In Zeiten von Cyberkriminalität und Datenschutzverstößen gewinnt die IT-Sicherheit in Arztpraxen zunehmend an Bedeutung. Die neue IT-Sicherheitsrichtlinie nach § 75b SGB V stellt sicher, dass sensible Patientendaten vor unbefugten Zugriffen geschützt sind. Diese Richtlinie wurde von der Kassenärztlichen Bundesvereinigung (KBV) unter Mitwirkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelt.
Die IT-Sicherheitsrichtlinie übersetzt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) in klare und praxisbezogene Anforderungen für den Datenschutz in Arztpraxen. Durch die Umsetzung dieser Maßnahmen können Praxen die Sicherheit vertraulicher Patientendaten gewährleisten und rechtlichen Bestimmungen entsprechen.
Wichtigste Erkenntnisse
- Die IT-Sicherheitsrichtlinie legt verbindliche Standards für die IT-Sicherheit in Arztpraxen fest.
- Sie wurde von der KBV im Einvernehmen mit dem BSI erarbeitet.
- Die Richtlinie übersetzt die DSGVO-Vorgaben in konkrete Maßnahmen für den medizinischen Bereich.
- Durch die Umsetzung können Praxen den Datenschutz gewährleisten und Rechtsvorschriften einhalten.
- Die KBV stellt Umsetzungshilfen wie Erklärvideos und Musterdokumente bereit.
Was ist die IT-Sicherheitsrichtlinie nach § 75b SGB V?
Die Datenschutz-Grundverordnung (DS-GVO) regelt zwar den Umgang mit personenbezogenen Daten europaweit, doch fehlten bislang spezifische Vorgaben für Arztpraxen. Um diese Lücke zu schließen, wurde die IT-Sicherheitsrichtlinie nach § 75b SGB V entwickelt.
Übersetzung der DS-GVO für Arztpraxen
Ihr Ziel ist es, die Bestimmungen der DS-GVO in klare und für Praxen praktisch umsetzbare Praxisanforderungen zur IT-Sicherheit zu übersetzen. Damit sollen Ärzte die Umsetzung der Datenschutzvorgaben erleichtert und Rechtssicherheit geschaffen werden.
Zweck: Klare und praktikable Anforderungen für IT-Sicherheit
Die IT-Sicherheitsrichtlinie definiert verbindliche Standards und konkrete Maßnahmen, mit denen Arztpraxen die Sicherheit sensibler Patientendaten gewährleisten können. Sie übersetzt die allgemeinen Vorgaben der DS-GVO in praxistaugliche Praxisanforderungen für den medizinischen Bereich.
Erarbeitet von der KBV im Einvernehmen mit dem BSI
Die Kassenärztliche Bundesvereinigung (KBV) erarbeitete die Richtlinie im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Cybersicherheitsbehörde in Deutschland. Somit vereint sie Expertise aus beiden Bereichen – Gesundheitswesen und IT-Sicherheit.
Welche Praxisgrößen und Anlagen sind davon betroffen?
Die IT-Sicherheitsrichtlinie enthält fünf Anlagen mit unterschiedlichen Anforderungen, die je nach Praxisgröße und Ausstattung gelten. Die Basis bildet Anlage 1, deren Vorgaben für alle Praxistypen verpflichtend sind.
Anlage 1: Anforderungen für alle Praxistypen
Anlage 2: Zusätzliche Anforderungen für mittlere Praxen
Mittlere Praxen mit mehr als 20 Mitarbeitern im Datenverarbeitungsbereich müssen zusätzlich die Anforderungen aus Anlage 2 erfüllen.
Anlage 3: Zusätzliche Anforderungen für Großpraxen
Für Großpraxen gelten neben Anlage 1 ebenfalls die erweiterten Vorgaben aus Anlage 3.
Anlage 4: Zusätzliche Anforderungen für medizinische Großgeräte
Praxen, die über medizinische Großgeräte verfügen, müssen die spezifischen Anforderungen aus Anlage 4 beachten.
Anlage 5: Anforderungen für dezentrale Komponenten der Telematikinfrastruktur
Anlage 5 regelt die IT-Sicherheit für dezentrale Komponenten der Telematikinfrastruktur.
Die genauen Definitionen der unterschiedlichen Praxisgrößen sowie die detaillierten Anforderungen der jeweiligen Anlagen sind in der Richtlinie festgelegt.
Sichere Nutzung von Apps
Die IT-Sicherheitsrichtlinie enthält präzise Vorgaben für den sicheren Umgang mit mobilen Apps in Arztpraxen. Um ein hohes Maß an App-Sicherheit zu gewährleisten, müssen einige wichtige Aspekte beachtet werden.
Nur Apps aus offiziellen Stores installieren
Es ist ausschließlich die Installation von Apps aus vertrauenswürdigen App-Stores wie Google Play oder dem Apple App Store erlaubt. Apps aus inoffiziellen Quellen bergen erhöhte Sicherheitsrisiken und sind daher zu vermeiden.
Automatische Updates aktivieren
Um stets die neueste und sicherste Version einer App zu nutzen, muss die automatische Update-Funktion aktiviert sein. So werden Sicherheitslücken schnell geschlossen und der Datenschutz auf aktuellem Stand gehalten.
Datenabfluss an Drittanbieter vermeiden
Zur Wahrung der Vertraulichkeit sensiblen Praxisdaten dürfen ausschließlich Apps verwendet werden, die keine Daten an Drittanbieter wie Werbefirmen oder Analysedienste übermitteln.
Lokale App-Daten verschlüsseln
Sollten lokal auf dem Smartphone oder Tablet Daten gespeichert werden, müssen diese zwingend verschlüsselt abgelegt werden, um unbefugten Zugriff zu verhindern.
| Sicherheitsaspekt | Anforderung |
|---|---|
| App-Quellen | Nur offizielle App-Stores |
| Updates | Automatische Updates aktivieren |
| Datenweitergabe | Keine Datenübermittlung an Dritte |
| Lokale Daten | Verschlüsselung auf dem Endgerät |
IT-Sicherheitsrichtlinie nach § 75b SGB V
Die IT-Sicherheitsrichtlinie legt besonderen Wert auf die Kontrolle und Minimierung von App-Berechtigungen. Dabei müssen die Berechtigungen für mobile Anwendungen auf das absolut notwendige Minimum reduziert und deren Verwendung sorgfältig überwacht werden. Dies dient dem Schutz sensibler Patientendaten vor unberechtigten Zugriffen.
Minimierung und Kontrolle von App-Berechtigungen
Ferner ist die Nutzung von Cloud-Speicherdiensten wie iCloud oder Google Drive in Arztpraxen nicht mehr gestattet. Die Richtlinie verbietet die Speicherung vertraulicher Daten in der Cloud, um Sicherheitsrisiken durch Drittanbieter zu vermeiden. Stattdessen müssen lokale Speicherlösungen genutzt werden, die den strengen Anforderungen an die Datensicherheit entsprechen.
Verzicht auf Cloud-Speicherung
Im Hinblick auf Webanwendungen schreibt die IT-Sicherheitsrichtlinie eine sichere Authentifizierung vor. Der Zugriff muss mindestens durch Benutzernamen und Passwort geschützt sein. Zusätzlich ist eine automatische Abmeldung nach einer bestimmten Inaktivitätszeit erforderlich, um unbefugte Zugriffe zu unterbinden.
Sichere Authentifizierung bei Webanwendungen
Für mittlere und große Praxen gelten darüber hinaus zusätzliche Sicherheitsanforderungen im Hinblick auf Berechtigungen, Cloud-Nutzung und Authentifizierung von Webanwendungen. Die genauen Vorgaben sind in den entsprechenden Anlagen der Richtlinie festgelegt.
Schutz vertraulicher Daten
Die IT-Sicherheitsrichtlinie legt einen besonderen Fokus auf den Schutz vertraulicher Daten in Arztpraxen. Um die Sicherheit dieser sensiblen Informationen zu gewährleisten, werden mehrere konkrete Maßnahmen vorgeschrieben.
Keine Speicherung im Browser
Eine der Kernanforderungen ist, dass keine vertraulichen Daten im Browser gespeichert werden dürfen. Dies verhindert, dass Unbefugte bei unbeaufsichtigten Rechnern auf diese Informationen zugreifen können.
Regelmäßiges Löschen von Browserdaten
Ergänzend müssen Browserdaten wie der Verlauf und Cookies regelmäßig gelöscht werden. Nur so lassen sich eventuell zwischengespeicherte vertrauliche Daten dauerhaft von den Praxis-PCs entfernen.
Ausschließlich HTTPS-Verbindungen verwenden
Bei der Übertragung vertraulicher Daten über das Internet, beispielsweise zu Webanwendungen, ist eine Verschlüsselung zwingend erforderlich. Aus diesem Grund müssen alle Internetverbindungen der Praxis über HTTPS, das sichere Hypertext-Transferprotokoll, erfolgen. Die Integrität der verwendeten Zertifikate sollte dabei stets überprüft werden, um Browsersicherheit zu gewährleisten.
Firewall und Zugriffskontrolle
Eine der zentralen Sicherheitsmaßnahmen der IT-Sicherheitsrichtlinie betrifft den Schutz von Webanwendungen in Arztpraxen. Praxen, die solche Anwendungen selbst hosten, müssen laut der Richtlinie zusätzliche Sicherheitsvorkehrungen treffen, um unbefugte Zugriffe und Missbrauch zu verhindern.
Firewalls für Webanwendungen einsetzen
Um Webanwendungen effektiv vor Angriffen aus dem Internet abzuschirmen, sieht die Richtlinie den Einsatz spezieller Web Application Firewalls (WAF) vor. Diese Firewalls überwachen den gesamten Datenverkehr zu und von den Webanwendungen und blockieren verdächtige Aktivitäten.
Schutz vor automatisierten Zugriffen
Neben den Firewalls müssen Zugriffskontrolle-Mechanismen implementiert werden, die speziell auf den Schutz vor automatisierten Angriffen wie Brute-Force-Attacken ausgelegt sind. Dazu zählen beispielsweise Captchas, bei denen der Nutzer nachweisen muss, dass es sich um einen menschlichen Zugriff handelt.
Rechtekonzepte für Webanwendungen implementieren
Des Weiteren ist ein durchdachtes Rechtemanagement in den Webanwendungen zwingend erforderlich. Nur berechtigte Nutzer sollen auf sensible Funktionen und Daten zugreifen können. Die Zugriffskontrolle soll durch ein Rollen- und Berechtigungskonzept auf Basis des Need-to-Know-Prinzips umgesetzt werden.
| Sicherheitsmaßnahme | Beschreibung | Zweck |
|---|---|---|
| Web Application Firewall | Spezielle Firewall zum Schutz von Webanwendungen | Erkennung und Abwehr von Angriffen |
| Captchas | Sicherheitsabfragen zur Unterscheidung von Menschen und Bots | Schutz vor automatisierten Zugriffen |
| Rollenbasiertes Rechtemanagement | Fein abgestuftes Berechtigungskonzept in Webanwendungen | Zugriffskontrolle nach Need-to-Know-Prinzip |
Weitere Sicherheitsmaßnahmen
Die IT-Sicherheitsrichtlinie berücksichtigt nicht nur die Software-Sicherheit, sondern regelt auch die physische Sicherheit von Endgeräten in Arztpraxen. So müssen bestimmte Maßnahmen ergriffen werden, um unerwünschte Zugriffe auf Mikrofone, Kameras und Bildschirminhalte zu verhindern.
Verhinderung unerwünschter Mikrofon- und Kamerazugriffe
Ist eine Nutzung von Mikrofon oder Kamera nicht erforderlich, müssen diese Komponenten deaktiviert oder abgedeckt werden. Dies dient dem Schutz vor unbefugten Aufnahmen und möglichen Datenschutzverstößen durch unerwünschte Zugriffe.
Bildschirmsperre bei Inaktivität
Um sicherzustellen, dass vertrauliche Daten nicht in falsche Hände geraten, müssen alle Endgeräte wie PCs, Laptops und Tablets über eine Bildschirmsperre verfügen. Diese sperrt den Zugriff nach einer bestimmten Inaktivitätszeit automatisch, sodass sich Unbefugte nicht an den laufenden Systemen bedienen können.
Durch diese zusätzlichen Sicherheitsmaßnahmen soll ein umfassender Schutz vertraulicher Daten und Informationen in Arztpraxen gewährleistet werden. Die konsequente Umsetzung der Richtlinie ist dabei elementar wichtig.
Umsetzungshilfen und Ressourcen
Um Arztpraxen bei der Umsetzung der neuen Anforderungen der IT-Sicherheitsrichtlinie zu unterstützen, stellen die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztlichen Vereinigungen wie die KVWL umfangreiche Umsetzungshilfen und Handreichungen bereit.
Hinweise und Beispiele der KBV und KVWL
Die KBV und KVWL bieten praxisnahe Hinweise und anschauliche Beispiele, die den Praxen die Interpretation und Umsetzung der Richtlinie erleichtern. Diese Handreichungen veranschaulichen die konkreten Anforderungen und zeigen Wege zur praktischen Realisierung auf.
Musterdokumente und Erklärvideos
Darüber hinaus stehen den Praxen Musterdokumente als Vorlagen sowie Erklärvideos zu verschiedenen Themen der IT-Sicherheit zur Verfügung. Diese audiovisuellen Hilfsmittel erläutern die Anforderungen verständlich und praxisnah.
Anlaufstellen für Fragen und Unterstützung
Bei Fragen oder Unterstützungsbedarf können sich Ärzte jederzeit an die Anlaufstellen der KBV, KVWL und weiteren Stellen wenden. Dort erhalten sie kompetente Beratung und Hilfe bei der fachgerechten Umsetzung der IT-Sicherheitsrichtlinie.
Fazit
Mit der IT-Sicherheitsrichtlinie nach §75b SGB V hat die Kassenärztliche Bundesvereinigung (KBV) einen wichtigen Schritt zur Stärkung des Patientendatenschutzes in Arztpraxen unternommen. Durch die darin festgelegten einheitlichen und verbindlichen Standards für IT-Sicherheit können Praxen nun die Sicherheit sensibler Patientendaten gewährleisten und gleichzeitig rechtlichen Vorgaben entsprechen.
Trotz des Verwaltungsaufwands, den die Umsetzung der neuen Anforderungen mit sich bringt, ist dies ein bedeutender Schritt, um das Vertrauen der Patienten in den Datenschutz zu stärken. Rechtssicherheit und ein verantwortungsvoller Umgang mit sensiblen Daten sind für Arztpraxen von größter Bedeutung, um die Privatsphäre ihrer Patienten zu schützen.
Erfreulicherweise stellen die KBV und die Kassenzahnärztlichen Vereinigungen (KVen) umfangreiche Hilfsmittel wie Handreichungen, Musterdokumente und Erklärvideos bereit, die Arztpraxen bei der IT-Sicherheit unterstützen. Diese Ressourcen erleichtern die praktische Umsetzung der Richtlinie und bieten Anlaufstellen für Fragen und Unterstützung.
Deutsch 
English 
Español 
Français 
Polski