Mit der neuen IT-Sicherheitsrichtlinie gelten für Praxen seit diesem Jahr verbindliche Anforderungen an die IT-Sicherheit. Eine weitere Richtlinie soll die Zertifizierung von Dienstleistern regeln.
Im Dezember 2020 hat die Vertreterversammlung der Kassenärztlichen Bundesvereinigung (KBV) die lang erwartete IT-Sicherheitsrichtlinie beschlossen. Sie ist zum 1. Januar 2021 in Kraft getreten. Die Richtlinie enthält Sicherheitsanforderungen, die sich am aktuellen Stand der Technik orientieren und die das Ziel haben, den Datenschutz in den Praxen mit der europäischen Datenschutzgrundverordnung (DSGVO) in Einklang zu bringen. Es geht um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT Systeme, Anwendungen und Dienste sowie das Aufspüren von Sicherheitsvorfällen.
Je nach Größe der Praxis gelten die Anforderungen in unterschiedlichem Umfang. Viele der in der Richtlinie definierten Anforderungen müssen spätestens ab dem 1. April 2021 in den Praxen umgesetzt werden, andere Anforderungen gelten erst ab dem kommenden Jahr.
Der Gesetzgeber hatte die KBV im Digitale-Versorgungs-Gesetz mit der Entwicklung der IT-Sicherheitsrichtlinie beauftragt. Sie wird jährlich im Einvernehmen mit Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesgesundheitsministerium aktualisiert.
Zertifizierung von IT-Dienstleistern
Neben der Richtlinie für Praxen, hat die KBV auch eine Richtlinie für IT-Dienstleister beschlossen, die ebenfalls zum Jahresbeginn in Kraft trat. Die Richtlinie regelt die Zertifizierung von Dienstleistern, die Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten in IT-Sicherheitsfragen beraten und die Vorgaben der IT-Sicherheitsrichtlinie umsetzen. Die KBV plant Vor-Ort-Zertifizierung, die aber aufgrund der Corona-Pandemie frühestens im Februar 2021 erfolgen können.
Zur IT-Sicherheitsrichtlinie sind Informations- und Schulungsmaterialien geplant. Sobald diese vorliegen, wird die KV Berlin darüber informieren.
