Anforderungen an die Praxis – IT – Sicherheitsrichtlinie in Kraft
21.01.2021 – Für Arzt- und Psychotherapeutenpraxen gelten neue verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie tritt am Samstag offiziell in Kraft.
„Es ist uns mit dieser Fassung der IT-Sicherheitsrichtlinie gelungen, praktikable und realistische Vorgaben für Praxen zu erarbeiten, die aufwandsarm umzusetzen sind“, erklärte Dr. Thomas Kriedel, Mitglied des Vorstands der KBV. „Vieles davon wird im Praxisalltag bereits angewendet, da es durch die europäische Datenschutzgrundverordnung vorgegeben ist. Die Richtlinie konkretisiert die Verordnung und macht sie praxistauglich“, betonte Kriedel.
Einheitlicher Rahmen und klare Vorgaben
Die IT-Sicherheitsrichtlinie legt Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen fest. Sie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen.
Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. So könnten Patientendaten noch sicherer verwaltet und Risiken wie Datenverlust oder Betriebsausfall minimiert werden.
Anforderungen richten sich nach der Praxisgröße
Die Anforderungen richten sich nach der Größe der Praxis. Zusätzliche Anforderungen an die IT-Sicherheit gibt es zudem bei der Nutzung von medizinischen Großgeräten wie CT oder MRT und für dezentrale Komponenten der Telematikinfrastruktur, etwa bei der Installation des Konnektors.
Praxisgrößen und Anforderungskategorien
Die Anforderungen unterscheiden sich nach Art der Praxis.
Dabei gilt:
Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
Mittlere Praxis: Eine mittlere Praxis ist eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betraute Personen.
Großpraxis: oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.