen tritt erst am 01.07.2021 in Kraft, größere Anpassungen in der IT-Infrastruktur müssen bis zum 01.01.2022 umgesetzt werden.

 

Anlage 3: Zusätzliche Anforderungen für Großpraxen

Umzusetzen von Praxistyp 3

Großpraxen mit Datenverarbeitung in erheblichem Umfang sind auf eine strategische Integration von Datenschutz und Informationssicherheit, beispielsweise durch ein Managementsystem für Informationssicherheit, angewiesen, um nachhaltig IT-Sicherheit umsetzen zu können. Hierzu werden in Anlage 3 organisatorische Maßnahmen definiert, die bis zum 01.01.2022 umgesetzt sein müssen. Das Ziel der Anlage ist die Entwicklung einer Security Policy, die systematisch implementiert und nachhaltig überwacht und optimiert werden kann.

 

Anlage 4: Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte

Umzusetzen von Praxistyp 3, wenn medizinische Großgeräte zum Einsatz kommen

Die Anlage 4 findet Anwendung, wenn Praxen vernetzte medizinische Großgeräte betreiben. Das Ziel des Maßnahmenpakets ist die Segmentierung und Sicherheit des Netzwerkes, in dem die Geräte betrieben werden. So können Angreifer nur schwer auf ein solches kritisches Netzwerk zugreifen und Schaden anrichten. Die Maßnahmen gelten teilweise am dem 01.07.2021. Die übrigen müssen erst bis zum 01.01.2022 umgesetzt werden.

 

Anlage 5: Dezentrale Komponenten der Telematikinfrastruktur

Umzusetzen von Praxistyp 1, 2 und 3

Anlage 5 definiert Anforderungen an die IT-Infrastruktur hinsichtlich der Zusammenarbeit mit der gematik GmbH. Diese organisiert die Digitalisierung des Deutschen Gesundheitswesens und ist für die Optimierung der Gesundheitsversorgung von ca. 70 Millionen Menschen zuständig. Da die gematik zum Ziel hat, alle Organisationen des Gesundheitswesens miteinander zu vernetzen, hat die Sicherung der Telematikstruktur für alle Teilnehmer eine hohe Relevanz. Die in der Anlage 5 definierten Maßnahmen müssen größtenteils bis zum 01.01.2022 umgesetzt werden.

Profilbild mit Unterzeile von Carsten Marmulla, Managing Partner & Senior Trusted Advisor

Mein Angebot: kostenfreie Expertenberatung!

Gerne unterstütze ich Sie bei der Entwicklung und Implementierung eines Managementsystems für Informationssicherheit und Datenschutz.

+49 (0)201 426 385 905

Kontakt aufnehmen

Zurück zur Themenübersicht

Sie haben Fragen?
Kontaktieren Sie Ihren persönlichen Ansprechpartner.

Ihr persönlicher Ansprechpartner

Profilbild Carsten Marmulla Geschäftsführer carmasec

Carsten Marmulla

+49 (0)201 426 385 900 Y29udGFjdEBjYXJtYXNlYy5jb20=
Hintergrund Gitternetz