Zum 1. April 2021 müssen die ersten Anforderungen der IT-Sicherheitsrichtlinie für Arzt- und Zahnarztpraxen umgesetzt werden. Wir haben die wichtigsten Punkte für Sie zusammengefasst.
Mit dem Digitale-Versorgung-Gesetz beauftragte der Gesetzgeber die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, Regeln für die Gewährleistung der IT-Sicherheit in niedergelassenen Arzt- und Zahnarztpraxen sowie Psychotherapiepraxen festzulegen. Das Ergebnis: Die IT-Sicherheitsrichtlinie, die mit Beginn des Jahres in Kraft getreten ist. Sie umfasst Anforderungen für das Sicherheitsmanagement, für Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen. Erste Schritte zur IT-Sicherheit müssen zum 1. April umgesetzt sein, etwa der Einsatz von Firewalls und eines aktuellen Virenschutzes.
Welche Praxis braucht wann was?
Die Frage, welche Maßnahmen eine Praxis für die IT-Sicherheit in Angriff nehmen muss, hängt vom sogenannten Praxistyp ab. Unterschieden wird zwischen:
- kleine Praxen: Bis maximal fünf Personen sind ständig mit der Datenverarbeitung betraut.
- mittlere Praxen: Hier sind zwischen sechs und 20 Personen ständig mit der Datenverarbeitung betraut.
- große Praxen: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, deren Datenverarbeitung über die „normale“ Datenübermittlung hinausgeht (z.B. bei krankenhausähnlichen Strukturen)
- medizinische Großgeräte: Auch beim Einsatz medizinischer Großgeräte wie CT oder MRT gelten gesonderte Anforderungen.
Auf der sogenannten Onlineplattform zur IT-Sicherheit hat die KBV je nach Praxisgröße bis zu fünf Anlagen mit Anforderungskatalogen sowie entsprechende Formulare zur Verfügung gestellt (https://hub.kbv.de/site/its).
Außerdem soll die Umsetzung aller Maßnahmen in drei Stufen erfolgen. Die erste tritt am 1. April 2021 in Kraft, die zweite am 1. Januar 2022 und die dritte am 1. Juli 2022.
Das gilt u.a. für alle Praxen ab dem 1. April 2021
- Einsatz aktueller Virenschutzprogramme
- Der Übergang zu anderen Netzen (insbesondere das Internet) muss durch eine Firewall geschützt werden.
- Dokumentation des Netzwerks anhand eines Netzplans
- Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden.
- Nutzung von verschlüsselten Internetanwendungen
- Apps nur aus offiziellen App-Stores nutzen und Updates immer zeitnah installieren
- Kein Versand von vertraulichen Daten über Apps
- Einsatz von komplexen Gerätesperrcodes für Smartphones und Tablets
- Abmeldung oder Sperrung des Anwenders nach Nutzung eines Geräts
Mit TELEMED auf Nummer sicher gehen
So wichtig der Schutz sensibler Patientendaten auch ist, so komplex ist zum Teil die Umsetzung der Maßnahmen. Vor allem aber ist die Anwendung der Richtlinie für die einzelnen Praxistypen mit einem erheblichen Zeit- und Personalressourcenaufwand sowie hohem IT-Know-how verbunden.
Hier bietet TELEMED mit seinen Lösungen und seinem Service eine spürbare Entlastung – und vor allem die Sicherheit, alle Anforderungen auch korrekt umgesetzt zu haben. TELEMED Protect ISMS-Assist beispielsweise hilft bei der Ermittlung des Ist-Zustandes der Praxis-IT und der noch zu erfüllenden Maßnahmen. Das spart enorm viel Zeit bei der Analyse bzw. der Einarbeitung in die Richtlinie, da das webbasierte Tool die Anforderungen der IT-Sicherheitsrichtlinie übersetzt und gleichzeitig wichtige Hinweise und Hilfestellungen zur Umsetzung gibt.
Darüber hinaus stehen die TELEMED Servicepartner vor Ort zur Verfügung und unterstützen Praxen zum Beispiel bei der Soll/Ist Analyse und der Umsetzung der konkreten Maßnahmenplanung. Mit den TELEMED Protect Paketen können die dann ermittelten Sicherheitslücken geschlossen werden.
Übrigens: Bleiben Sie über das Thema Cyberkriminalität informiert. Auf www.fightcybercrime.de können Sie sich für den TELEMED IT-Security-Newsletter anmelden und erhalten so - neben dem kostenlosen Whitepaper „IT-Security-Grundlagen für niedergelassene Ärzte und Zahnärzte“ - fortlaufend Informationen zum Thema IT-Sicherheit und aktuelle Bedrohungen.