Um Praxen besser vor Cyberangriffen und Datenschutzverstößen, vor allem im Hinblick auf Patientendaten, zu schützen, verpflichtet die neue Richtlinie zu einer stärkeren Absicherung ihrer IT-Systeme. Sie bringt neue Anforderungen in Bereichen wie Netzwerksicherheit, Datenschutz und IT-Management und ersetzt die bisherige Version aus dem Jahr 2020. Die neuen Anforderungen treten unmittelbar in Kraft. Lediglich einzelne Vorgaben haben eine Übergangsfrist von sechs Monaten.
Künftige Anforderungen an Praxen
Alle Komponenten der Telematikinfrastruktur (TI), wie der Konnektor und das Kartenlesegerät, müssen den vorgegebenen Sicherheitsstandards entsprechen und sicher betrieben werden.
Ebenso sind regelmäßige Updates und Patches für Betriebssysteme und Softwareanwendungen verpflichtend, um Sicherheitslücken zu schließen. Der Einsatz veralteter Systeme, wie etwa Windows 7, ist strikt untersagt. Diese müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden. Zusätzlich gibt es spezifische Anforderungen, die im Anhang der Richtlinie beschrieben werden. So dürfen Patientendaten nur verschlüsselt per E-Mail verschickt werden.
Für die physische Sicherheit müssen zentrale IT-Komponenten, etwa Server, in abschließbaren Räumen aufbewahrt werden, die nur autorisiertem Personal zugänglich sind. Auch bei der Installation von Software gilt Vorsicht: Es dürfen ausschließlich geprüfte und freigegebene Programme verwendet werden, private Softwareinstallationen auf Praxisrechnern sind nicht erlaubt.
Drei Kategorien für Praxen
Die Anforderungen sind nach Praxisgrößen gestaffelt. Der Entwurf unterscheidet dabei zwischen drei Praxisgrößen:
- Kleine Praxen (bis zu fünf Personen mit Datenzugriff) müssen grundlegende Schutzmaßnahmen umsetzen.
- Mittlere Praxen (6 bis 20 Personen mit Datenzugriff) unterliegen erweiterten Anforderungen.
- Große Praxen oder Praxen mit erheblicher Datenverarbeitung (mehr als 20 Personen oder große MVZs/Laborstrukturen) müssen höchste Sicherheitsstandards erfüllen.
Richtlinien im Überblick
Für alle Praxen gelten folgende Maßnahmen:
- Verpflichtende IT-Sicherheitsmaßnahmen: Jede Praxis muss technische Vorkehrungen zur Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten treffen. Dazu zählen Firewall-Schutz, Zugriffskontrollen und regelmäßige Software-Updates.
- Schulungspflicht für Mitarbeitende: Alle Mitarbeitenden müssen in den sicheren Umgang mit IT-Systemen eingewiesen werden, insbesondere im Schutz vor Phishing-Angriffen und anderen Cyberbedrohungen.
- Verpflichtende Datensicherung: Praxen müssen regelmäßige Backups anfertigen und diese sicher aufbewahren. Die Funktionsfähigkeit der Sicherungen muss regelmäßig überprüft werden.
- Striktere Netzwerksicherheit: Der Internetzugang der Praxis muss durch eine Firewall geschützt sein, und nur notwendige Verbindungen dürfen zugelassen werden.
- Umgang mit mobilen Endgeräten: Mobiltelefone und Tablets, die dienstlich genutzt werden, müssen durch Passwörter oder PINs gesichert sein und dürfen nur notwendige Daten speichern.
- Einsatz von Cloud-Diensten: Cloud-Anwendungen dürfen nur genutzt werden, wenn der Anbieter über eine Zertifizierung nach § 393 SGB V verfügt. Zudem scheibt die Richtlinie vor, die Synchronisierung von Nutzerdaten mit Microsoft-Cloud- Diensten zu deaktivieren.
Für mittlere und große Praxen gelten unter anderem folgende zusätzliche Anforderungen:
- Logging & Alarmierung: Große Praxen müssen sicherstellen, dass sicherheitsrelevante Ereignisse automatisch protokolliert und analysiert werden.
- Verschlüsselungspflicht: Wechseldatenträger wie USB-Sticks müssen vollständig verschlüsselt sein.
- Regelungen für mobile Endgeräte: Praxen müssen Richtlinien für die Nutzung von Smartphones und Tablets festlegen.
- Erhöhte Sicherheitsstandards für E-Mail-Server: Mail-Server müssen mit Schutzmechanismen gegen Spam und Viren ausgestattet sein.
Die vorgenannten neuen Anforderungen treten unmittelbar in Kraft.
Einzelne Vorgaben haben eine Übergangsfrist von sechs Monaten.
Dazu zählen unter anderem:
- Personalmanagement: Regelungen zur Einarbeitung neuer Mitarbeitender, Sensibilisierung zur Informationssicherheit und Festlegung von Zuständigkeiten.
- Patch- und Änderungsmanagement: Vorgaben zur Installation von Updates, Verantwortlichkeiten für Updates sowie der Umgang mit nicht mehr aktualisierbarer Hard- und Software.
- Endgeräte: Schutzmaßnahmen für E-Mail-Clients und -Server, der Umgang mit Cloud-Anwendungen und der gehostete Konnektor sowie das TI-Gateway.
Diese Anforderungen treten erst sechs Monate nach Veröffentlichung der Richtlinie in Kraft, um den betroffenen Praxen ausreichend Zeit zur Implementierung zu geben. Die Übergangsfristlaut soll laut KBV sicherstellen, „dass die notwendigen technischen und organisatorischen Anpassungen ohne übermäßige Belastung für die Praxen erfolgen können.“
BvDU-Position
Es ist gut und notwendig, in Zeiten zunehmender Cyberattacken Sicherheitsrichtlinien umzusetzen, für kleine, wie auch für große Praxen.
Die Zeit, die die Umsetzung der neuen Richtlinie beansprucht, bindet jedoch auf’s Neue wertvolle Zeit der Ärztinnen und Ärzte und des medizinischen Fachpersonals, die in der Zeit am Patienten fehlt. Die Realisierung der IT-Richtlinien in den Praxen neben der geplanten Einführung der ePA, ist für viele Praxen kaum mehr leistbar. Darüber hinaus können durch Investitionen in Schulung und Technik hohe Kosten entstehen, die erneut durch die Praxis selbst gestemmt werden müssen.
Damit sich Praxen die erforderlichen Maßnahmen für die geforderte Gewährleistung der IT-Sicherheit überhaupt noch leisten können, ist es umso dringlicher, Ärztinnen und Ärzte leistungsgerecht zu honorieren. Es muss eine echte Entbudgetierung auch für die weitere Fachärzteschaft kommen, um Praxen noch wirtschaftlich betreiben zu können.
Quellen: Kassenärztliche Bundesvereinigung (KBV), Ärztenachrichtendienst (änd), BvDU
