IT-Sicherheitsrichtlinie für die Arztpraxen

Ab 1. Januar 2021 gilt die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) gemäß § 75b Absatz 1 SGB V für die Praxen der niedergelassenen Ärzte sowie die Richtlinie zur Zertifizierung von IT-Dienstleistern nach § 75b Absatz 5 SGB V. Die beiden Sicherheitsrichtlinien wurden von der Vertreterversammlung (VV) der KBV am 15. Dezember 2021 beschlossen.

Zum Hintergrund: Die KBV hat gemäß § 75b Absatz 1 SGB V den gesetzlichen Auftrag zum Erstellen einer IT-Sicherheitsrichtlinie für die Arztpraxen. Die Anforderungen aus der Richtlinie müssen dem Stand der Technik entsprechen und sind jährlich an den Stand der Technik und an das Gefährdungspotenzial anzupassen. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer (BÄK), der Bundeszahnärztekammer (BZÄK), der Deutschen Krankenhausgesellschaft (DKG) und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erstellt.

Die Richtlinie adressiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme in der vertragsärztlichen und -psychotherapeutischen Praxis. Die Richtlinie legt die technischen Anforderungen fest und beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die Anforderungen der IT-Sicherheit zu gewährleisten. Mit der Umsetzung der Anforderungen werden die Risiken der IT-Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT-Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden.

Bei den Anforderungen an die Arztpraxen zur Gewährleistung der IT-Sicherheit wird in den Richtlinien nach Praxisgrößen differenziert:

  1. Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
  2. Mittlere Praxis:Eine mittlere Praxis ist eine vertragsärztliche Praxis mit sechs bis 20 ständig mit der Datenverarbeitung betrauten Personen.
  3. Großpraxis oder Praxis mit Datenverarbeitung in erheblichem Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung in erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig ist (z.B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

 

it-sicherheit-anforderungen

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dieser Artikel stammt vom Leo Schütze Verlag, Herausgeber des "Schütze-Briefs". Curagita übernimmt keine Gewähr für die Richtigkeit dieser Informationen.

 

 

Kategorie
veröffentlicht