Die IT-Sicherheitsrichtlinie geht in großem Umfang auf Sicherheitsmaßnahmen bei der Nutzung von mobilen Endgeräten in einer Arzt- oder Psychotherapiepraxis ein.
Die entsprechenden Anforderungen in den Anlagen der IT-Sicherheitsrichtlinie sind zwar für Praxen, mittlere Praxen und Großpraxen separat aufgeführt, ähneln sich aber im Kern ihrer Aussage. Sie unterscheiden sich nur in der Komplexität ihrer Umsetzung.
Praxisgrößen und Anforderungskategorien
Praxis:
Eine vertragsärztliche Praxis mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen.Mittlere Praxis:
Eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang:
Eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
Erhöhte Achtsamkeit bei der Installation von Apps
Wenn Sie eine App neu auf Ihrem in der Praxis genutzten mobilen Gerät installieren, achten Sie bitte während der einzelnen Installationsschritte genau darauf, welche Berechtigungen diese App einfordert und ob Sie diesen zustimmen wollen. Darunter zählt z. B. der Zugriff auf die Kamera und das Mikrofon sowie auf Standortdaten. Zur Erhöhung des Datenschutzes sollten Sie den Zugriff von Apps auf Daten und Schnittstellen Ihres Geräts in den Einstellungen auf das Notwendigste beschränken. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 24 sowie Anlage 2, Nr. 1)
Für Großpraxen fordert die IT-Sicherheitsrichtlinie zudem eine Festlegung der erlaubten Informationen und Apps auf den genutzen mobilen Geräten und vom Praxisinhaber eine klare Definition, welche Informationen auf den mobilen Endgeräten unter welchen Bedingungen verarbeitet werden dürfen. (} IT-Sicherheitsrichtlinie, Anlage 3, Nr. 3 und 9)
Kein Austausch von Befunden über Messengerdienste
Auch für den Fall, dass Patienten darauf drängen: Bitte nutzen Sie generell keine Messengerdienste wie WhatsApp, um abfotografierte Befunde o. ä. auszutauschen. Diese Apps sind nicht DSGVO-konform. Darüber hinaus sollten vertrauliche Daten generell nicht über Apps versendet werden, um Datenabfluss zu verhindern. (} IT-Sicherheitsrichtlinie, Anlage 1, Nr. 4)
Erstellung einer Mitarbeiter-Richtlinie zur Nutzung mobiler Geräte
Die IT-Sicherheitsrichtlinie verlangt für mittlere sowie Großpraxen eine für alle Mitarbeiter verbindliche Richtlinie, welche den Einsatz und die Kontrolle von Geräten wie Smartphones und Tablets in der Praxis regelt. Sie enthält sowohl Dienstanweisungen als auch eine Belehrung und muss allen Mitarbeitern bekannt sein. Mithilfe der Richtlinie zur Nutzung mobiler Geräte wird allen Mitarbeitern klar vermittelt, für welche Zwecke die Geräte genutzt werden sollen und wofür sie nicht genutzt werden dürfen: In diesem Zusammenhang sollte bspw. erwähnt werden, ob und in welchem Umfang eine private Nutzung durch Mitarbeiter zulässig ist. So lassen sich spätere arbeitsrechtliche Streitigkeiten vermeiden. (} IT-Sicherheitsrichtlinie, Anlage 2, Nr. 6 und 8 sowie Anlage 3, Nr. 1)
Wie eine solche Richtlinie für das Praxispersonal aussehen kann, erfahren Sie auf der Internetpräsenz der KV Sachsen. Dort finden Sie unter der Rubrik „IT-Sicherheitsrichtlinie“ ein Musterdokument der KBV mit dem Titel „Muster Richtlinie mobile Geräte“.
Informationen und Ansprechpartner
www.kvsachsen.de > Für Praxen > IT in der Praxis > IT-Sicherheit in der Praxis
www.kvsachsen.de > Für Praxen > IT in der Praxis > Telematikinfrastruktur
EDV-Support und Online-Dienste
| Telefon: | 0351 8290-6789 |
| E-Mail: | edv-beratung@kvsachsen.de |
| Montag bis Donnerstag | 8:00 bis 17:00 Uhr und |
| Freitag | 8:00 bis 14:00 Uhr |
