Erfüllen Sie mit uns die Anforderungen der IT-Sicherheitsrichtlinie der KBV bzw. KZBV.
Gesetzlicher Rahmen
Arztpraxen speichern hochsensible Gesundheits- und Patientendaten, die nach Artikel 9 der DSGVO zu der besonderen Kategorie von personenbezogenen Daten gehören. Um diese Daten bestmöglich zu schützen, hat die Bundesregierung mit dem Digitale-Versorgung-Gesetz (DVG) die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) beauftragt, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Die neuen Regelungen treten ab dem 2. Februar 2021 in Kraft, die Umsetzungstermine der verschiedenen Maßnahmen sind gestaffelt, beginnend mit dem 1. April 2021. Die Richtlinie wird zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich überprüft und aktualisiert. Somit ist die Einhaltung der IT-Sicherheitsrichtlinie kein einmaliges Ereignis, sondern vielmehr ein kontinuierlicher Prozess.
Kernaussage
Im Kern ist die IT-Sicherheitsrichtlinie die Umsetzung der Maßnahmen der Datenschutz-Grundverordnung (DSGVO). Die DSGVO schreibt in Artikel 32 allgemein vor, dass die IT dem Stand der Technik entsprechen und der Auftragsverarbeiter der Daten, also die Arztpraxis, geeignete technische und organisatorische Maßnahmen ergreifen muss, um ein angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten. Die IT-Sicherheitsrichtlinie der KBV und KZBV ist nun die konkrete Umsetzung des Artikels 32 der DSGVO und liefert Vorgaben für die elektronische Datenverarbeitung in Arztpraxen. Sie definiert somit den Stand der Technik in Arztpraxen und ist für alle vertrags-/zahnärztliche Praxen verbindlich.
Anforderungen
Grundsätzlich ist die Richtlinie für alle Arztpraxen verbindlich, die Anforderungen richten sich jedoch nach der Größe der Praxis. Maßgeblich ist die Anzahl der ständig mit der Datenverarbeitung betrauten Personen. Damit sind alle Voll- und Teilzeitbeschäftigte gemeint, die regelmäßig Daten verarbeiten, also alle Mitglieder eines Praxisteams sowie die Praxisinhaberin oder der Praxisinhaber, Personen, die mit der Lohnbuchhaltung beschäftigt sind aber auch Mitarbeiterinnen und Mitarbeiter eines hauseigenen Labors. In einer Praxis sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut, bei einer mittleren Praxis 6 bis 20 und bei einer Großpraxis über 20 Personen.
Die Anforderungen sind in drei Anlagen unterteilt. Anlage 1 ist für alle Arztpraxen verbindlich, Anlage 2 für mittlere Praxen und Großpraxen und Anlage 3 nur für Großpraxen. Die Einführung der einzelnen Anforderungen erfolgt seit dem 1. April 2021 gestaffelt. Neben technischen Anforderungen wie der Verwendung einer Firewall (ab 1.4.2021), Einsatz von Viren-Schutzprogrammen (ab 1.4.2021), Durchführung einer regelmäßigen Datensicherung (ab 1.1.2022) gibt es auch Anforderungen an die IT-Dokumentation wie beispielsweise Erstellung eines Netzwerkplans ab (1.4.2021) sowie organisatorische Maßnahmen wie das Abmelden oder Sperren des PCs nach Ende der Nutzung (ab 1.4.2021).
Was bedeutet das für Sie?
Genau wie bei der DSGVO ist der Praxisinhaber/die Praxisinhaberin verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie sowie der Datensicherheit der Praxis-IT. D. h. Sie tragen die Verantwortung für die Umsetzung und kontinuierliche Überprüfung der Maßnahmen sowie Erstellung der Dokumentationen und Arbeitsanweisungen für das Praxisteam im Umgang mit der IT. Ohne die Unterstützung eines fachkundigen IT-Dienstleisters und eines Fachanwalts für Datenschutzrecht sind diese Aufgaben kaum zu stemmen.
Wir unterstützen Sie
Mit dem IT-Sicherheitsstandard Cert+ erfüllen Sie die Anforderungen der IT-Sicherheitsrichtlinie und der DSGVO. Zusätzlich erstellen wir eine lückenlose und fortlaufend aktualisierte IT-Dokumentation als Nachweis zum Stand Ihrer IT mit allen für die DSGVO relevanten Informationen. Wir arbeiten mit einer Fachkanzlei für Datenschutzrecht zusammen, die Sie bei der Erstellung der Datenschutzerklärung für die Website sowie aller für die DSGVO benötigten datenschutzrechtlichen Vorgaben bestens unterstützt. Zusätzlich bieten wir Cyber Security Awareness Schulungen an, um auf aktuelle Gefahren im Umgang mit der IT und wichtigen Daten zu sensibilisieren.
Mit überschaubarem Aufwand erreichen Sie ein sehr hohes Level an IT-Sicherheit. Sprechen Sie uns an für den bestmöglichen Schutz Ihrer IT.