Neue Angebote aus der Verbund-IT: Revisionssichere Langzeitarchivierung und ext. Informationssicherheitsbeauftragter (ISB)
Mit unserem neuen Angebot für eine revisionssichere Langzeitarchivierung möchten wir Ihre Praxis optimal auf die Zukunft vorbereiten. Die Bedeutung von Datensicherheit und -vorhaltung nimmt stetig zu, insbesondere angesichts wachsender gesetzlicher Anforderungen und Compliance-Vorgaben. Die revisionssichere Ablage ist Teil der Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung (GoBD) von Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, welche vom Bundesministerium der Finanzen erlassen wurden.
Unser Angebot: Kosteneffizient und leistungsstark
Die Verbund-IT bietet Ihnen eine revisionssichere Langzeitarchivierung zu einem Bruchteil der derzeit auf dem Markt üblichen Kosten. Zum Beispiel können 150 Terabyte Daten für lediglich 15.000 Euro (netto) jährlich archiviert werden – weit unter dem Wettbewerberpreisen von rund 75.000 Euro (netto) pro Jahr. Damit bieten wir Ihnen eine zuverlässige und preiswerte Lösung, um Ihre geschäftsrelevanten Daten sicher zu archivieren und gleichzeitig gesetzliche Vorgaben zu erfüllen.
Warum ist revisionssichere Archivierung so wichtig?
Gesetzliche Vorgaben wie die DSGVO, GoBD, Produkthaftungsvorschriften oder auch internationale Regularien (z. B. HIPAA, SEC 17a-4) verlangen von Unternehmen die Einhaltung strikter Archivierungsanforderungen. Diese Grundsätze sind unter anderem zu beachten:
Nachvollziehbarkeit und Nachprüfbarkeit: jedes Dokument muss so abgelegt werden, dass der Zeitpunkt der Ablage als auch die Person, welche das Dokument abgelegt hat, erkennbar sind.
Vollständigkeit: alle Dokumente müssen lückenlos und vollständig abgelegt werden.
Richtigkeit: Die Richtigkeit der Daten muss garantiert sein, weshalb das Original und das digitale, für die Archivierung bestimmte Scan-Dokument deutliche Übereinstimmung aufweisen müssen.
Zeitgerechte Buchung und Aufzeichnung: Alle eingehenden Dokumente müssen möglichst schnell archiviert werden.
Ordnung: Das Archivierungssystem muss eine übersichtliche und erkennbare Struktur aufweisen. Neben der Einhaltung der Aufbewahrungsfristen ist auch ein entsprechender Verweis auf die Frist zu hinterlegen.
Unveränderbarkeit: Archivierte Daten müssen während der Aufbewahrungsfristen unveränderbar sein.
Aufbewahrungspflicht: Geschäftsrelevante Daten müssen gemäß den gesetzlichen und betrieblichen Anforderungen aufbewahrt werden.
Datenintegrität: Daten dürfen weder auf dem Weg ins Archiv noch im Archiv selbst verloren gehen.
Protokollierung: Alle Aktionen innerhalb des Archivsystems müssen lückenlos dokumentiert werden.
Eindeutige Auffindbarkeit: Jedes Dokument muss eindeutig identifiziert und reproduziert werden können. Zeitnahe
Verfügbarkeit: Dokumente müssen schnell auffindbar sein.
Zugriffskontrolle: Nur berechtigte Personen dürfen Zugang zu archivierten Daten haben.
Fristgerechte Löschung: Daten dürfen erst oder müssen nach Ablauf der gesetzlichen Fristen gelöscht werden.
Langzeitstabilität: Technische Änderungen und Migrationen müssen ohne Datenverlust oder -beschädigung möglich sein.
Datensicherheit: Über die gesamte Lebensdauer der Archivdaten müssen Anforderungen an Datenschutz und Datensicherheit erfüllt sein.
NEU: Informationssicherheitsbeauftragter für Praxen
Praxen mit 20 oder mehr Mitarbeitern unterliegen der Verschärfung der IT-Sicherheitsverordnung gemäß der NIS2-Richtlinie, die im Oktober 2024 auf EU-Ebene verabschiedet wurde. Nach aktuellen Informationen tritt diese Richtlinie im März 2025 in Kraft, und betroffene Praxen sind künftig verpflichtet, einen Informationssicherheitsbeauftragten (ISB) zu benennen. Dies betrifft insbesondere Gemeinschaftspraxen, Einrichtungen, die zu den kritischen Infrastrukturen im Gesundheitswesen zählen, Praxen die als Zulieferer gelten und Praxen die stark auf digitale Technologien wie z.B. Online-Terminierung setzen. Landesärztekammern können ergänzende Vorgaben erlassen, die die Notwendigkeit eines Sicherheitsbeauftragten regeln.
Aufgaben des Informationssicherheitsbeauftragten
Der ISB sorgt dafür, dass:
- Datenschutz- und IT-Sicherheitsmaßnahmen eingehalten werden.
- Sicherheitslücken identifiziert und behoben werden.
- Mitarbeiter regelmäßig in IT-Sicherheit geschult werden.
- Notfallpläne für Cyberangriffe bereitstehen.
Ein Praxis-Mitarbeiter, der als Informationssicherheitsbeauftragter (ISB) tätig werden soll, benötigt bestimmte Kenntnisse und Fähigkeiten, um die Anforderungen der IT- und Datensicherheit zu erfüllen. Eine formelle Zertifizierung ist nicht immer gesetzlich vorgeschrieben, wird jedoch dringend empfohlen, um sicherzustellen, dass die Person kompetent ist. Hier sind die wesentlichen Qualifikationen:
- Fachliche Anforderungen
- Grundlagenwissen über IT-Sicherheit:
- Kenntnisse der relevanten Rechtsvorschriften, Normen und Standards
- Praxisrelevante IT-Kenntnisse
2. Persönliche Fähigkeiten
- Analytisches Denken und Problemlösungsfähigkeit.
- Fähigkeit zur Organisation und Dokumentation von IT-Sicherheitsmaßnahmen.
- Kommunikationsfähigkeiten, um IT-Sicherheitsthemen verständlich zu vermitteln.
- Bereitschaft zur kontinuierlichen Weiterbildung.
3. Schulung und Zertifizierung
- Es wird empfohlen, eine Schulung oder Zertifizierung als ISB oder im Bereich Informationssicherheit zu absolvieren.
Wenn eine Arztpraxis, die gesetzlich zur Benennung eines Informationssicherheitsbeauftragten (ISB) verpflichtet ist, dieser Anforderung nicht nachkommt, können verschiedene Konsequenzen entstehen. Diese reichen von rechtlichen Sanktionen (z.B. Bußgeldern bzw. Haftung der Praxisinhaber bei nachweislicher Fahrlässigkeit) bis hin zu erhöhten Risiken für die Praxis (z.B. Cyberangriffe, Verlust der QM Zertifikate, Probleme mit der TI).
Analog zum externen Datenschutzbeauftragten können Praxen auch bei diesem Thema auf einen externen ISB zurückgreifen, falls intern keine geeignete Person verfügbar ist. Externe Dienstleister bringen oft spezialisierte Expertise mit und entlasten die Praxis. Sie sind flexibel, unabhängig und bringen einen objektiven Blick auf die Sicherheitslage in einer Praxis mit.
Im Curagita-IT-Team steht aktuell ein qualifizierter externer ISB für Netzpraxen zur Verfügung, der sich über die Kontaktaufnahme freut. Nach Buchung und Benennung eines praxisinternen Ansprechpartners für die Informationssicherheit findet ein Vorort-Termin in der Praxis statt, um die Zusammenarbeit zu starten. Wer bereits vom Verbund-IT-Team betreut wird und/oder den externen Datenschutzbeauftragten über Curagita gebucht hat, kann von Paket-Konditionen profitieren. Natürlich werden auch Doppelarbeiten vermieden, da die Beauftragten im Curagita-Team eng zusammen arbeiten.
Unterschiede zwischen DSB und ISB
Datenschutzbeauftragter (DSB) | Informationssicherheitsbeauftragter (ISB) |
---|---|
Fokus auf den Schutz personenbezogener Daten gemäß DSGVO. | Fokus auf die allgemeine IT-Sicherheit, einschließlich technischer Schutzmaßnahmen. |
Rechtliche Bewertung und Dokumentation (z.B. Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung). | Technische und organisatorische Sicherheitsmaßnahmen (z.B. Firewalls, Verschlüsselung). |
Prüft die Einhaltung von Datenschutzvorschriften. | Entwickelt und überwacht ein Informationssicherheitsmanagementsystem (ISMS). |
Umgang mit Datenschutzverletzungen. | Umgang mit Cyberangriffen und technischen Sicherheitsvorfällen. |
Erweiterung der Aufgabenbereiche
Merkmal | Datenschutzbeauftragter (DSB) | Informationssicherheitsbeauftragter (ISB) |
---|---|---|
Hauptfokus | Schutz personenbezogener Daten gemäß DSGVO und nationalen Gesetzen | Gewährleistung der IT- und Informationssicherheit |
Gesetzliche Grundlage | Datenschutz-Grundverordung (DSGVO), Bundesdatenschutzgesetz (GSDSG) | Normen wie ISO 27001, NIS2-Richtlinie, IT-Grundschutz |
Verpflichtung zur Benennung | Erforderlich ab einer bestimmten Größe bzw. sensiblen Verarbeitung von Daten (z.B: 20 Mitarbeiter mit regelmäßiger Datenverarbeitung) | Abhängig von Branche und nationalen/regionalen Anforderungen |
Zuständigkeit | Personenbezogene Daten (z.B. Kundendaten, Mitarbeiterdaten) | Gesamte IT-Infrastruktur und informationsverarbeitende Systeme |
Hauptaufgaben | Sicherstellen der Einhaltung von Datenschutzvorgaben, Durchführung von Datenschutz-Folgenabschätzungen, Beratung der Geschäftsleitung in Datenschutzfragen, Sensibilisierung und Schulung der Mitarbeiter | Überwachung der IT-Sicherheit, Identifikation und Behebung von Sicherheitslücken, Erarbeitung von Notfall- und Wiederherstellungsplänen, Koordination der Umsetzung von Sicherheitsstandards |
Audits und Prüfungen | Durchführung interner Datenschutz-Audits | Durchführung interner IT-Sicherheitsaudits |
Beratung | Beratung zu rechtlichen Anforderungen und Risiken im Datenschutz | Beratung zur Implementierung technischer und organisatorischer IT-Sicherheitsmaßnahmen |
Mitarbeiterschulung | Fokussiert auf Datenschutzbewusstsein und Einhaltung der DSGVO | Fokussiert auf sichere Nutzung von IT-Systemen und Awareness zu Cybergefahren |
Berichtspflichten | Berichterstattung an die Geschäftsleitung und ggf. an Aufsichtsbehörden | Berichterstattung an die Geschäftsleitung, IT-Abteilungen und ggf. an externe Auditoren |
Konfliktpotenzial | Unabhängige Rolle: keine operative Umsetzung, nur Beratung und Kontrolle | Eng in operative Sicherheitsprozesse eingebunden |
Weitere Informationen erhalten Sie über das Team der Verbund-IT. Lassen Sie uns gemeinsam dafür sorgen, dass Ihre Praxis sicher bleibt!
Ihr Ansprechpartner für die Langzeitarchivierung
ist Jean-Marc Lempp jmlcuragita.com
hr Ansprechpartner für den externen ISB ist Dennis Sattler isbcuragita.com