Page 30 - Krankenhaus-ITJournal_062021
P. 30
Titelthema Kommunikation IT-Sicherheit in der Arztpraxis –
die KBV Richtlinie aus Sicht eines MVZ
durchschnittlich viel Datenverarbeitung
Kürzlich hat die KBV Vertreterversammlung die „IT-Sicherheits-
und -übertragung hat (z. B. Groß-MVZ,
richtlinie gemäß § 75b Absatz 1 SGB V“ beschlossen. In dieser
Labore). Sie muss – wenig überraschend
Richtlinie sind unterschiedlich anspruchsvolle Sicherheitsanfor- – zusätzlich noch die Anforderungen
derungen aufgeführt, von denen manche bis zum 1. April dieses gemäß ANLAGE 3 einzuhalten.
Jahres umzusetzen waren und manche sind es bis zum 1. Januar Außerdem gibt es noch Praxen
mit medizinischen Großgeräten, wie
2022. Von Udo Karlins, CISO, Stellvertr. Leiter Bereich IT
Computer-, Magnetresonanz-, Positro-
Kassenärztliche Vereinigung Schleswig-Holstein KöR nenemissionstomographen oder Line-
arbeschleuniger, die zusätzlich zu den
Müssen oder wollen Sie können – in Ausnahmefällen – eine jeweiligen Praxisanforderungen noch die
oder beides Anforderung aber auch bewusst nicht Geräteanforderungen aus ANLAGE 4
Dieses Regelwerk der KBV – mögen umsetzen und das damit verbundene zu erfüllen haben.
manche es auch als dünn und unkonkret Risiko akzeptieren. Wenn die Praxis Und wenn eine Praxis eine Anbin-
empfinden, andere als überzogen und dadurch mal nicht arbeiten kann, ist dung an die Telematik-Infrastruktur
bürokratisch – beinhaltet technische es ohnehin Ihr Problem. Wenn aber TI hat (gibt es überhaupt noch wel-
und organisatorische Maßnahmen für Patientendaten abfließen, kann das zu che ohne?), dann bitte auch noch die
ein standardisiertes IT-Sicherheitsni- Konsequenzen führen. Der juristische ANLAGE 5 umsetzen.
veau in den Praxen. Dieses wird auch im Terminus „grob fahrlässig“ schwebt über
Artikel 32 in der Datenschutz-Grund- solchen Entscheidungen – und damit ist Und was ist nun
verordnung bei der Verarbeitung von nicht zu scherzen. konkret zu tun?
Personendaten gefordert und ist daher Was Sie auf keinen Fall machen soll- Das steht mit einer FAQ zur Umsetzung
in vielen Praxen und MVZ sicher schon ten, ist, die Anforderungen zu ignorieren, gespickt auf den Web-Seiten der KBV.
lange umgesetzt. denn das wäre verantwortungslos. Am Hier der sehr hilfreiche Link der KBV
Die Anforderungen beschreiben die Ende des Tages – oder vor Gericht – sind https://hub.kbv.de/display/itsrl
unterste Schwelle der Sicherheit. Selbst Sie es, der für die Sicherheit verantwort-
wenn Sie alle Anforderungen umsetzen, lich ist und sich rechtfertigen muss. Bleiben Sie schadlos!
bedeutet das leider nicht, dass Sie auch
100% sicher sind. Sehen Sie die Richtli- Es kommt doch auf die Größe
nie als Hilfsmittel in Ihrem Sicherheits- an – oder die Technik
prozess. Die Anforderungen unterscheiden sich
Gleich vorweg: Eine Prüfung der nach Anzahl der Beschäftigten und tech-
Umsetzung oder gar eine IT-Sicherheits- nischer Ausstattung in der Praxis.
Zertifizierung der Praxen ist in absehba- Eine Praxis ist eine vertragsärztliche
rer Zeit nicht vorgesehen – Sie sollten Praxis mit bis zu fünf ständig mit der
trotzdem weiterlesen… Datenverarbeitung betrauten Personen.
In der Richtlinie sind Anforderun- Diese Praxen haben die ANLAGE 1 der
gen definiert, aber müssen Sie die auch Richtlinie umzusetzen.
erfüllen? Jein! Eine mittlere Praxis ist eine vertrags-
Die Anforderungen, die Sie betreffen, ärztliche Praxis mit 6 bis 20 ständig mit
sollten Sie auf jeden Fall auch umsetzen. der Datenverarbeitung betraute Perso-
Sie können Probleme mit Anforderun- nen. Sie muss zusätzlich auch die Anfor-
gen manchmal aber auch übertragen, z.B. derungen der ANLAGE 2 erfüllen.
auf einen Dienstleister, der bei Ihnen für Eine Großpraxis ist eine Praxis mit Udo Karlins, CISO, Stellvertr. Leiter Bereich IT
die nötige und vorgeschriebene Sicher- über 20 ständig mit der Datenverarbei- Kassenärztliche Vereinigung Schleswig-Holstein KöR:
heit sorgt, indem er eine Firewall ein- tung betrauten Personen oder eine Praxis „Die Anforderungen, die Sie betreffen, sollten Sie auf
richtet. mit weniger Personen, wenn sie über- jeden Fall auch umsetzen.“
Krankenhaus-IT Journal 6 /2021
30