IT-Sicherheit in vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen

Am 23. Januar 2021 trat die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) in Kraft, welche für alle vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen verbindlich gilt.

Nach langen Verhandlungen hat die Delegiertenversammlung der KBV und der KZBV auf ihrer letzten Sitzung im Jahr 2020 eine verbindliche Richtlinie mit Anforderungen zur Gewährleistung der IT-Sicherheit in vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen entsprechend aktuellem Stand der Technik verabschiedet und damit ihren gesetzlichen Auftrag nach § 75b SGB V erfüllt.

Bei der Erstellung der eigentlich bereits bis zum 30. Juni 2020 festzulegenden Richtlinie war es während der Sommermonate zu Verzögerungen bei der Verabschiedung gekommen. Erst am 15. Dezember 2020 konnte nun eine im Vergleich zur ursprünglichen Fassung deutlich abgeschwächte Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit verabschiedet werden.

Der Status quo und Zweck der Richtlinie

Mit dem üblichen Besuch beim Arzt oder Therapeuten verbinden die wenigsten Patienten Themen wie Datenschutz und IT-Sicherheit. Die Klebezettel liegen auf dem Tresen, jeweils direkt neben den zugehörigen Patientenakten. Das Rezept „summt“ aus dem Nadeldrucker und die Abrechnung an die Kassenärztliche Vereinigung oder den Patienten wird mit Hard- und Software aus längst vergangenen Zeiten erstellt. Moderne IT sucht man lieber anderenorts. So sieht der Alltag in vielen Arztpraxen aus.

Gleichzeitig ist die Digitalisierung im Gesundheitswesen im vollen Gange. Große Treiber hierfür sind die elektronische Patientenakte, die Telematikinfrastruktur, die Videosprechstunde und eine Vielzahl an innovativen Gesundheits-Apps, welche dem Digitale-Versorgung-Gesetz (DVG) des Bundesministeriums für Gesundheit zugrunde liegen. Ebenso rückten mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 besondere Kategorien von personenbezogenen Daten – in diesem Kontext „Gesundheitsdaten“ – und ihre Sicherheit wieder in den Blickwinkel der breiteren Öffentlichkeit.

Vor diesem Hintergrund verfolgt die neue Richtlinie das Ziel, die technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO zu standardisieren und an den aktuellen Stand der Technik anzupassen. Sie dient damit dem Zweck, die Handhabung der Vorgaben der EU-DSGVO im Zusammenhang mit der elektronischen Datenverarbeitung für die vertragsärztliche Praxis zu vereinheitlichen und zu erleichtern.

Die Inhalte der Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit

Die Richtlinie beschreibt zu ergreifende Mindestmaßnahmen, um IT-Risiken im Umgang mit Gesundheitsdaten zu minimieren. Verantwortlich für die Einhaltung ist der Praxisinhaber, der die Umsetzung an Dienstleister herausgeben oder das Risiko teilweise an Versicherungen übertragen kann.

Die Anforderungen richten sich hierbei nach der Anzahl der mit der ständigen Datenverarbeitung betrauten Personen. Hierbei werden Praxen je nach Größe in drei Gruppen unterteilt:

  1. Praxis: bis zu fünf mit der ständigen Datenverarbeitung betraute Personen
  2. Mittlere Praxis: sechs bis 20 mit der ständigen Datenverarbeitung betraute Personen
  3. Großpraxis: über 20 mit der ständigen Datenverarbeitung betraute Personen

In Summe umfasst die Richtlinie fünf Anlagen mit Anforderungen, welche je nach Größe und dem entsprechenden Einsatz von medizinischen Großgeräten, wie CT oder MRT, und für dezentrale Komponenten der Telematikinfrastruktur kumulativ umzusetzen sind.

Eine Gesamtanzahl von 70 Anforderungen aus den fünf Anlagen sind über 12 Domains aufgeteilt:

Einige der Anforderungen müssen bereits zum 1. April 2021 umgesetzt werden, andere sukzessive bis Mitte 2022. Des Weiteren sind die Praxen verpflichtet, im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) die anwendbaren Anforderungen regelmäßig zu evaluieren und entsprechend der Informationssicherheitslage Anpassungen vorzunehmen oder weitere Maßnahmen umzusetzen.

Unser Angebot – Ihr Vorteil

Unser interdisziplinäres Mazars-Team aus IT-Sicherheits- und -Rechtsexperten kann Sie ganzheitlich, praxisnah und pragmatisch unterstützen.

  1. Bei der ersten Gap-Analyse zu den anwendbaren Anforderungen werden unsere erfahrenen IT-Experten die für Ihre Praxis relevanten Anforderungen identifizieren und technisch-organisatorische Voraussetzungen für deren Umsetzbarkeit schaffen.
  2. Daraufhin unterstützen unsere IT- und Rechtsberater Sie und Ihre Mitarbeiter bei der rechtlichen, technischen und operativen Umsetzung der Anforderungen. Dabei erarbeiten wir möglichst pragmatische, unaufwendige und für die Belange Ihrer Praxis maßgeschneiderte Lösungen, sodass zukünftige Betriebskosten minimiert werden.
  3. Schließlich bereiten wir die IT-technischen Geräte und das Personal auf die bevorstehende Zertifizierungsprüfung vor. Auf Ihren Wunsch hin übernehmen unsere erfahrenen IT-Auditoren die Kommunikation mit dem Prüfer und begleiten Ihre Praxis bis zur erfolgreichen Zertifizierung.

Haben Sie Fragen oder weiteren Informationsbedarf?

1 Pflichtfelder

Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für die Zuordnung für eventuelle Rückfragen gespeichert werden. Ich habe die Erklärung zum Datenschutz gelesen und akzeptiere diese.

               

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 1-2021. Die gesamte Ausgabe finden Sie hier . Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.