IT-Sicherheitsrichtlinie – Praxistauglichkeit als oberste Prämisse

Trotz der Corona-Pandemie schreitet die Digitalisierung im Gesundheitswesen voran. Insbesondere Projekte, die der Gesetzgeber vor der Pandemie auf die Schiene gesetzt hat, müssen seitens der Selbstverwaltung mitgestaltet, begleitet und umgesetzt werden. Eines dieser Projekte ist die IT-Sicherheitsrichtlinie, die wir gemäß § 75b SGB V bis zum 30. Juni 2020 zu erstellen hatten. Über die fertiggestellte Richtlinie werden wir die Vertreterversammlung der KZBV am 1. Juli informieren. Derzeit laufen aber noch die gesetzlich vorgegebenen sogenannten Benehmensherstellungsverfahren, so dass Änderungen noch möglich sind. Anschließend muss noch das Einvernehmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eingeholt werden, bevor die Vertreterversammlung die Richtlinie in der dann finalen Version beschließen kann.

Lassen Sie es mich deutlich sagen: Die uns vom Gesetzgeber auferlegte IT-Sicherheitsrichtlinie, die künftig für alle Leistungserbringer im Gesundheitswesen – mit Ausnahme der Krankenhäuser – verpflichtend ist, gehört sicher nicht zu unseren am meisten geliebten Kindern. Um an dieser Stelle aber Missverständnissen vorzubeugen, muss ich ergänzen, dass sich die KZBV mit Nachdruck für entsprechend hohe Datenschutzstandards im Zuge der Digitalisierung des Gesundheitswesens einsetzt. Das bedeutet, dass wir für die Datensicherheit in unseren Praxen die Verantwortung tragen. Dieser Verantwortung stellen wir uns. Das heißt aber auch, dass die gesetzlichen Vorgaben für die Zahnarztpraxen mit vernünftigem und vertretbarem Aufwand umsetzbar sein müssen.

Diese Prämisse war im Prozess der Richtlinienerstellung für uns maßgeblich – das galt insbesondere in der Abstimmung mit dem BSI. Die IT-Sicherheitsrichtlinie muss sich aufgrund der gesetzlichen Verpflichtung, diese im Einvernehmen mit dem BSI zu erstellen, am sogenannten IT-Grundschutz orientieren. Die Vorgaben des IT-Grundschutzes werden in einem jährlich aktualisierten IT-Grundschutz-Kompendium aufgeführt, das in der aktuellen Version einen Umfang von sage und schreibe 816 Seiten hat und dabei viele für die Umsetzung in den Zahnarztpraxen unnötige Vorgaben enthält. Die Hauptaufgabe der KZBV war somit aus unserer Sicht, diese Anforderungen auf das tatsächlich notwendige Minimum zu reduzieren.

Das haben wir dadurch erreicht, dass ein IT-Grundschutz-Profil („IT-Grundschutz-Profil für Praxen der vertragsärztlichen und vertragszahnärztlichen Versorgung“) entwickelt wurde, das nur noch die verpflichtend umzusetzenden Sicherheitsanforderungen speziell angepasst für Arzt- und Zahnarztpraxen mit zwei Szenarien enthält, nämlich: kleine (< 20 Mitarbeiter) und große Praxis.

Neben der IT-Sicherheitsrichtlinie wird in enger Abstimmung zwischen dem BSI, der KZBV und der KBV der sogenannte „Praxis-Guide“ erstellt, der den Zahnarzt- und Arztpraxen Ziel und Inhalt der Richtlinie allgemeinverständlich erläutern soll. Dieses Dokument gehört nicht zum verbindlichen Teil der Richtlinie. Der „Praxis-Guide“ soll durch Praxistipps und enthaltene Beispieldokumente, die hauptsächlich von KZBV und KBV erstellt werden, den Praxen eine möglichst weitreichende Unterstützung bei der Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie bieten. Er wird daher besonders für Praxen, die keinen (zertifizierten) Dienstleister beauftragen wollen, interessant sein. An dieser Stelle möchte ich betonen, dass die Beauftragung eines Dienstleisters in den allermeisten Fällen überflüssig sein wird. Verpflichtende Audits konnten wir zum Glück verhindern. Der „Praxis-Guide“ soll bis zum 15. August fertiggestellt werden. Vorgesehen ist, dass er auch durch die KZVen genutzt und den Mitgliedern als Download zur Verfügung gestellt werden kann.

Unser erklärtes Ziel ist es, die KZVen in die Lage zu versetzen, die Zahnarztpraxen bei der Umsetzung der IT-Sicherheitsrichtlinie bestmöglich unterstützen zu können. Hier möchte ich hervorheben, dass schon heute viele Praxen einen Großteil der künftigen Auflagen umgesetzt haben (Stichwort DSGVO), so dass sie keine Bedenken vor einem allzu großen Aufwand haben müssen. Und in der Startphase wird sicherlich auch noch nicht alles so heiß gegessen, wie es gekocht wurde. Insgesamt haben wir im Prozess der Richtlinienerstellung viel im Sinne der Zahnärztinnen und Zahnärzte erreicht und wir lassen die Praxen mit dieser vom Gesetzgeber vorgeschriebenen Aufgabe auch künftig nicht alleine.

Dr. Karl-Georg Pochhammer

Stellvertretender Vorsitzender des Vorstands der KZBV