solutio GmbH & Co. KG

Die IT-Sicherheitsrichtlinie nach § 75b SGB V

Mit dem Digitale-Versorgung-Gesetz (DVG) hat die Legislative die KZBV beauftragt, die IT-Sicherheitsanforderungen für Zahnarztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen.

Legislative beauftragt die KZBV

Die Bundesregierung treibt die Digitalisierung im Gesundheitswesen voran. Sie legt damit die Anforderungen an und Konkretisierungen für die digitale Zukunft in der Zahnarztpraxis fest. Mit dem Digitale-Versorgung-Gesetz (DVG) hat die Legislative die KZBV beauftragt, die IT-Sicherheitsanforderungen für Zahnarztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen.

Was bedeutet IT-Sicherheit?

IT-Sicherheit beschreibt die Eigenschaft eines Systems der Informationstechnik im Hinblick auf Schutz vor Gefahren, Bedrohungen und Vermeidung wirtschaftlicher Schäden sowie Minimierung von Risiken in Zusammenhang mit der technischen Verarbeitung und Übertragung von Informationen. IT-Sicherheit besteht aus zwei Bereichen: der Funktionssicherheit und der Informationssicherheit.

Die Funktionssicherheit gewährleistet, dass sich ein System konform zur erwarteten Funktionalität verhält. Es funktioniert so, wie es soll. Die Informationssicherheit bezieht sich auf den Schutz der technischen Verarbeitung von Informationen. Sie soll verhindern, dass eine nicht gewollte Manipulation von Daten stattfindet oder ungewollte Weitergabe von Informationen erfolgt.

Informationen bzw. Daten sind schützenswerte Güter. Der Zugriff auf diese sollte beschränkt und kontrolliert stattfinden. Nur autorisierte Benutzer dürfen auf Informationen zugreifen. Ziele der IT-Sicherheit sind daher die Vertraulichkeit (Zugriff nur für autorisierte Benutzer), die Integrität (Nachvollziehbarkeit von Änderungen) und die Verfügbarkeit (Sicherstellung des Zugriffs) von Informationen der Systeme.

IT-Sicherheitsrichtlinie gemäß § 75b SGB V

Oftmals ist es schwierig, die vollständige Intention eines Gesetzes zu interpretieren, um daraus die notwendigen Aktivitäten abzuleiten. Es bedarf einer Abwägung verschiedener Handlungsalternativen im Spannungsfeld zwischen dem Einsatz minimaler Mittel und dem maximal Möglichen zur Erfüllung der gesetzlichen Vorgaben. Eine Richtlinie enthält Handlungs- und Ausführungsvorschriften und konkretisiert damit die für die Erfüllung des Gesetzes notwendigen Aktivitäten. Sie beseitigt die Unsicherheit aus dem vorgenannten Spannungsfeld. Eine Richtlinie ist kein Gesetz.

Die IT-Sicherheitsrichtlinie füllt die Schutzziele VertraulichkeitIntegrität und Verfügbarkeit der IT-Systeme für die vertragszahnärztliche Praxis mit konkreten Inhalten. Darüber hinaus benennt sie die notwendigen Aktivitäten der IT-Dienstleister zur Erfüllung der IT-Sicherheit im Rahmen des Artikels 32 der Datenschutz-Grundverordnung (DSGVO).

In einem 85-seitigen Leitfaden „Datenschutz & IT-Sicherheit in der Zahnarztpraxis“ der KZBV werden ausgehend von den Grundsätzen beim Einsatz von EDV in der Praxis, über den Einsatz mobiler Endgeräte und Paxissoftware, über Online-Anwendungen bis hin zum Datenschutz in der Zahnarztpraxis sämtliche relevanten Themenfelder zum Datenschutz und der IT-Sicherheit beleuchtet. Zahlreiche Praxistipps zur aufwandsarmen und praxisnahen Umsetzung runden den Leitfaden ab.

Auswirkungen auf die Praxis

Die Auswirkungen auf die Praxis sind nicht unerheblich. Zum Schutz personenbezogener Daten dürfen beispielsweise ausschließlich Internet-Anwendungen eingesetzt werden, die einen authentifizierten Zugang aufweisen. Ebenso schreibt die Richtlinie den Einsatz von Firewalls und Virenschutzprogrammen sowie deren regelmäßige Updates vor.

Teil der Richtlinie ist ebenso die Einteilung der Zahnarztpraxen in drei Größenklassen:

  • Praxen mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen
  • Mittlere Praxen mit sechs bis 20 ständig mit der Datenverarbeitung betrauten Personen
  • Große Praxen mit mehr als 20 ständig mit der Datenverarbeitung betrauten Personen

Für die jeweilige Größenklasse sind gesonderte Vorgaben der IT-Sicherheit zu erfüllen. Nachfolgendes Beispiel zeigt die größenabhängigen Vorgaben: Bei einer kleinen Praxis sollen (!) mobile Endgeräte mit den verfügbaren Sicherheitseinstellungen genutzt werden. Für mittlere Praxen wird eine zusätzliche Verschlüsselung der für eine Datenübertragung genutzten Geräte verlangt. Große Praxen müssen zudem in einem schriftlichen Berechtigungskonzept festlegen, welche Daten mit mobilen Endgeräten verarbeitet werden dürfen.

Auswirkungen auf den Einsatz von PVS-Systemen

Die IT-Sicherheitsrichtlinie widmet sich auch dem Einsatz von PVS-Systemen. So dürfen beispielsweise ausschließlich Praxisverwaltungssysteme für die Abrechnung verwendet werden, die die Eignungsfeststellung der Prüfstelle der KZBV erhalten haben. Bei der Neuanschaffung eines PVS-Systems verlangt die Richtlinie zudem eine kritische Prüfung des Programms in puncto Datenschutz und Datensicherheit sowie eine angemessene Berücksichtigung der Organisationsform der Praxis.

Umsetzung der IT-Sicherheitsrichtlinie in charly

Die konkreten Handlungsempfehlungen aus der IT-Sicherheitsrichtlinie betreffen auch unmittelbar die Einstellungen zur Telematikinfrastruktur in charly.

Mit der Aktivierung der zusätzlichen Lizenz im Bereich der Dienste für „E-Health (Anbindung Telematikinfrastruktur)“ ist unter Stammdaten/Sonstiges/Einstellungen im Rahmen der verschlüsselten Kommunikation die Zugriffsart „TLS mit Zertifikatsprüfung“ zu wählen. Im Unterpunkt Authentifizierung muss die Einstellung der Zugriffsart entweder auf „TLS mit Basic Authentifizierung“ oder aber auf dem Wert „TLS mit Zertifikatsprüfung“ stehen.

Ausblick

Der KZBV wurde seitens des Gesetzgebers der Auftrag zugewiesen, gemäß dem jeweiligen Stand der Technik die Anforderungen zur Gewährleistung der IT-Sicherheit zu konkretisieren. Die Richtlinie erfüllt somit den Zweck, das Vorgehen zur Erfüllung der gesetzlichen Vorgaben für vertragszahnärtzliche Praxen zu vereinheitlichen. Sie ist somit immer Spiegelbild des jeweiligen Bedrohungspotentials bzw. der technischen Schutzmöglichkeiten und unterliegt einem permanenten Wandel, u. a. bedingt durch den technischen Fortschritt. Es ist daher von der KZBV nur konsequent, die erstmalig Anfang 2021 veröffentliche IT-Sicherheitsrichtlinie einer ständigen Überprüfung und einer regelmäßigen Anpassung zu unterziehen.

Links

Weitere Beiträge