Kassenzahnärztliche Bundesvereinigung

Das Wichtigste zur neuen IT-Sicherheitsrichtlinie

Die neue IT-Sicherheitsrichtlinie ist am 2. Februar in Kraft getreten. Ziel ist es, Gesundheitsdaten in der Vertragszahnarztpraxis und die Praxis-IT selbst mittels klarer Vorgaben künftig noch besser zu schützen. Nachfolgend finden Sie zusammengefasst die Antworten der Kassenzahnärztlichen Bundesvereinigung (KZBV) auf die wichtigsten Fragen rund um die IT-Sicherheitsrichtlinie.

AdobeStock_ fandijki

Welchen Zweck erfüllt die IT-Sicherheitsrichtlinie?
Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ soll Vertragszahnärztinnen und -zahnärzte sowie Vertragsärztinnen und -ärzte bei der Umsetzung der IT-Sicherheit in ihren Praxen unterstützen.

Was ist die Rechtsgrundlage?
Die KZBV und die Kassenärztliche Bundesvereinigung (KBV) sind nach § 75b Abs. 1 Satz 1 SGB V gesetzlich verpflichtet eine „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ zu erstellen.

Gilt die Sicherheitsrichtlinie für alle Praxen unabhängig von Struktur und Größe?
Die Anforderungen, die verbindlich umgesetzt werden müssen, richten sich zunächst stufenweise nach der Größe der Praxis. Berücksichtigt werden dabei die Anzahl der ständig mit der Datenverarbeitung betrauten Personen sowie Umfang und Komplexität der Praxisausstattung.

Was heißt „ständig mit der Datenverarbeitung betrauten Personen“?
Diese Beschreibung stammt aus dem Datenschutzrecht und definiert die Notwendigkeit, einen betrieblichen Datenschutzbeauftragten verbindlich zu bestellen. Dabei müssen Voll- und Teilzeitbeschäftigte gezählt werden, die regelmäßig – unabhängig von tatsächlicher Zeit und Umfang – Daten verarbeiten. In der Regel zählen somit alle Mitglieder eines Praxisteams sowie die Praxisinhaberin oder der Praxisinhaber dazu, die mit dem Praxisverwaltungssystem (PVS) arbeiten, aber etwa auch mit der Lohnbuchhaltung beschäftigt sind.
Hinzugerechnet werden auch Mitarbeiterinnen und Mitarbeiter eines hauseigenen zahntechnischen Labors.

Ausgenommen sind dagegen zum Beispiel Reinigungskräfte oder sonstige Mitarbeiter, die keinen Zugang zu datenverarbeitenden Systemen der Praxis haben oder die Service-Technik, die dort lediglich sporadisch im Auftrag der Praxis arbeitet.

Mehr auf ZM-Online

Die IT-Sicherheitsrichtlinie ...
im Wortlaut finden Sie in der zm 3/2021, S. 86–92, oder über den folgenden Link.

Was regelt die Sicherheitsrichtlinie?
Die Sicherheitsrichtlinie legt die relevanten sicherheitstechnischen Anforderungen für verschiedene Bereiche der Praxis-IT fest und beschreibt damit das Mindestmaß der Maßnahmen, die in der vertragszahnärztlichen Praxis ergriffen werden müssen. Sie adressiert die Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ der IT-Systeme in der vertragszahnärztlichen Praxis. Mit der Umsetzung der Anforderungen werden die Risiken der IT-Nutzung minimiert und die IT-Sicherheit insgesamt wird erhöht.

Was regelt die Zertifizierungsrichtlinie?
Auf Grundlage der Zertifizierungsrichtlinie können Anbieter von IT-Dienstleistungen ein Zertifikat erwerben, das bei Zahnärztinnen und Zahnärzten sowie niedergelassenen Ärztinnen und Ärzten die nötige Sachkunde dokumentiert, um entsprechende Dienstleistungen für die Umsetzung der IT-Sicherheit in den Praxen erbringen zu dürfen. Zertifizierungen auf Basis der Richtlinie werden durch die KBV angeboten und sind sowohl in der ärztlichen und als auch in der zahnärztlichen Versorgung anerkannt.

Müssen zur Umsetzung „zertifizierte Dienstleister“ beauftragt werden?
Nein, es müssen keine zertifizierten Dienstleister beauftragt werden. Wer die Maßnahmen in der Praxis konkret umsetzt, ist rechtlich nicht vorgegeben. Die zertifizierten Dienstleister sind lediglich als Angebot zu verstehen, um die Praxen zu unterstützen, die die Umsetzung nicht selbst vornehmen wollen oder dabei die Unterstützung erfahrener Fachkräfte nutzen möchten.

Sind Kontrollen – Audits oder Praxisbegehungen – vorgesehen?
Nein, aktuell sind keine Kontrollen in Praxen zur Überprüfung der IT-Sicherheit oder der Umsetzung der Sicherheitsrichtlinie nach § 75b SGB V vorgesehen.

Mit welchem Aufwand bei der Umsetzung müssen Zahnarztpraxen rechnen?
Die IT-Sicherheitsrichtlinie regelt weitestgehend das, was den Praxen auf Grundlage bisheriger Bestimmungen in der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) bereits vorgeschrieben wird. Der zusätzliche Aufwand zur Erfüllung der Vorgaben der IT-Sicherheitsrichtlinie dürfte für die meisten Praxen somit vergleichsweise gering sein. Da Ausstattung und bisheriger Stand der IT-Sicherheit in einer Praxis jedoch nicht pauschal beurteilt werden können, lässt sich der individuelle Aufwand, der sich in Einzelfällen ergeben kann, nicht allgemeingültig benennen.

Gibt es Fortbildungen zur Umsetzung?
Um alle Zahnärztinnen und Zahnärzte auf die Regelungen der IT-Sicherheitsrichtlinie hinreichend vorzubereiten, planen viele Kassenzahnärztliche Vereinigungen der Länder (KZVen) spezielle Fortbildungsveranstaltungen. Dabei können Zahnärztinnen und Zahnärzte erfahren, was mit Blick auf die IT-Sicherheit in der Praxis genau beachtet oder noch angepasst werden muss, um mit den Inhalten der IT-Sicherheitsrichtlinie konform zu gehen. Bitte wenden Sie sich für weitere Informationen zu konkreten Fortbildungsangeboten direkt an Ihre jeweilige KZV.

 Ab wann ist die Sicherheitsrichtlinie für Praxen verbindlich?
Die aktuelle Fassung der IT-Sicherheitsrichtlinie ist am 2. Februar 2021 in Kraft getreten. Für die Geltung der verschiedenen Anforderungen definiert die Richtlinie unterschiedliche Umsetzungszeiträume (1. April 2021 bis 1. Juli 2022), die den Zahnarztpraxen vorgibt, bis wann welche Anforderungen erreicht werden müssen.

Wer in der Praxis trägt die verantwortung für die Datensicherheit?
Die Verantwortung für die Datensicherheit der Praxis-IT liegt zunächst beim Praxisinhaber, das gilt auch für den Internetanschluss. Dass die Telematikinfrastruktur (TI) hinter dem Konnektor sicher ist, dafür sind Hersteller und gematik verantwortlich. In diesem Bereich hat der Gesetzgeber zuletzt im Patientendatenschutzgesetz (PDSG) klarere Bestimmungen zur Haftung in Bezug auf Datensicherheit und Datenschutz vorgesehen. Zahnärztinnen und Zahnärzte sind demnach für die bestimmungsgemäße Nutzung und Betrieb des Konnektors „im Rahmen des Beherrschbaren“ zuständig, nicht aber für die Nutzung dezentraler TI-Komponenten oder der von der gematik spezifizierten Anwendungen in der TI. Diese Verantwortung kann sich immer nur in der Praxis maximal bis vor den Konnektor selbst erstrecken – und nicht darüber hinaus.

Welchen Stellenwert haben Datenschutz und -sicherheit?
Ein grundlegender Anspruch der Vertragszahnärzteschaft an digitale Strukturen lautet: Das höchste Gut ist das Vertrauen der Patientinnen und Patienten. Aus diesem Grund müssen Datenschutz und Datensicherheit ohne Abstriche jederzeit gewährleistet und die informationelle Selbstbestimmung der Patienten gewahrt sein. Das Zahnarzt-Patienten-Verhältnis muss auch in einer digitalen Welt im Vordergrund stehen und vollumfänglich geschützt bleiben. Zahnärztinnen und Zahnärzte bleiben zuallererst ihren Patienten verpflichtet, deren Daten müssen geschützt sein. Gleichzeitig sind Datenschutz und Datensicherheit auch als Investitionsschutz für die Zahnarztpraxis zu sehen. Ein Verlust aller Daten der Praxis würde enorme finanzielle und zeitliche Aufwände mit sich bringen.

Welche Sanktionen gibt es, wenn Vorgaben nicht eingehalten werden?
Das Digitale Versorgung-Gesetz (DVG), mit dem die IT-Sicherheitsrichtlinie eingeführt wurde (§ 75 SGB V), sieht derzeit keine eigenen Sanktionen vor. Das bedeutet jedoch nicht, dass diese Vorgaben nicht eingehalten werden müssen. Die Richtlinie definiert Maßnahmen, die die Einhaltung der verschiedenen rechtlichen Vorgaben unterstützen. Gerade die DSGVO hat den Behörden die Möglichkeit gegeben, hohe Strafen durchzusetzen und auch im Straf- und Berufsrecht sind entsprechende Sanktionen vorgesehen.

Gibt es eine Anleitung für die Praxen zur Überprüfung?
Ja, Sie finden demnächst auf der KZBV-Website den begleitenden und inhaltlich an die neuen Vorgaben angepassten zahnarztspezifischen Leitfaden „Datenschutz und Datensicherheit“, der gemeinsam von KZBV und Bundeszahnärztekammer (BZÄK) herausgegeben wird. Der Leitfaden informiert kompakt über alle relevanten Aspekte der IT-Sicherheit, jetzt auch unter besonderer Berücksichtigung der neuen Richtlinie. Zudem hilft er Zahnärztinnen und Zahnärzten, in Eigenregie die Praxisinfrastruktur einem ersten „Check“ zu unterziehen und unterstützt sie bei der Auswahl geeigneter Maßnahmen. Die Informationen der KZBV zur IT-Sicherheitsrichtlinie werden fortlaufend aktualisiert und erweitert.

41147934083835408383640838374110089 4110090 4083838
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare