04. Februar 2022 – Im ersten Teil hatte ich bereits über die neuen Anforderungen an die IT-Sicherheit und den Datenschutz in Einzelpraxen berichtet. Auch mittlere und große Arztpraxen müssen diese sowie weitere Anforderungen gemäß der Richtlinie nach § 75b SGB V der Kassenärztlichen Bundesvereinigung erfüllen.
Gemäß der Richtlinie wird eine mittlere Praxis durch sechs bis zwanzig ständig mit der Datenverarbeitung betrauten Personen definiert. Hingegen zählen zu den Großpraxen bzw. Praxen mit Datenverarbeitung im erheblichen Umfang Praxen mit über zwanzig ständig mit der Datenverarbeitung betrauten Personen, sowie große medizinische Versorgungszentren und Labore, deren Datenverarbeitungen über den normalen Umfang hinaus gehen.
Anforderungen an mittlere Arztpraxen seit Januar 2022
Zusätzlich zu den bereits seit dem 01. April 2021 bestehenden Anforderungen sind seit diesem Jahr von mittleren Arztpraxen folgende Anforderungen zu erfüllen:
- Zugriffskontrolle: Webanwendungen, Datenbänke, und die Mechanismen zur Authentisierung selbst müssen vor unauthorisierter Benutzung geschützt werden. Zu den Maßnahmen können neben ausreichend sicheren Passwörtern (und deren sicheren Aufbewahrung) auch die Zwei-Faktor-Authentisierung gehören.
- Webseiten: sollen mit TLS verschlüsselt sein. Dabei gibt die Datenschutzgrundverordnung dies in Artikel 32 im Grunde genommen bereits seit 2018 vor. Vor allem die Übertragung personenbezogener Daten über Webformulare (Kontaktformulare, Terminvereinbarungen) müssen ohnehin verschlüsselt übertragen (Lesen Sie dazu die Ergebnisse meiner Untersuchung der Webformulare von Arztpraxen).
- Rechtevergabe auf Endgeräten: diese Einstellungen sollen restriktiv vorgenommen werden. Die Richtlinie bleibt hier vage. Dies ist allerdings auch den unterschiedlichen Einstellmöglichkeiten der Endgeräte geschuldet. Diese Einstellungen müssen pro Gerätetyp, Betriebssystem und Apps vorgenommen werden.
- Sprachassistenten: sollten nur eingesetzt werden, wenn sie zwingend notwendig sind – zwingend notwendig ist ihr Einsatz streng betrachtet wohl nur bei Gefahr in Verzug. Die Ruhr-Universität Bochum hatte Alexa eines Sicherheitstests unterzogen.
- Mobiltelefone: es sollte geregelt werden, welche Daten überhaupt über Mobiltelefone verschickt werden; und diese Übertragungen müssen verschlüsselt erfolgen.
- Wechseldatenträger: Die Mitnahme von Wechseldatenträgern (aus der Praxis raus) sollte schriftlich geregelt werden.
- Netzwerksicherheit: Ereignisse im Netzwerk samt Komponenten sollen protokolliert werden; eine automatische Alarmierung bei sicherheitsrelevanten Ereignissen eingerichtet werden.
Anforderungen an Großpraxen
Für Großpraxen kommen weiterhin folgende Anforderungen hinzu:
- Smartphone und Tablets: Die Herausgabe, der Einsatz und der Umgang mit diesen Endgeräten soll in einer Richtlinie festgesetzt werden. Zudem sollen die Informationen und Applikationen mit Erlaubnis zur Datenverarbeitung definiert werden (siehe auch nächster Punkt).
- Mobil Device Management: Über dieses zentrale Steuerungsmodul für Mobilgeräte sollen folgende Maßnahmen festgesetzt und kontrolliert werden: Berechtigungskonzepte, Zertifikate, Fernlöschung, Freigabe von Apps, Festlegung erlaubter Informationen.
- Wechseldatenträger: Integritätsschutz durch Prüfsummen oder digitale Signaturen.
- Netzwerksicherheit: Zur Übertragung von schützenswerten Informationen, die über das Praxisnetz kommuniziert werden, sollen sichere Protokolle zum Einsatz kommen.
Haben Sie Fragen zur Umsetzung der IT-Sicherheit in Ihrer Arztpraxis?
Wenden Sie sich an Ihren IT-Dienstleister – oder nehmen Sie Kontakt mit uns auf.