IT-Sicherheit in Arztpraxen: Sicherheitsrichtlinie nach § 75b SGB V

Datenschutz und IT-Sicherheit kontra Umsetzbarkeit

Medizinische Einrichtungen müssen mit hochsensiblen Patientendaten umgehen. Diese Daten müssen geschützt werden müssen. Viele Abläufe innerhalb der Praxis sind ohne Technik nicht mehr vorstellbar: Terminvereinbarungen etwa oder die Dokumentation von Diagnosen. Und Technik ohne Maßnahmen zur IT-Sicherheit ist heutzutage für den Gesetzgeber nicht mehr vorstellbar. Und so wurde die Richtlinie nach § 75b SBG V von der KBV entwickelt.

Seit 2018 regelt die Datenschutz-Grundverordnung (DS-GVO) den Umgang mit Daten; für Arztpraxen war die Umsetzung bisher allerdings schwierig: Einerseits gibt es in der DS-GVO keine Vorgaben oder Richtlinien für Aspekte, die konkret medizinische Einrichtungen betreffen. Andererseits sind manche Vorgaben schlicht zu unspezifisch, um sinnvoll für Arztpraxen zu sein. Diese Schwachstelle möchte die Richtlinie nach § 75b SBG V über die Anforderungen zur Gewährleistung der IT-Sicherheit in Arztpraxen beheben.

Ihr Ziel: Die verständliche Übersetzung der DS-GVO in praktisch umsetzbare und klare Richtlinien für Arztpraxen.

IT-Sicherheit in Arztpraxien

Was im Einzelfall von vertragsärztlichen Praxen konkret verlangt wird, hängt laut der Richtline von der Anzahl der „ständig mit der Datenverarbeitung betrauten Personen“ ab: Bei einer „Praxis“ sind das 5 Personen, bei einer „mittleren Praxis“ 6⎼20 und bei einer „Großpraxis“ 21 oder mehr. Während kleine Praxen ohne medizinische Großgeräte nur die Anlagen 1 und 5 beachten müssen, gelten für Großpraxen mit medizinischen Großgeräten die Anforderungen aus den Anlagen 1, 2, 3, 4 und 5. Das ist aus praktischer Sicht sinnvoll und berücksichtigt, dass mit steigender Mitarbeiterzahl der Überblick über in Umlauf gebrachte Daten, installierte Programme und erteilte Berechtigungen verloren geht.

Experten für alles?

In vielen Praxen ist ein Arzt zuständig für die IT und damit auch die IT-Sicherheit. Voraussetzung für die IT-Sicherheit und damit die Einhaltung der gesetzlichen Vorgaben ist aber ihn der Hauptsache die Administration der IT, man braucht regelmäßige Updates und die Instandhaltung der EDV-Anlagen ist sicherzustellen. Diese Tätigkeiten müssten zusätzlich zum eigentlichen Tagesgeschäft vom Praxispersonal gestemmt werden. Arzt oder Ärztin sollen sich aber mit den Angestellten vor allem um die Patienten kümmern, denn dafür sind sie ausgebildet!

Eine gute Entscheidung: Betreuung durch ein IT-Systemhaus

IT-Systemhäuser können als Experten mit der dauerhaften, zuverlässigen Betreuung kleinerer und größerer Praxen beauftragt werden. So hilft das IT-Systemhaus bei der Einhaltung der Richtlinie nach § 75b SBG V. Hier wird nicht nur dafür gesorgt, dass die notwendigen Mindestvorgaben erfüllt werden ⎼ das würde wahrscheinlich passieren, wenn die Ärztin oder ein Assistent sich zusätzlich zu ihrer Haupttätigkeit darum kümmern müssten. „Wir machen das, was unbedingt gemacht werde muss“, könnte die Devise dann lauten.

Ein IT-Systemhaus kümmert sich regelmäßig.

IT-Systemhäuser machen aber viel mehr: Sie sind Experten für alles, was mit Rechnern und Netzwerken zu tun hat. Mit diesem Wissen sorgen sie dafür, dass Hardware, Software und weitere Maßnahmen praxistauglich und sinnvoll ineinandergreifen. Arztpraxen profitieren durch die Zusammenarbeit von eleganten und transparenten Lösungen zur IT-Sicherheit. Sie sparen sich Verwaltungsaufwand und sind technisch auf der sicheren Seite. So können sie sich voll und ganz auf die Bedürfnisse ihrer Patienten konzentrieren und sicher sein, dass die IT einfach läuft.

Umsetzung und Dokumentation der IT-Sicherheit in Arztpraxen

Die gesetzlichen Vorgaben sind klar. Es gibt einen konkreten Anforderungskatalog für alle Praxen und zusätzliche Anforderungen an die IT mittlerer und größerer Praxen sowie an die Betreiber von medizinischen Großgeräten.

Dieser Anforderungskatalog muss nun abgearbeitet werden, die einzelnen Punkte müssen umgesetzt und dokumentiert sein. Bestimme Anforderungen wie zum Beispiel der Einsatz einer Firewall erfordert die regelmäßige Wartung und das Update der eingesetzten Appliance.

Ressourcen zur IT-Sicherheit in Arztpraxen (Richtlinie nach § 75b SBG V)

Hinweise des BSI (Bundesamt für Sicherheit in der Informationstechnik)

Hinweise der KBV (Kassenärztliche Bundesvereinigung)

Informationen der KBV zur Datensicherheit

Über den Autor

Bereits seit 1990 betreut Rainer Leidl mit seinem fundierten Fachwissen den IT-Bereich. Vor der Gründung der Kernkompetenz-IT war er bei einer Finanzdienstleistungsunternehmen für den IT- und die Orgaentwicklung verantwortlich. Als Vorstandsmitglied bildeten seine Schwerpunkte unter anderem das Produktmanagement und die Entwicklung von IT-Prozessen zur Umsetzung der regulatorischen Anforderungen im Finanzbereich. Als Geschäftsführer des IT-Systemhauses Kernkompetenz-IT betreut er Unternehmen in der IT, der Organisationsberatung und unterstützt bei der Digitalisierung, in der Beratung der IT-Infrastruktur und IT-Lösungen sowie beim IT-Prozessdesign.

Über Kernkompetenz-IT auch im Business-Center in Regensburg – Neutraubling

Die Kernkompetenz-IT ist ein innovatives IT-Systemhaus und IT-Dienstleister mit den Schwerpunkten IT-Infrastruktur, IT-Services und IT-Security. Mit einem kompetenten Team beraten und betreuen wir Unternehmen und Unternehmer im Bereich IT, EDV, Digitalisierung und Organisation. IT-Sicherheit und IT-Security sind unsere Stärke. Unsere Expertise sichert die Verfügbarkeit der IT und den Erfolg des Unternehmens bei Planung und Aufbau, der Wartung, der Betreuung und dem täglichen Betrieb von IT-Infrastruktur und digitalen Prozessen. Unsere Kunden sind kleine und mittlere Unternehmen im Raum Ostbayern. Wir informieren über Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU). Die Kernkompetenz-IT verfügt über Standorte in Regensburg, Neutraubling (Business-Center in Regensburg – Neutraubling) und Mainburg.

https://www.kernkomptenz-it