In Zeiten von Cyberkriminalität und Datenschutzverstößen gewinnt die IT-Sicherheit in Arztpraxen zunehmend an Bedeutung. Die neue IT-Sicherheitsrichtlinie nach § 75b SGB V stellt sicher, dass sensible Patientendaten vor unbefugten Zugriffen geschützt sind. Diese Richtlinie wurde von der Kassenärztlichen Bundesvereinigung (KBV) unter Mitwirkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelt.

Die IT-Sicherheitsrichtlinie übersetzt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) in klare und praxisbezogene Anforderungen für den Datenschutz in Arztpraxen. Durch die Umsetzung dieser Maßnahmen können Praxen die Sicherheit vertraulicher Patientendaten gewährleisten und rechtlichen Bestimmungen entsprechen.

Wichtigste Erkenntnisse

  • Die IT-Sicherheitsrichtlinie legt verbindliche Standards für die IT-Sicherheit in Arztpraxen fest.
  • Sie wurde von der KBV im Einvernehmen mit dem BSI erarbeitet.
  • Die Richtlinie übersetzt die DSGVO-Vorgaben in konkrete Maßnahmen für den medizinischen Bereich.
  • Durch die Umsetzung können Praxen den Datenschutz gewährleisten und Rechtsvorschriften einhalten.
  • Die KBV stellt Umsetzungshilfen wie Erklärvideos und Musterdokumente bereit.

Was ist die IT-Sicherheitsrichtlinie nach § 75b SGB V?

Die Datenschutz-Grundverordnung (DS-GVO) regelt zwar den Umgang mit personenbezogenen Daten europaweit, doch fehlten bislang spezifische Vorgaben für Arztpraxen. Um diese Lücke zu schließen, wurde die IT-Sicherheitsrichtlinie nach § 75b SGB V entwickelt.

Übersetzung der DS-GVO für Arztpraxen

Ihr Ziel ist es, die Bestimmungen der DS-GVO in klare und für Praxen praktisch umsetzbare Praxisanforderungen zur IT-Sicherheit zu übersetzen. Damit sollen Ärzte die Umsetzung der Datenschutzvorgaben erleichtert und Rechtssicherheit geschaffen werden.

Zweck: Klare und praktikable Anforderungen für IT-Sicherheit

Die IT-Sicherheitsrichtlinie definiert verbindliche Standards und konkrete Maßnahmen, mit denen Arztpraxen die Sicherheit sensibler Patientendaten gewährleisten können. Sie übersetzt die allgemeinen Vorgaben der DS-GVO in praxistaugliche Praxisanforderungen für den medizinischen Bereich.

Erarbeitet von der KBV im Einvernehmen mit dem BSI

Die Kassenärztliche Bundesvereinigung (KBV) erarbeitete die Richtlinie im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Cybersicherheitsbehörde in Deutschland. Somit vereint sie Expertise aus beiden Bereichen – Gesundheitswesen und IT-Sicherheit.

Welche Praxisgrößen und Anlagen sind davon betroffen?

Die IT-Sicherheitsrichtlinie enthält fünf Anlagen mit unterschiedlichen Anforderungen, die je nach Praxisgröße und Ausstattung gelten. Die Basis bildet Anlage 1, deren Vorgaben für alle Praxistypen verpflichtend sind.

Anlage 1: Anforderungen für alle Praxistypen

Anlage 2: Zusätzliche Anforderungen für mittlere Praxen

Mittlere Praxen mit mehr als 20 Mitarbeitern im Datenverarbeitungsbereich müssen zusätzlich die Anforderungen aus Anlage 2 erfüllen.

Anlage 3: Zusätzliche Anforderungen für Großpraxen

Für Großpraxen gelten neben Anlage 1 ebenfalls die erweiterten Vorgaben aus Anlage 3.

Anlage 4: Zusätzliche Anforderungen für medizinische Großgeräte

Praxen, die über medizinische Großgeräte verfügen, müssen die spezifischen Anforderungen aus Anlage 4 beachten.

Anlage 5: Anforderungen für dezentrale Komponenten der Telematikinfrastruktur

Anlage 5 regelt die IT-Sicherheit für dezentrale Komponenten der Telematikinfrastruktur.

Die genauen Definitionen der unterschiedlichen Praxisgrößen sowie die detaillierten Anforderungen der jeweiligen Anlagen sind in der Richtlinie festgelegt.

Sichere Nutzung von Apps

Die IT-Sicherheitsrichtlinie enthält präzise Vorgaben für den sicheren Umgang mit mobilen Apps in Arztpraxen. Um ein hohes Maß an App-Sicherheit zu gewährleisten, müssen einige wichtige Aspekte beachtet werden.

Nur Apps aus offiziellen Stores installieren

Es ist ausschließlich die Installation von Apps aus vertrauenswürdigen App-Stores wie Google Play oder dem Apple App Store erlaubt. Apps aus inoffiziellen Quellen bergen erhöhte Sicherheitsrisiken und sind daher zu vermeiden.

Automatische Updates aktivieren

Um stets die neueste und sicherste Version einer App zu nutzen, muss die automatische Update-Funktion aktiviert sein. So werden Sicherheitslücken schnell geschlossen und der Datenschutz auf aktuellem Stand gehalten.

Datenabfluss an Drittanbieter vermeiden

Zur Wahrung der Vertraulichkeit sensiblen Praxisdaten dürfen ausschließlich Apps verwendet werden, die keine Daten an Drittanbieter wie Werbefirmen oder Analysedienste übermitteln.

Lokale App-Daten verschlüsseln

Sollten lokal auf dem Smartphone oder Tablet Daten gespeichert werden, müssen diese zwingend verschlüsselt abgelegt werden, um unbefugten Zugriff zu verhindern.

SicherheitsaspektAnforderung
App-QuellenNur offizielle App-Stores
UpdatesAutomatische Updates aktivieren
DatenweitergabeKeine Datenübermittlung an Dritte
Lokale DatenVerschlüsselung auf dem Endgerät

IT-Sicherheitsrichtlinie nach § 75b SGB V

Die IT-Sicherheitsrichtlinie legt besonderen Wert auf die Kontrolle und Minimierung von App-Berechtigungen. Dabei müssen die Berechtigungen für mobile Anwendungen auf das absolut notwendige Minimum reduziert und deren Verwendung sorgfältig überwacht werden. Dies dient dem Schutz sensibler Patientendaten vor unberechtigten Zugriffen.

Minimierung und Kontrolle von App-Berechtigungen

Ferner ist die Nutzung von Cloud-Speicherdiensten wie iCloud oder Google Drive in Arztpraxen nicht mehr gestattet. Die Richtlinie verbietet die Speicherung vertraulicher Daten in der Cloud, um Sicherheitsrisiken durch Drittanbieter zu vermeiden. Stattdessen müssen lokale Speicherlösungen genutzt werden, die den strengen Anforderungen an die Datensicherheit entsprechen.

Verzicht auf Cloud-Speicherung

Im Hinblick auf Webanwendungen schreibt die IT-Sicherheitsrichtlinie eine sichere Authentifizierung vor. Der Zugriff muss mindestens durch Benutzernamen und Passwort geschützt sein. Zusätzlich ist eine automatische Abmeldung nach einer bestimmten Inaktivitätszeit erforderlich, um unbefugte Zugriffe zu unterbinden.

Sichere Authentifizierung bei Webanwendungen

Für mittlere und große Praxen gelten darüber hinaus zusätzliche Sicherheitsanforderungen im Hinblick auf Berechtigungen, Cloud-Nutzung und Authentifizierung von Webanwendungen. Die genauen Vorgaben sind in den entsprechenden Anlagen der Richtlinie festgelegt.

Schutz vertraulicher Daten

Die IT-Sicherheitsrichtlinie legt einen besonderen Fokus auf den Schutz vertraulicher Daten in Arztpraxen. Um die Sicherheit dieser sensiblen Informationen zu gewährleisten, werden mehrere konkrete Maßnahmen vorgeschrieben.

Keine Speicherung im Browser

Eine der Kernanforderungen ist, dass keine vertraulichen Daten im Browser gespeichert werden dürfen. Dies verhindert, dass Unbefugte bei unbeaufsichtigten Rechnern auf diese Informationen zugreifen können.

Regelmäßiges Löschen von Browserdaten

Ergänzend müssen Browserdaten wie der Verlauf und Cookies regelmäßig gelöscht werden. Nur so lassen sich eventuell zwischengespeicherte vertrauliche Daten dauerhaft von den Praxis-PCs entfernen.

Ausschließlich HTTPS-Verbindungen verwenden

Bei der Übertragung vertraulicher Daten über das Internet, beispielsweise zu Webanwendungen, ist eine Verschlüsselung zwingend erforderlich. Aus diesem Grund müssen alle Internetverbindungen der Praxis über HTTPS, das sichere Hypertext-Transferprotokoll, erfolgen. Die Integrität der verwendeten Zertifikate sollte dabei stets überprüft werden, um Browsersicherheit zu gewährleisten.

Firewall und Zugriffskontrolle

Eine der zentralen Sicherheitsmaßnahmen der IT-Sicherheitsrichtlinie betrifft den Schutz von Webanwendungen in Arztpraxen. Praxen, die solche Anwendungen selbst hosten, müssen laut der Richtlinie zusätzliche Sicherheitsvorkehrungen treffen, um unbefugte Zugriffe und Missbrauch zu verhindern.

Firewalls für Webanwendungen einsetzen

Um Webanwendungen effektiv vor Angriffen aus dem Internet abzuschirmen, sieht die Richtlinie den Einsatz spezieller Web Application Firewalls (WAF) vor. Diese Firewalls überwachen den gesamten Datenverkehr zu und von den Webanwendungen und blockieren verdächtige Aktivitäten.

Schutz vor automatisierten Zugriffen

Neben den Firewalls müssen Zugriffskontrolle-Mechanismen implementiert werden, die speziell auf den Schutz vor automatisierten Angriffen wie Brute-Force-Attacken ausgelegt sind. Dazu zählen beispielsweise Captchas, bei denen der Nutzer nachweisen muss, dass es sich um einen menschlichen Zugriff handelt.

Rechtekonzepte für Webanwendungen implementieren

Des Weiteren ist ein durchdachtes Rechtemanagement in den Webanwendungen zwingend erforderlich. Nur berechtigte Nutzer sollen auf sensible Funktionen und Daten zugreifen können. Die Zugriffskontrolle soll durch ein Rollen- und Berechtigungskonzept auf Basis des Need-to-Know-Prinzips umgesetzt werden.

SicherheitsmaßnahmeBeschreibungZweck
Web Application FirewallSpezielle Firewall zum Schutz von WebanwendungenErkennung und Abwehr von Angriffen
CaptchasSicherheitsabfragen zur Unterscheidung von Menschen und BotsSchutz vor automatisierten Zugriffen
Rollenbasiertes RechtemanagementFein abgestuftes Berechtigungskonzept in WebanwendungenZugriffskontrolle nach Need-to-Know-Prinzip

Weitere Sicherheitsmaßnahmen

Die IT-Sicherheitsrichtlinie berücksichtigt nicht nur die Software-Sicherheit, sondern regelt auch die physische Sicherheit von Endgeräten in Arztpraxen. So müssen bestimmte Maßnahmen ergriffen werden, um unerwünschte Zugriffe auf Mikrofone, Kameras und Bildschirminhalte zu verhindern.

Verhinderung unerwünschter Mikrofon- und Kamerazugriffe

Ist eine Nutzung von Mikrofon oder Kamera nicht erforderlich, müssen diese Komponenten deaktiviert oder abgedeckt werden. Dies dient dem Schutz vor unbefugten Aufnahmen und möglichen Datenschutzverstößen durch unerwünschte Zugriffe.

Bildschirmsperre bei Inaktivität

Um sicherzustellen, dass vertrauliche Daten nicht in falsche Hände geraten, müssen alle Endgeräte wie PCs, Laptops und Tablets über eine Bildschirmsperre verfügen. Diese sperrt den Zugriff nach einer bestimmten Inaktivitätszeit automatisch, sodass sich Unbefugte nicht an den laufenden Systemen bedienen können.

Durch diese zusätzlichen Sicherheitsmaßnahmen soll ein umfassender Schutz vertraulicher Daten und Informationen in Arztpraxen gewährleistet werden. Die konsequente Umsetzung der Richtlinie ist dabei elementar wichtig.

Umsetzungshilfen und Ressourcen

Um Arztpraxen bei der Umsetzung der neuen Anforderungen der IT-Sicherheitsrichtlinie zu unterstützen, stellen die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztlichen Vereinigungen wie die KVWL umfangreiche Umsetzungshilfen und Handreichungen bereit.

Hinweise und Beispiele der KBV und KVWL

Die KBV und KVWL bieten praxisnahe Hinweise und anschauliche Beispiele, die den Praxen die Interpretation und Umsetzung der Richtlinie erleichtern. Diese Handreichungen veranschaulichen die konkreten Anforderungen und zeigen Wege zur praktischen Realisierung auf.

Musterdokumente und Erklärvideos

Darüber hinaus stehen den Praxen Musterdokumente als Vorlagen sowie Erklärvideos zu verschiedenen Themen der IT-Sicherheit zur Verfügung. Diese audiovisuellen Hilfsmittel erläutern die Anforderungen verständlich und praxisnah.

Anlaufstellen für Fragen und Unterstützung

Bei Fragen oder Unterstützungsbedarf können sich Ärzte jederzeit an die Anlaufstellen der KBV, KVWL und weiteren Stellen wenden. Dort erhalten sie kompetente Beratung und Hilfe bei der fachgerechten Umsetzung der IT-Sicherheitsrichtlinie.

Fazit

Mit der IT-Sicherheitsrichtlinie nach §75b SGB V hat die Kassenärztliche Bundesvereinigung (KBV) einen wichtigen Schritt zur Stärkung des Patientendatenschutzes in Arztpraxen unternommen. Durch die darin festgelegten einheitlichen und verbindlichen Standards für IT-Sicherheit können Praxen nun die Sicherheit sensibler Patientendaten gewährleisten und gleichzeitig rechtlichen Vorgaben entsprechen.

Trotz des Verwaltungsaufwands, den die Umsetzung der neuen Anforderungen mit sich bringt, ist dies ein bedeutender Schritt, um das Vertrauen der Patienten in den Datenschutz zu stärken. Rechtssicherheit und ein verantwortungsvoller Umgang mit sensiblen Daten sind für Arztpraxen von größter Bedeutung, um die Privatsphäre ihrer Patienten zu schützen.

Erfreulicherweise stellen die KBV und die Kassenzahnärztlichen Vereinigungen (KVen) umfangreiche Hilfsmittel wie Handreichungen, Musterdokumente und Erklärvideos bereit, die Arztpraxen bei der IT-Sicherheit unterstützen. Diese Ressourcen erleichtern die praktische Umsetzung der Richtlinie und bieten Anlaufstellen für Fragen und Unterstützung.

FAQ

Was ist die IT-Sicherheitsrichtlinie nach § 75b SGB V?

Die IT-Sicherheitsrichtlinie nach § 75b SGB V übersetzt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) in klare und praktisch umsetzbare Maßnahmen für die IT-Sicherheit in Arztpraxen. Sie wurde von der Kassenärztlichen Bundesvereinigung (KBV) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet.

Welche Praxisgrößen und Anlagen sind davon betroffen?

Die IT-Sicherheitsrichtlinie enthält fünf Anlagen mit unterschiedlichen Anforderungen je nach Praxisgröße und Ausstattung. Anlage 1 gilt für alle Praxistypen. Anlage 2 und 3 enthalten zusätzliche Vorgaben für mittlere bzw. große Praxen. Anlage 4 regelt Anforderungen für medizinische Großgeräte, und Anlage 5 die IT-Sicherheit für dezentrale Komponenten der Telematikinfrastruktur.

Welche Vorgaben gibt es für die Nutzung von Apps?

Es dürfen nur Apps aus offiziellen App-Stores installiert werden. Die automatische Update-Funktion muss aktiviert sein. Zur Vermeidung von Datenabflüssen sollten nur vertrauenswürdige Apps ohne Datenweitergabe an Dritte genutzt werden. Lokal auf dem Smartphone gespeicherte Daten müssen verschlüsselt werden.

Wie regelt die Richtlinie den Umgang mit Webanwendungen?

App-Berechtigungen müssen auf ein Minimum reduziert und kontrolliert werden. Die Nutzung von Cloud-Speicherdiensten ist zu unterlassen. Für den Zugriff auf Webanwendungen ist eine sichere Authentifizierung sowie eine automatische Abmeldung nach Inaktivität vorgeschrieben. Für mittlere und große Praxen gelten zusätzliche Sicherheitsanforderungen.

Welche Maßnahmen schreibt die Richtlinie zum Schutz vertraulicher Daten vor?

Es dürfen keine Daten im Browser gespeichert werden, und der Browserverlauf sowie Cookies müssen regelmäßig gelöscht werden. Alle Internetverbindungen zu Webanwendungen müssen zudem mittels des sicheren HTTPS-Protokolls verschlüsselt erfolgen. Die Integrität des Zertifikats sollte überprüft werden.

Was sind die Vorgaben für den Betrieb eigener Webanwendungen?

Praxen, die eigene Webanwendungen hosten, müssen spezielle Web Application Firewalls (WAF) sowie Mechanismen zum Schutz vor automatisierten Angriffen einsetzen. Zudem ist ein Rechtekonzept zur Zugriffskontrolle in den Webanwendungen erforderlich.

Welche weiteren Sicherheitsmaßnahmen sind vorgeschrieben?

Mikrofone und Kameras müssen bei Nichtgebrauch deaktiviert oder abgedeckt werden. Zudem ist eine automatische Bildschirmsperre nach einer bestimmten Inaktivitätszeit vorgeschrieben, damit Unbefugte keinen Zugriff auf vertrauliche Daten erhalten.

Welche Hilfestellungen gibt es zur Umsetzung der Richtlinie?

Die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztlichen Vereinigungen stellen umfangreiche Hilfsmittel wie Hinweise, Beispiele, Musterdokumente und Erklärvideos bereit. Zudem können sich Ärzte bei Fragen an spezielle Anlaufstellen wenden.
DSB buchen
de_DEDeutsch
WordPress Appliance - Powered by TurnKey Linux