Nächste Stufe der
Nächste Stufe der IT-Sicherheitsrichtlinie – das müssen Sie beachten! Am 1. Januar 2022 treten weitere Regelungen zur Datensicherheit in Kraft 12/2021 Mit der zunehmenden Vernetzung des Gesundheitswesens steigen auch die Anforderungen an die Datensicherheit in Ihrer Praxis. In der Februar-Ausgabe von KVWL kompakt (02/21) haben wir Sie bereits über die wichtigsten Änderungen im Zuge der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) informiert. Mit dieser Richtlinie setzt die KBV den gesetzlichen Auftrag um, einheitliche und verbindliche IT-Sicherheitsstandards für die ambulante Versorgung zu definieren. Zum bevorstehenden Jahreswechsel tritt nun die nächste Stufe der IT-Sicherheitsrichtlinie in Kraft. Bereits im Vorfeld des Digitale-Versorgung- Gesetzes hatte sich die KVWL mit Nachdruck dafür eingesetzt, dass sich die Anforderungen an der jeweiligen Praxisgröße orientieren und praktikabel sein müssen. Und auch die pandemiebedingte Mehrbelastung der Praxen hat der KVWL-Vorstand im Blick: „Mit der verlängerten Frist zur Einführung von eAU und eRezept* verschaffen wir unseren Mitgliedern etwas Luft beim weiteren Ausbau der Telematikinfrastruktur (TI). Viele der Datensicherheits-Anforderungen, die nun zum 1. Januar 2022 in Kraft treten, haben die niedergelassenen Ärztinnen und Ärzte ohnehin schon erfüllt. Trotzdem raten wir dazu, gemeinsam mit Ihrem IT-Dienstleister eine Bestandsaufnahme zu machen und – wo nötig – noch einmal nachzujustieren“, erklärt KVWL-Vorstand Thomas Müller. 6 Die Frage, was in diesem Jahr bezüglich der Datensicherheit noch zu erledigen ist, richtet sich nach der Größe der eigenen Praxis. Die Richtlinie unterscheidet kleine, mittlere und Großpraxen voneinander. Die folgenden Anforderungen gelten ab dem 1. Januar 2022 für alle Praxen: * siehe praxis intern, S. 16 Regelmäßige Datensicherung, starke Passwörter für den administrativen Zugriff auf Netzwerkkomponenten im Praxis-Netzwerk,
Nutzung von Web-Application-Firewalls für selbstbetriebene Internet-Dienste, Schutz vor automatisierter Nutzung von Webanwendungen, Definition von Datei- und Freigabeberechtigungen für jede Mitarbeiterin, sichere Grundkonfiguration und restriktive Datenschutzeinstellungen bei mobilen Geräten (Handys, Tablets etc.), regelhafte Prüfung von Wechseldatenträgern (z.B. USB-Sticks) und Speichermedien (externe Festplatte, CDs usw. ) auf Schadsoftware bei jedem Einsatz. Zudem müssen die Praxisinhaber die regelmäßigen Updates der gematik im Blick behalten. Diese laufen nicht automatisch im Hintergrund ab, sondern müssen jedes Mal aktiv angestoßen werden. Für mittlere Praxen gilt zusätzlich: Sie müssen festlegen, wer auf welche Internetanwendungen zugreifen darf und entsprechende Berechtigungen erteilen. Generelle Datensparsamkeit: restriktiver Einsatz mobiler Endgeräte (zum Beispiel auch der Sprachassistenten); sollen Daten über mobile Geräte übertragen werden, müssen diese zwingend verschlüsselt wer- Praxistypen nach Größe Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“, so die offizielle Bezeichnung, unterscheidet der Größe nach drei Praxistypen: 1. Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen. 2. Mittlere Praxis: Eine mittlere Praxis ist eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen. 3. Großpraxis mit Datenverarbeitung im erheblichen Umfang ist eine Praxis mit mehr als 20 ständig mit der Datenverarbeitung betrauten Personen
