Als Mediziner wissen Sie: Die Kassenärztliche Bundesvereinigung, kurz KBV, befasste sich mit Sicherheitsstandards für Arztpraxen. Denn im Dezember 2019 trat das DigitaleVersorgung-Gesetz (DVG) in Kraft .
Und die KBV empfiehlt durchaus, Cyberrisiken an Versicherer auszulagern.
Das DVG soll regeln, dass Ihre Patienten schneller von digitalen Angeboten profitieren können. Weil so die medizinische Versorgung im gesamten Gesundheitswesen verbessert werden soll. Es geht dabei um elektronische Patientenakte, Gesundheits-Apps auf Rezept oder Videosprechstunden. Alles Dinge, die Sie in der Praxis betreiben oder umsetzten müssen.
Digitalisierung im Gesundheitswesen schreitet voran
Doch den Chancen durch diese Digitalisierung stehen auch Risiken gegenüber. Insbesondere für Ihren Praxisbetrieb entstehen diverse Risiken durch Cybercrime. Deshalb wurde das Thema „Sichere IT für Arztpraxen“ ebenfalls im DVG berücksichtigt: Mit § 75b SGB V wurde die Kassenärztliche Bundesvereinigung damit beauftragt, IT-Sicherheitsstandards für Arztpraxen verbindlich festzuschreiben. Aus diesem Auftrag entstand die IT-Sicherheitsrichtlinie. Und die ist schon am 1. Januar 2021 in Kraft getreten.
KBV definiert Ziele der IT-Sicherheitsrichtlinie
IT-Systeme und sensible Daten in den Praxen sollen noch besser geschützt werden. Ziel ist, die IT-Sicherheit nachhaltig zu stärken. Und klare Vorgaben sollen Ihnen dabei helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren.
Cyberpolice als Empfehlung
Die IT-Sicherheitsrichtlinie der KBV weist auch auf Cyberpolicen hin. So wird darauf hingewiesen, dass Sie Risiken der Praxis auch an Dritte, wie Cyberversicherungen, übertragen können.
Reicht die Datenschutz-Grundverordnung (DSGVO) nicht aus?
Die DSGVO regelt nicht die Sicherheit einer Arztpraxis. Denn sie ist eben nur eine EU-Verordnung. Und in deren Mittelpunkt steht der Datenschutz für Sie als Arzt, der Sie Personendaten verarbeiten. Weil die DSGVO aber besondere Kategorien personenbezogener Daten kennt, unter die auch Gesundheitsdaten von Patienten fallen, jedoch die fehlende Spezifizierung offen lässt, genügt sie eben nicht. Für Ihre Arztpraxis bleiben damit viele Fragen offen.
Die IT-Sicherheitsrichtlinie der KBV
Die IT-Sicherheitsrichtlinie richtet sich speziell an die Informationssicherheit Ihrer digitalen Patientenversorgung der Zukunft. Weil sie die DSGVO konkretisiert, macht sie diese praxistauglich für Sie. Wenngleich niemand behaupten dürfte, dass sie leicht umzusetzen sein dürfte.
Was sind die konkreten Inhalte der IT-Sicherheitsrichtlinie der KBV?
Die Richtlinie beschreibt das Mindestmaß der Maßnahmen die Sie ergreifen müssen, um Ihre IT-Sicherheit zu gewährleisten. Es geht dabei zum Beispiel um Punkte wie Ihr Sicherheitsmanagement, die IT-Systeme an sich, Rechnerprogramme, mobile Apps und Internetanwendungen. Aber auch über das Aufspüren von Sicherheitsvorfällen. Die Maßnahmen richten sich nach der Größe Ihrer Praxis. Zusätzliche Anforderungen an Ihre IT-Sicherheit erwarten Sie zudem bei der Nutzung von medizinischen Großgeräten. Also zum Beispiel für MRT oder CT.
Anforderungen an die IT-Sicherheit nach Praxisgröße (Auszug)
Praxen (Praxen mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen)
- Das interne Netz ist inklusive eines Netzplanes zu dokumentieren
- Nur Apps aus offiziellen Stores nutzen und keine vertraulichen Daten über Apps versenden
- Regelmäßige Datensicherung und aktuelle Virenschutzprogramme
- Komplexe Gerätesperrcodes und sichere Grundkonfiguration für mobile Geräte
Mittlere Praxen (Praxen mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen) Zusätzlich:
- TLS-Verschlüsselung bei Nutzung von Webseiten
- Nutzungs- und Sicherheitsrichtlinien für die Mobiltelefon-Nutzung Großpraxen (Praxen mit über 20 ständig mit der Datenverarbeitung betrauten Personen) oder Praxen mit Datenverarbeitung im erheblichen Umfang Zusätzlich:
- Sichere Anbindung der mobilen Endgeräte an die Institution
- Definition der erlaubten Informationen und Applikationen auf mobilen Geräten
- Vollständige Verschlüsselung von Wechseldatenträgern Für die Nutzung medizinischer Großgeräte
- Zugriff für Konfigurations-/Wartungsschnittstellen beschränken
- Trennung der medizinischen Großgeräte von der weiteren IT
KBV empfiehlt Umsetzung
Und natürlich muss es wieder mal schnell gehen. Denn erste Anforderungen müssen Sie bereits bis zum 1. April 2021 realisieren. Hierzu zählen zum Beispiel die Dokumentation Ihres internen Netzes anhand eines Netzplanes oder aktuelle Virenschutzprogramme auf allen Endgeräten. Die übrigen Maßnahmen dürfen Sie dann bis zum 1. Januar bzw. 1. Juli 2022 umzusetzen. Aufatmen dürfen Sie trotzdem nicht, denn:
Cybercrime ist auf dem Vormarsch
Es eilt…! Die jetzt von der KBV beschlossenen Regelungen werden in Zeiten steigender Cyber-Kriminalität dringend erforderlich. Das BSI meldet zunehmende digitale Angriffe auf medizinische Versorgungseinrichtungen. Insbesondere die Corona-Krise und die damit verbundene Verlagerung von Gesundheitsdienstleistungen in den digitalen Bereich werden von Cyberkriminellen für gezielte Angriffe genutzt.
Bewußtsein für dieses Risiko muß wachsen
Dennoch ist das Cyberrisiko im Bewusstsein vieler Ärzte nicht präsent, und die Corona-Pandemie – sowie die damit einhergehenden aufwendigen Hygienemaßnahmen und verunsicherte Patienten – machen es nicht leichter.
Der Schutz der IT-Infrastruktur steht oft hinten an, doch die fortschreitende Digitalisierung im Gesundheitswesen erlaubt dafür keinen Aufschub mehr!
Quelle: In Auszügen Alte-Leipziger Versicherung