IT-Sicherheitsrichtlinie nach § 75b

Eine echte Umsetzungshilfe

Ende September tritt voraussichtlich die neue IT-Sicherheitsrichtlinie in Kraft. Schon im Vorfeld kursierten Gerüchte über die damit vermeintlich einsetzenden „verschärften Bestimmungen“, über „noch mehr Bürokratie“ und „kosten- und zeitintensive Aufwände“. Alles falsch. Richtig ist: Die Datenschutz-Grundverordnung (DSGVO) hat festgelegt, DASS die Praxen für die Sicherheit der Patientendaten sorgen müssen. Die IT-Sicherheitsrichtlinie gibt nun endlich Hilfestellung WIE.

AdobeStock_momius

Seit Jahren veröffentlichen die Kassenzahnärztliche Bundesvereinigung (KZBV) und die Bundeszahnärztekammer (BZÄK) auf ihren Webseiten einen regelmäßig aktualisierten Leitfaden zu Datenschutz- und Datensicherheit, um die Praxen zu informieren, was sie über eine zeitgemäße IT-Sicherheit wissen müssen. Für eine neue IT-Sicherheitsrichtlinie bestand daher aus Sicht der KZBV keine Notwendigkeit. Der Gesetzgeber sah das anders – und angesichts dieser Vorgabe gibt es jetzt die Möglichkeit, die Anforderungen dafür mitzugestalten. Denn wer, wenn nicht die Zahnärzteschaft selber, könnte die Praxisabläufe und die technische Ausstattung der Zahnarztpraxen besser beurteilen? Ein Diktat des Gesetzgebers aus Berlin zu riskieren, das wäre keine Alternative gewesen. BMG und BSI sind hier Theoretiker, die die Arbeit und die Praxisabläufe überhaupt nicht kennen. Am Ende ist die IT-Sicherheitsrichtlinie für Zahnarztpraxen verbindlich.

Schon im Vorfeld wurden viele falsche Informationen über die besagte Richtlinie gestreut: Die Anforderungen würden sich verschärfen, die Aufwände zeitlich und finanziell durch die Decke schießen. Tatsächlich regelt das Bundesdatenschutzgesetz (BDSG) seit 1977 (!) den Umgang mit personenbezogenen Daten, und seit Mai 2018 schützt die Datenschutz-Grundverordnung (DSGVO) natürliche Personen hinsichtlich der Verarbeitung ihrer Daten. Schon heute verlangt die DSGVO, dass Patientendaten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen geschützt werden. Dazu zählen etwa das Abschließen von Karteikartenschränken, ein PVS-Passwortschutz oder auch regelmäßige Back-ups.

Es kommen keine neuen Auflagen

Jedem Praxisinhaber ist bekannt, dass ein Datenverlust vertraulicher Patienten- und Medizindokumente fatale Folgen hat. Einerseits ist das Vertrauen in die Praxis erschüttert, andererseits ist die Datenschutzaufsicht über die Datenschutzverletzung zu benachrichtigen. Wenn es ganz dick kommt, muss in der Zeitung eine Bekanntmachung über den „Datenskandal“ veröffentlicht werden. Zu guter Letzt kann noch eine hohe Strafe auf den Praxisbetreiber zukommen. Exakt an dieser Stelle knüpft die Richtlinie an.

Denn während die DSGVO ausführt, DASS alles sicher sein muss, liefert die IT-Sicherheitsrichtlinie nun die konkrete Hilfestellung WIE. Praxen, die bereits auf dem Stand der Technik sind und die Maßnahmen zum Datenschutz berücksichtigen, müssen keine maßgeblichen weiteren Verpflichtungen durch die IT-Sicherheitsrichtlinie befürchten. Generell enthält die IT-Sicherheitsrichtlinie keine neuen Auflagen, sondern beschreibt Maßnahmen zur Umsetzung der bestehenden Vorgaben.

Die TI ist schuld. Diese Behauptung wird in der Öffentlichkeit gerne angeführt. Richtig ist, dass die Anbindung der Praxis an die TI in der IT-Sicherheitsrichtlinie behandelt wird, da es sich um einen Teil der Praxis-IT handelt. Aber auch reine Offline-Praxen mit Karteikartensystemen und nur einem Praxiscomputer mussten bisher schon die Vorgaben der DSGVO umsetzen und tun damit gut daran, in gleicher Weise die kommende IT-Sicherheitsrichtlinie zu berücksichtigen. Die Gefährdung durch unbefugte Dateneinsicht, Manipulation und Zerstörung besteht auch innerhalb der Praxis beziehungsweise des Praxissystems, ein Internet-Zugang ist dafür nicht notwendig. Schon ein unbedacht angeschlossener USB-Stick, der vielleicht im Wartezimmer „aus Versehen“ liegen gelassen wurde, kann Schadsoftware in die Praxis bringen. Gerade bei „Offline-Praxen“ wird dem kaum ein aktueller Virenscanner entgegenwirken. Fakt ist, dass ein Konnektor – bei korrekter Installation und korrektem Betrieb – mehr Sicherheit als ein herkömmlicher Router bietet. De facto erhöht die Anbindung an die TI in der Regel die Sicherheit und verringert sie nicht.

Die TI erhöht die Sicherheit, sie verringert sie nicht

Am einfachsten wäre es gewesen, dass IT-Grundschutzkompendium des BSI, das allgemeine Vorgaben zur IT-Sicherheit enthält mit seinen 816 Seiten an die Praxen zu verteilen. Aber natürlich war das keine Option, weil es für die Anwendung in der Zahnarztpraxis viel zu überdimensioniert und zu unverständlich ist. KZBV, KBV und BSI haben deshalb ein an das Grundschutzkompendium angelehntes Profil erarbeitet, das die Anforderungen des BSI und des Gesetzgebers erfüllt, aber auf die Gegebenheiten in Arzt- und Zahnarztpraxen zugeschnitten ist. Zudem hat sich die KZBV dafür stark gemacht, dass die Zahnarztpraxen eine Art verständliches Handbuch – den Praxis-Guide – erhalten. Er enthält verknüpfte praktische Anleitungen, Ausfüllhilfen, Checklisten, Musterdokumente, Tipps und Tricks sowie Erklärvideos zur IT-Sicherheit.

Die IT-Sicherheitsrichtlinie enthält keine neuen Vorgaben, sondern beschreibt Maßnahmen zur Umsetzung der bestehenden Vorgaben!

Dr. Karl-Georg Pochhammer

stellvertretender KZBV-Vorsitzender

Ziel ist, die Praxis in die Lage zu versetzen, selbst einzuschätzen, ob und wie sie ihre IT-Sicherheit verbessern muss – und dafür eventuell externe Hilfe durch einen IT-Dienstleister benötigt. Sollte die Notwendigkeit bestehen, sich externe Hilfe in die Praxis zu holen, dann sollten Zahnärzte vorzugsweise einen zertifizierten Dienstleister auswählen, da dieser ganz sicher mit der Umsetzung der IT-Sicherheitsrichtlinie in Arzt- und Zahnarztpraxen vertraut ist. Eine Liste der zertifizierten Techniker wird die KZBV rechtzeitig auf ihrer Webseite veröffentlichen.

Die KZBV hat es geschafft, externe Audits – Praxisbegehungen – zu verhindern. Das bedeutet jedoch nicht, dass Maßnahmen zur Umsetzung der IT-Sicherheitsrichtlinie nun vernachlässigt werden können und keine Strafen bei Verletzung der DSGVO zu erwarten sind. Das Gegenteil ist der Fall. Bisher war es für die Praxen schwierig, zu entscheiden, mit welchen Maßnahmen sie dem gesetzlich geforderten Datenschutz gerecht werden – eine Lücke, die nun durch die IT-Sicherheitsrichtlinie geschlossen wird. Sollten nun Datenschutzverletzungen aufgedeckt werden und die betroffene Praxis hat nachweislich die IT-Sicherheitsrichtlinie mit den Hilfen aus dem Praxis-Guide umgesetzt, wird sich das deutlich zum Vorteil der Praxis auswirken.

Die Richtlinie darf kein Hexenwerk sein

Geplant ist, dass die IT-Sicherheitsrichtlinie im Herbst 2020 von der Vertreterversammlung der KZBV beschlossen werden kann und damit für die Zahnarztpraxen verbindlich sein wird. Die KZBV hat sich bewusst dafür entschieden, die IT-Sicherheitsrichtlinie aktiv mitzugestalten, um ein Signal an die Politik aber auch an die Kollegenschaft zu senden, dass der Schutz und die Sicherheit von Patientendaten und Medizindokumenten außerordentlich wichtig sind, aber auch im Verhältnis zu den Gegebenheiten in den Praxen stehen müssen. Außerdem darf die IT-Sicherheitsrichtlinie kein „Hexenwerk“ sein und muss von jeder Praxis nachvollziehbar und selbst umsetzbar sein.

Hintergrund: Der Gesetzgeber gibt vor, dass KBV und KZBV bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festlegen müssen. Wegen der Pandemie erhielten sie einen Fristaufschub. Die Ausarbeitung erfolgt zwischen KZBV, KBV und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft, Industrieverbänden aus dem Bereich Gesundheitswesen (wie dem Verband Deutscher Dental-Software Unternehmen) und der gematik.

43495674344188434418943441904349568 4349569 4344193
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare