IT-Sicherheitsrichtlinie der KBV

Im Januar ist die gesetzliche IT-Sicherheitsrichtlinie (nach §75b SGB V) der Kassenärztlichen Bundesvereinigung (KBV) in Kraft getreten. Darin werden Anforderungen an Praxen zur Gewährleistung der IT-Sicherheit aufgelistet, die bis Juli 2022 schrittweise umgesetzt werden sollen. Welche Forderungen wann erfüllt sein müssen und wie wir Sie bei der Umsetzung unterstützen können, erfahren Sie hier.

Was ist die IT-Sicherheitsrichtlinie der KBV?

Im Rahmen des Digitale-Versorgung-Gesetzes hat der Gesetzgeber die Kassenärztliche Bundesvereinigung 2020 beauftragt, eine IT-Sicherheitsrichtlinie für alle Arzt- und Psychotherapeutenpraxen zu entwickeln, um ein Mindestmaß an Sicherheit beim Prozess der Digitalisierung im Gesundheitswesen zu gewährleisten. Diese ist am 23. Januar 2021 in Kraft getreten und beinhaltet konkrete Vorgaben für Praxen und ihre IT-Infrastrukturen.

Übersicht der Anforderungen

Im gesetzlichen Anforderungskatalog wird zwischen kleinen, mittleren und großen Praxen sowie Einrichtungen mit medizinischen Großgeräten wie CT und MRT unterschieden. Je nach Größe und Ausstattung müssen demnach ggf. zusätzliche Sicherheitsvorkehrungen getroffen werden.

Weiterhin ist eine schrittweise Umsetzung der Maßnahmen vorgesehen, sodass Prozesse und Infrastruktur bis Juli 2022 nach und nach umstrukturiert werden können. Die ersten 22 Anforderungen sollten bereits im April 2021 umgesetzt worden sein, damit Praxen für den anstehenden Umstieg auf elektronischen Patientenakten (ePA) und elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) vorbereitet sind.

Die von der KBV veröffentlichte Richtlinie finden sie hier. Im Folgenden liefern wir Ihnen eine komprimierte Übersicht aller Anforderungen:

Ab 1. April 2021	Apps	Nutzung von Apps nur aus offiziellen Stores Updates zeitnah installieren Kein Versenden vertraulicher Daten über Apps
	Office-Produkte	Keine Speicherung vertraulicher Daten in integriertem Cloud-Speicher Löschen vertraulicher Daten aus Dokumenten vor Weitergabe
	Internet-Anwendungen	Nutzung von Anwendungen mit strikter Absicherung der Zugänge Keine Speicherung vertraulicher Daten im Browser Nutzung von Anwendungen mit Verschlüsselung
	Endgeräte	Deaktivierung von Mikrofon & Kamera, Aktivierung nur bei Bedarf Abmeldung bzw. Sperren von Geräten nach Nutzung Einsatz aktueller Virenschutzprogramme
	Smartphone & Tablet	Nutzung aktueller Schutzprogramme im Browser Schützen von SIM-Karten durch PIN, Super-PIN/PUK Einrichten komplexer Gerätesperrcodes Zeitnahe Updates des Betriebssystems und der eingesetzten Apps
	Mobiltelefon	Regelmäßiges Prüfen nach Softwareupdates
	Wechseldatenträger & Speichermedien	Eindeutige Kennzeichnung der Datenträger für Empfänger, keine Rückschlussmöglichkeit für Dritte Sichere Versandart mit manipulationssicherer Verpackung & Nachweis-System
	Netzwerksicherheit	Absicherung von Netzübergangspunkten durch eine Firewall Dokumentation des internen Netzes durch einen Netzplan
	Zusätzlich für mittlere Praxen*	Minimierung & Kontrolle von App-Berechtigungen
	Zusätzlich für große Praxen**	Verschlüsselung von Wechseldatenträgern
Ab 1. Juli 2021	Zusätzlich für Praxen mit medizinischen Großgeräten	Zugriffskontrollen für Wartungs- & Konfigurationsschnittstellen der Geräte, Verändern von Hersteller-Passwörtern Nutzung sicherer Protokolle für Wartung & Konfiguration der Geräte Deaktivierung nicht genutzter Benutzerkonten
Ab 1. Januar 2022	Apps	Nutzung nur von Apps, die Dokumente verschlüsselt und lokal speichern
	Internet-Anwendungen	Verwendung und regelmäßige Updates einer Web-App Firewall Verhindern automatisierter Zugriffe bzw. Aufrufe auf Webanwendungen
	Endgeräte	Regelmäßige Datensicherung Deaktivierung der Synchronisierung mit Microsoft-Cloud-Diensten Regelung von Berechtigungen und Zugriffen pro Person(engruppe) Minimierung der Verwendung persönlicher Daten
	Smartphone & Tablet	Auswahl der strengsten Sicherheitseinstellungen Zugriffe von Apps/Betriebssystem auf Daten & Schnittstellen auf das Notwendigste einschränken
	Mobiltelefon	Zeitnahe Sperrung der SIM-Karte bei Verlust Nutzung aller verfügbaren Sicherheitsmechanismen
	Wechseldatenträger & Speichermedien	Überprüfen der Datenträger mit aktuellem Schutzprogramm vor jeder Verwendung Vollständiges Löschen der Daten vom Speichermedium nach Verwendung
	Netzwerksicherheit	Verwenden geeigneter Authentisierung für Netzmanagement-Zugriff
	Zusätzlich für mittlere Praxen*	Zugriffskontrolle bei Webanwendungen durch Sicherstellung von Berechtigungen Nutzung von TLS zur Verschlüsselung von Webseiten Restriktive Rechtevergabe für Endgeräte Verwendung von Sprachassistenten auf Smartphones & Tablets nur bei zwingender Notwendigkeit Sichere Datenübertragung über Mobiltelefone durch Verschlüsselung Regelung zur Mitnahme von Wechseldatenträgern Umfassende Protokollierung, Alarmierung und Logging von Ereignissen auf zentralem Management-System
	Zusätzlich für große Praxen**	Erstellen einer Richtlinie für den Einsatz von Smartphones & Tablets Definition der erlaubten Informationen & Apps auf mobilen Geräten Absicherung der Anbindung mobiler Endgeräte zum MDM Erstellen, Dokumentieren & Anwenden eines Berechtigungskonzepts im MDM Zentrale Verwaltung von Zertifikaten über das MDM Einrichten der Möglichkeit zur Fernlöschung von mobilen Endgeräten Festlegen erlaubter Informationen auf mobilen Endgeräten Einrichten eines Schutzes von Speichermedien gegen Veränderungen Absicherung schützenswerter Informationen durch sichere Protokolle
	Zusätzlich für Praxen mit medizinischen Großgeräten	Festlegung von Protokollierungsverfahren Deaktivierung nicht genutzter Funktionen & Schnittstellen Trennung der Großgeräte von der weiteren IT
	Anforderungen bzgl. Dezentraler Komponenten***	Berücksichtigung der von der gematik GmbH zur Verfügung gestellten Informationen für die Installation der TI-Komponenten und für die Anwender- und Administrationsdokumentationen Schutz der TI-Komponenten vor unberechtigtem Zugriff Schutz der Praxis auf Netzebene bei „paralleler“ Integration des Konnektors ins Netzwerk des Leistungserbringers Regelmäßiges Prüfen auf verfügbare Aktualisierungen der TI-Komponenten & zeitnahe Installation (bspw. durch automatische Updates) Sichere Aufbewahrung von Administrationsdaten
Ab 1. Juli 2022	Zusätzlich für mittlere Praxen*	Empfehlung: Einsatz von Kerberos zur zentralen Authentisierung für SSO Erstellen einer Sicherheitsrichtlinie für die Nutzung mobiler Geräte & dienstlicher Mobiltelefone
Ab 1. Juli 2022	Zusätzlich für große Praxen**	Überprüfung & Freigabe mobiler Apps aus öffentlichen Stores

* In mittleren Praxen sind 6 bis 20 Personen mit der ständigen Datenverarbeitung betraut.

** In großen Praxen sind mehr als 20 Personen mit der ständigen Datenverarbeitung betraut ODER die Datenverarbeitung geht über die normale Datenübermittlung hinaus (z.B. Labor, Groß-MVZ).

*** Darunter fallen bspw. Konnektoren, Kartenlesegeräte oder Praxisausweise.

Informationsmaterial

In Anbetracht der großen Menge zu bewältigender Anforderungen hat die KBV eine Online-Plattform eingerichtet, um Praxen mit Begleitinformationen, Umsetzungshinweisen und Musterdokumenten zu unterstützen. Dort finden Sie u.a. Vorlagen für die vorgeschriebene Richtlinienerstellung oder einen beispielhaften Netzplan.

Beispielhafter Netzplan zur Dokumentation des internen Netzwerks

Ebenfalls existiert seit Februar ein Fortbildungsportal mit Online-Schulungen, für die CME Punkte erworben werden können. Unter den Fortbildungsthemen finden Sie auch eine Schulung zur “IT-Sicherheit in der Praxis”, in der Sie ausführlich über gesetzliche Regelungen zum Datenschutz und zur Informationssicherheit aufgeklärt werden. Weitere Informationen der KBV finden Sie auch auf den Themenseiten Praxis-IT und IT-Sicherheitsrichtlinie sowie den dazugehörigen Unterpunkten.

Unser Knowhow für Ihr IT-System

Für zusätzliche Hilfe bei der Umsetzung der Sicherheitsanforderungen können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen. Da die zukünftige Verordnung weiterer IT-Richtlinien bzgl. Datensicherheit wahrscheinlich ist, ist die Pflege einer sorgsam strukturierten IT- und Telematikinfrastruktur von höchster Wichtigkeit, um die Zukunftssicherheit Ihres Systems zu gewährleisten.

Gerne stehen Ihnen unsere darauf spezialisierten Consultants zur Seite, um Sie diesbezüglich professionell zu beraten und für eine reibungslose und fristgerechte Umsetzung der Sicherheitsvorschriften in Ihrer Praxis zu sorgen. Bei Bedarf bereiten wir Sie und Ihre Infrastruktur zusätzlich noch für die Umstellung auf die ePA und eAU vor. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Unverbindliches Beratungsgespräch zum KHZG

Sie möchten die finanzielle Förderung des Krankenhausdigitalisierungsgesetzes nutzen, sind aber noch unsicher, wo der Hebel am größten ist? In einem unverbindlichen Gespräch betrachten wir gemeinsam Ihre Ausgangssituation und unterstützen Sie bei der Entscheidung, wo sich eine Investition in die Digitalisierung für sie am meisten lohnt.