IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigungen
Als im Jahr 2015 das IT-Sicherheitsgesetz in Kraft trat und kurz darauf die europäische Datenschutz-Grundverordnung (DS-GVO) folgte, wurden diese Regelungen ebenso wie das 2020 in Kraft getretene Patientendaten-Schutz-Gesetz sehr prominent in den Medien diskutiert. Allerdings ist, von der Fachöffentlichkeit nahezu unbemerkt, über das Digitale-Versorgung-Gesetz (DVG) bereits 2019 eine entscheidende Anpassung des SGB V vorgenommen worden: In § 75b SGB V wurden die Kassenärztlichen Bundesvereinigungen verpflichtet, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bis zum 30. Juni 2020 eine Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit ihrer Vertragspartner festzulegen, die schließlich am 22. Januar 2021 im Ärzteblatt veröffentlicht wurde.
Die Regelungen dieser Richtlinie sind abgestuft nach Gefährdungspotential und Schutzbedarf: Zunächst wird anhand der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten (klein: bis zu fünf Personen, mittel: zwischen sechs und 20 Personen, darüber hinaus groß), nach Größe der jeweiligen Praxis unterschieden. Die Anforderungen werden strenger, je größer die Praxis ist. Daneben wurden gesonderte Anforderungen definiert für die Nutzung medizinischer Großgeräte sowie für die Nutzung von Telematik-Infrastruktur. Eine weitere Abstufung besteht darin, dass nicht alle Anforderungen zur gleichen Zeit erfüllt werden müssen. Insbesondere die Anforderungen an Großpraxen sind erst zum 1. Januar 2022 zu erfüllen, während viele der Grundanforderungen bereits zum 1. April 2021 umzusetzen waren.
Es gibt eine wesentliche Ausnahmeregelung, die insbesondere für Medizinische Versorgungszentren (MVZ) von Großkliniken relevant sein kann: Für Häuser, die bereits angemessene Vorkehrungen getroffen haben, ist die Richtlinie nicht anzuwenden. Hierunter fallen organisatorische und technische Vorkehrungen nach § 8a Abs. 1 BSIG bzw. branchenspezifischen Standards wie zum Beispiel dem B3S-Standard, den bereits viele Kritis-Häuser anwenden. Befindet sich ein MVZ im Geltungsbereich der Kritis-Zertifizierung, entfallen also die dargestellten Anforderungen.
Die Richtlinie enthält sehr praxisnahe Anforderungen. Ein Beispiel zeigt, wie die verschiedenen Stufen umgesetzt worden sind: Im Bereich der mobilen Endgeräte (z. B. Tablets) gilt für Kleinpraxen, dass SIM-Karten mit einer PIN zu schützen sind, eine sichere Grundkonfiguration zu gewährleisten ist sowie ein Entsperrcode zu hinterlegen ist. Mittelgroße Einheiten sollen zudem eine verbindliche Nutzungsrichtlinie erlassen, während bei Großpraxen ein umfassendes Mobile-Device-Management erwartet wird. Die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) sollen nicht nur qua Gesetz die Praxen bei der Umsetzung unterstützen, sondern tun dies bereits aktiv. Die KBV hat zum Beispiel ein Internetportal geschaltet, in dem alle Richtlinien und eine Q&A-Liste hinterlegt sind.
Im Gegensatz zu den Regelungen des IT-Sicherheitsgesetzes sieht weder § 75b SGB V noch die Richtlinie eine Prüfungs- bzw. Nachweispflicht der Praxis vor. Trotzdem handelt es sich nicht um einen „zahnlosen Tiger“ – bei einem Datenschutzverstoß kann es zu Strafzahlungen bzw. einem Versagen der Versicherungsleistung kommen, wenn sich die Verantwortlichen ein Organisationsverschulden zuschreiben lassen müssen.
Praxis-Hinweis
Wir unterstützen Sie bei der Umsetzung der Richtlinie nach § 75b SGB V, indem wir für Sie eine GAP-Analyse durchführen und Ihnen Maßnahmen aufzeigen, die es noch umzusetzen gilt. Als Vorbereitung hierzu haben wir eine Checkliste zur Selbsteinschätzung (Download Excel-Datei) entwickelt, die wir Ihnen gerne kostenlos zur Verfügung stellen. Gerne erstellen wir Ihnen auch einen Status- bzw. Jahresbericht über den Grad der Umsetzung – nach gesetzlicher Vorschrift ist eine jährliche Anpassung der Anforderungen zumindest zu prüfen.
