Schliessen
InstagramYoutube

Mit der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) gelten für Praxen seit 2021 verbindliche Anforderungen an die IT-Sicherheit. Diese Themenseite gibt einen Überblick über die Anforderungen –sortiert nach den Objekten auf die sich Anforderungen beziehen.

Die  IT-Sicherheitsrichtlinie enthält Sicherheitsanforderungen, die sich am aktuellen Stand der Technik orientieren und die das Ziel haben, den Datenschutz in den Praxen mit der europäischen Datenschutzgrundverordnung (DSGVO) in Einklang zu bringen. Es geht um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste sowie das Aufspüren von Sicherheitsvorfällen. 

Der Gesetzgeber hatte die KBV im Digitale-Versorgung-Gesetz mit der Entwicklung der IT-Sicherheitsrichtlinie beauftragt. Sie wird jährlich im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesgesundheitsministerium aktualisiert.

Anforderungen unterscheiden sich hinsichtlich Praxisgröße und Umsetzungszeitpunkt

Je nach Größe der Praxis gelten die in der Richtlinie definierten Anforderungen in unterschiedlichem Umfang. Es werden drei Praxisgrößen unterschieden:

  1. Praxis: bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
  2. Mittlere Praxis: 6 bis 20 ständig mit der Datenverarbeitung betraute Personen.
  3. Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: 
    • über 20 Personen, die ständig mit der Datenverarbeitung betraut sind 
    • eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Viele der in der Richtlinie definierten Anforderungen müssen spätestens ab dem 1. April 2021 in den Praxen umgesetzt werden, andere Anforderungen gelten erst später.

Die Anforderungen im Überblick

Office (Apps)

Internet-Anwendungen

Mobile Anwendungen (Apps)

Endgeräte allgemein

Endgeräte mit dem Betriebssystem Windows

Smartphone und Tablet, Mobile Device Management (MDM) 

Mobiltelefon

Wechseldatenträger / Speichermedien

Netzwerksicherheit

Medizinische Großgeräte

Dezentrale Komponenten der TI

Hinweise zur Umsetzung:
Bitte achten Sie darauf, Ihre Bewertungen, Entscheidungen und Umsetzungen als Nachweis entsprechend zu dokumentieren. Die KV Berlin empfiehlt hierfür, die Anlagen der KBV mit den Prüfpunkten als Checkliste zu verwenden. Hier sollte je Punkt dokumentiert werden, wie dieser umgesetzt ist und welche Referenzdokumentation dazugehört (beispielsweise Passwortrichtlinie, Richtlinie zur Nutzung mobiler Endgeräte, Benutzerkonzept usw.). 
Bei Fragen zur Umsetzung der technischen Rahmenbedingungen, sollten Sie Rücksprache mit Ihrem IT-Dienstleister halten.

Beachten Sie auch das umfassende Schulungs- und Informationsangebot zur IT-Sicherheitsrichtlinie:
Online-Plattform der KBV
Die Online-Veranstaltung der KV Berlin zur IT-Sicherheitsrichtlinie vom 12. März 2021 gibt es als Mitschnitt im Mitgliederbereich
Die KBV bietet eine Online-Fortbildung „IT-Sicherheit in der Praxis“ auf dem KBV-Fortbildungsportal an.