07. Januar 2022 – Seit dem 01. Januar 2022 gelten weitere Anforderungen an die IT-Sicherheit und den Datenschutz in Arztpraxen. Dies ergibt sich aus der Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit vom 16. Dezember 2020. Die Richtlinie der Kassenärztlichen Bundesvereinigung gilt für alle vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen. Verantwortlich für deren Umsetzung sind die Praxisinhaber.
Unterteilung nach Praxisgrößen gemäß der Richtlinie
Gestaffelt sind die Anforderungen aus der Richtlinie nach Größe der Praxen. Laut der Richtlinie wird unter „Praxis“ eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen verstanden (der Einfachheit halber nennen wir diese Gruppe „Einzelpraxis“). Eine mittlere Praxis wird durch sechs bis zwanzig ständig mit der Datenverarbeitung betrauten Personen definiert. Zu guter Letzt unterscheidet die Richtlinie noch Großpraxen bzw. Praxen mit Datenverarbeitung im erheblichen Umfang. Hierzu zählen Praxen mit über zwanzig ständig mit der Datenverarbeitung betrauten Personen sowie große Medizinische Versorgungszentren und Labore, deren Datenverarbeitungen über den normalen Umfang hinaus gehen. Im Weiteren werden die Anforderungen an Einzelpraxen spezifiziert (die anderen Praxisgrößen werden in gesonderten Artikeln behandelt).
IT-Sicherheitsanforderungen und ihre Bedeutung in der Praxis
Einzelpraxen müssen zusätzlich zu den bereits seit dem 01. April 2021 bestehenden Anforderungen seit dem 01. Januar dieses Jahres folgende Anforderungen an die IT-Sicherheit erfüllen:
- Apps: es dürfen nur noch solche Apps genutzt werden, die Dokumente verschlüsseln und lokal speichern. Es dürfen demnach keine Dokumente über Apps in Cloud-Diensten gespeichert werden. Achten Sie darauf, welche Apps welche Dokumente wo speichern!
- Eine Web Application Firewall muss eingesetzt werden. Diese Firewalls schützen durch Filtern, Überwachen und Blockieren jeglichen böswilligen Datenverkehr, beispielsweise beim Aufruf von Webseiten über Ihren Browser. Diese Firewalls gibt es sowohl als Software, als eigenständige Einheit oder als Software-as-a-Service.
- Webanwendungen wie Formulare müssen vor Missbrauch gesichert werden (dazu mehr in einem früheren Beitrag).
- Datensicherungen müssen nun auch offiziell regelmäßig durchgeführt werden. Orientieren Sie sich an der 3-2-1 Regel: drei Datensicherungen, auf zwei unterschiedlichen Medien (bspw. lokale Festplatte und Wechseldatenträger), und eine davon außerhalb der Praxisräume aufbewahren (bspw. der Wechseldatenträger).
- Windows-Systeme: die Synchronisation von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden (hier eine Anleitung dazu). Ferner sollten Berechtigungsregeln für Zugriffe von Personengruppen und Personen geregelt werden (Schritt-für-Schritt Anleitung für Benutzerkonten). Und dann wäre da noch die Anforderung der Datensparsamkeit: es sollten so wenige Daten wie möglich verwendet werden (die DSGVO spricht übrigens von „Datenminimierung“; dieses Grundprinzip besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ sollen.)
- Bei Smartphones und Tablets sollten die strengsten und sichersten Einstellungen gewählt werden, um das Schutzniveau personenbezogener Daten sicherzustellen. App-Zugriffe und Zugriffe vom Betriebssystem auf Daten und Schnittstellen sollten ebenso auf das Notwendigste reduziert werden.
- Mobiltelefon: bei Verlust muss die SIM-Karte zeitnah gesperrt werden (die Verbraucherzentrale erklärt die Schritte zum Sperren einer SIM-Karte). Ferner sollten alle verfügbaren Sicherheitsmechanismen von Mobiltelefonen genutzt werden.
- Wechseldatenträger: sollten bei jeder Verwendung mit einem aktualisierten Antivirenprogramm vor der Verwendung überprüft werden. Zudem sollten die Wechseldatenträger nach der Verwendung immer sicher und vollständig gelöscht werden (Lesen Sie hier, wie Sie Datenträger sicher löschen).
- Netzwerksicherheit: für das Netzwerkmanagement muss eine geeignete Authentisierung verwendet werden. Ändern Sie – falls noch nicht getan – zuerst einmal den Standardbenutzernamen und das Standardpasswort von Netzwerkkomponenten wie Routern. Passwörter sollten ausreichend sicher und sicher aufbewahrt werden. Zudem sollte der Zugriff beschränkt werden (im besten Fall nur für den Administrator).
Haben Sie Fragen zur Umsetzung der IT-Sicherheit in Ihrer Arztpraxis?
Wenden Sie sich an Ihren IT-Dienstleister – oder nehmen Sie Kontakt mit uns auf.