Page 30 - Krankenhaus-ITJournal_062021
P. 30

Titelthema Kommunikation  IT-Sicherheit in der Arztpraxis –






           die KBV Richtlinie aus Sicht eines MVZ




                                                                            durchschnittlich viel Datenverarbeitung
              Kürzlich hat die KBV Vertreterversammlung die „IT-Sicherheits-
                                                                            und -übertragung hat (z. B. Groß-MVZ,
              richtlinie gemäß § 75b Absatz 1 SGB V“ beschlossen. In dieser
                                                                            Labore). Sie muss – wenig überraschend
              Richtlinie sind unterschiedlich anspruchsvolle Sicherheitsanfor-  –  zusätzlich  noch  die  Anforderungen
              derungen aufgeführt, von denen manche bis zum 1. April dieses   gemäß ANLAGE 3 einzuhalten.
              Jahres umzusetzen waren und manche sind es bis zum 1. Januar     Außerdem gibt es noch Praxen
                                                                            mit medizinischen Großgeräten, wie
              2022. Von Udo  Karlins, CISO, Stellvertr. Leiter Bereich IT
                                                                            Computer-, Magnetresonanz-, Positro-
              Kassenärztliche Vereinigung Schleswig-Holstein KöR            nenemissionstomographen  oder  Line-

                                                                            arbeschleuniger, die zusätzlich zu den
           Müssen oder wollen               Sie können – in Ausnahmefällen – eine   jeweiligen Praxisanforderungen noch die
           oder beides                      Anforderung aber auch bewusst nicht   Geräteanforderungen aus ANLAGE 4

           Dieses Regelwerk der KBV – mögen   umsetzen und das damit verbundene   zu erfüllen haben.
           manche es auch als dünn und unkonkret   Risiko akzeptieren. Wenn die Praxis   Und wenn eine Praxis eine Anbin-
           empfinden, andere als überzogen und   dadurch mal nicht arbeiten kann, ist   dung an die Telematik-Infrastruktur
           bürokratisch – beinhaltet technische   es ohnehin Ihr Problem. Wenn aber   TI hat (gibt es überhaupt noch wel-
           und organisatorische Maßnahmen für   Patientendaten abfließen, kann das zu   che ohne?), dann bitte auch noch die
           ein standardisiertes IT-Sicherheitsni-  Konsequenzen führen. Der juristische   ANLAGE 5 umsetzen.
           veau in den Praxen. Dieses wird auch im   Terminus „grob fahrlässig“ schwebt über
           Artikel 32 in der Datenschutz-Grund-  solchen Entscheidungen – und damit ist   Und was ist nun
           verordnung  bei  der  Verarbeitung  von   nicht zu scherzen.     konkret zu tun?
           Personendaten gefordert und ist daher   Was Sie auf keinen Fall machen soll-  Das steht mit einer FAQ zur Umsetzung
           in vielen Praxen und MVZ sicher schon   ten, ist, die Anforderungen zu ignorieren,   gespickt auf den Web-Seiten der KBV.
           lange umgesetzt.                 denn das wäre verantwortungslos. Am   Hier der sehr hilfreiche Link der KBV
              Die Anforderungen beschreiben die   Ende des Tages – oder vor Gericht – sind   https://hub.kbv.de/display/itsrl
           unterste Schwelle der Sicherheit. Selbst   Sie es, der für die Sicherheit verantwort-   
           wenn Sie alle Anforderungen umsetzen,   lich ist und sich rechtfertigen muss.  Bleiben Sie schadlos!
           bedeutet das leider nicht, dass Sie auch
           100% sicher sind. Sehen Sie die Richtli-  Es kommt doch auf die Größe
           nie als Hilfsmittel in Ihrem Sicherheits-  an – oder die Technik
           prozess.                         Die Anforderungen unterscheiden sich
              Gleich vorweg: Eine Prüfung der   nach Anzahl der Beschäftigten und tech-
           Umsetzung oder gar eine IT-Sicherheits-  nischer Ausstattung in der Praxis.
           Zertifizierung der Praxen ist in absehba-  Eine Praxis ist eine vertragsärztliche
           rer Zeit nicht vorgesehen – Sie sollten   Praxis  mit  bis  zu  fünf  ständig  mit  der
           trotzdem weiterlesen…            Datenverarbeitung betrauten Personen.
              In der Richtlinie sind Anforderun-  Diese Praxen haben die ANLAGE 1 der
           gen definiert, aber müssen Sie die auch   Richtlinie umzusetzen.
           erfüllen? Jein!                    Eine mittlere Praxis ist eine vertrags-
              Die Anforderungen, die Sie betreffen,   ärztliche Praxis mit 6 bis 20 ständig mit
           sollten Sie auf jeden Fall auch umsetzen.  der Datenverarbeitung betraute Perso-
           Sie können Probleme mit Anforderun-  nen. Sie muss zusätzlich auch die Anfor-
           gen manchmal aber auch übertragen, z.B.   derungen der ANLAGE 2 erfüllen.
           auf einen Dienstleister, der bei Ihnen für   Eine Großpraxis ist eine Praxis mit   Udo  Karlins, CISO, Stellvertr. Leiter Bereich IT
           die nötige und vorgeschriebene Sicher-  über 20 ständig mit der Datenverarbei-  Kassenärztliche Vereinigung Schleswig-Holstein KöR:
           heit sorgt, indem er eine Firewall ein-  tung betrauten Personen oder eine Praxis   „Die Anforderungen, die Sie betreffen, sollten Sie auf
           richtet.                         mit weniger Personen, wenn sie über-  jeden Fall auch umsetzen.“


                                                                                   Krankenhaus-IT Journal 6 /2021
      30
   25   26   27   28   29   30   31   32   33   34   35