IT-Sicherheitsrichtlinie

Die IT-Sicherheitsrichtlinie der KBV auf der Rechtsgrundlage von § 75b SGB V wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und am 1. Januar 2021 in Kraft gesetzt.

In dieser Richtlinie werden die Anforderungen zur Gewährleistung der IT-Sicherheit in Arzt- und Psychotherapeutenpraxen geregelt. Ziel ist der Schutz der Praxis IT-Systeme und der in den Praxen verarbeiteten Patientendaten. Viele der Anforderungen in der IT-Sicherheitsrichtlinie werden bereits seit Mai 2018 durch die Europäische Datenschutzgrundverordnung (DSGVO) gefordert. Deshalb ist davon auszugehen, dass die Arzt- und Psychotherapeutenpraxen viele Maßnahmen schon umgesetzt haben.

Die Inhalte der IT-Sicherheitsrichtlinie liegen nicht in der Gestaltungshoheit der KV Sachsen. Anders als bei der Telematikinfrastruktur gibt es für die durch die Umsetzung der IT-Sicherheitsrichtlinie entstehenden Kosten keine Gegenfinanzierung durch die KV Sachsen.

Zur Entlastung der Arzt- und Psychotherapeutenpraxen sieht die IT-Sicherheitsrichtlinie die Realisierung der Anforderungen in Etappen gestaffelt und nach Praxisgröße abgestuft vor. Die Einführungsfristen sind: 1. Januar 2021, 1. April 2021, 1. Juli 2021, 1. Januar 2022 und 1. Juli 2022. Welche Anforderung wann einzuführen ist, ist in den Anlagen zur IT-Sicherheitsrichtlinie vermerkt. Bei der Praxisgröße wird unterschieden in Praxen mit bis zu fünf Personen, die Patientendaten verarbeiten, mittlere Praxen mit 6 bis 20 datenverarbeitenden Personen und Großpraxen mit mehr als 20 Personen, die ständig mit der Datenverarbeitung betraut sind. Für alle Anforderungen gilt: wenn einzelne IT-Technik wie z.B. Smartphones und Tablet in einer Arzt- oder Psychotherapeutenpraxis nicht eingesetzt wird, so sind die betreffenden Anforderungen nicht relevant.

Sie finden auf dieser Seite unter Dokumente sowie unter Weiterführende Informationen umfangreiches Material, das bei der Umsetzung der IT-Sicherheitsrichtlinie unterstützen soll. Darunter sind ein Netzwerkplan und Musterdokumente für verschiedene Richtlinien, die von einer Praxis zu erstellen sind. Außerdem gibt es Informationsbroschüren zu Gefahrenbeispielen und Präventionstipps hinsichtlich IT-Sicherheit, zur Anschaffung einer Firewall, ein PraxisWissen-Themenheft und die IT-Sicherheitsrichtlinie mit allen Anlagen zum Download.

Die KBV bietet zum Thema eine zertifizierte Online-Fortbildung für Ärzte und Psychotherapeuten an. Die Fortbildung "IT-Sicherheit in der Praxis" ist im Fortbildungsportal der KBV verfügbar. Sie informiert über die gesetzlichen Regelungen zum Datenschutz und zur Informationssicherheit und stellt die Anforderungen der IT-Sicherheitsrichtlinie vor. Der Kurs schließt mit einem Multiple-Choice-Test ab. Für die erfolgreiche Teilnahme gibt es zwei Fortbildungspunkte.

Bei der Umsetzung der IT-Sicherheitsrichtlinie können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen. Die IT-Dienstleister können sich auf die Umsetzung der Anforderungen in den Praxen durch die KBV zertifizieren lassen. Zertifizierte Dienstleister veröffentlicht die KBV in dem Verzeichnis zertifizierter Dienstleister:

https://www.kbv.de/media/sp/KBV_ISAP_Dienstleister_ZERT_P75b_SGBV.pdf

Praxen müssen nicht zwingend auf einen zertifizierten IT-Dienstleister zurückgreifen.