IT-Sicherheitsrichtlinie nach § 75b SGB V: Umsetzung ab 1. April 2021 in allen Praxen
Die Kassenärztliche Bundesvereinigung (KBV) und die KZBV haben die Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung - kurz: IT-Sicherheitsrichtlinie - erlassen. Ziel der IT-Sicherheitsrichtlinie ist es, die IT-Systeme und damit sensible Daten in den Praxen noch besser zu schützen, indem klare Vorgaben zur sicheren Verwaltung von Patientendaten und zur Risikominimierung wie Datenverlust oder Betriebsausfall adressiert werden.
Je nach Dringlichkeit der Maßnahmen müssen diese ab dem 01.04.2021 umgesetzt werden.
Für welche Praxis gilt die IT-Sicherheitsrichtlinie?
Kurz gesagt: für jede Größe!
Im Detail wird nach der Anzahl der mit der Datenverarbeitung betrauten Personen unterteilt. Wobei diese mit der Anzahl der Mitarbeiter gleich zusetzen ist.
- Kleine Praxis: bis 5 Personen
- Mittlere Praxis: 6 bis 20 Personen
- Großpraxis: über 20 Personen
Je nach Einordnung müssen strengere Richtlinien umgesetzt werden. Diese können bei der KBV detailliert eingesehen werden.
Wer ist verantwortlich?
Praxisinhaber*in sind allein verantwortlich!
Der/die Praxisinhaber ist/ sind verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie sowie der DSGVO. Die Verantwortungen können nicht delegiert werden. Weder an einen Datenschutzbeauftragten noch an eine IT-Dienstleister. Deswegen ist ein Handeln unbedingt nötig!
Reichen nicht die Schutzmaßnahmen von Windows, MacOS, Android oder iOS?
Nein! Es müssen diverse Maßnahmen getroffen werden, wie z.B.
- Professionelle Firewall am Gateway/ Internetzugang
- Professioneller Virenschutz auf den PCs
- Absicherung von mobilen Geräten
- Verzicht auf Cloud-Speicherung
- Authentisierung bei Webanwendungen
- Schutz vertraulicher Daten
- Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
Was muss am Beispiel eine kleinen Praxis zwingend umgesetzt werden?
- Absicherung des Netzwerk mit einer UTM-Firewall an Gateway/ Internetzugang
- Trennung des Netzwerkes in sinnvolle Bereiche, z.B. PC/ Server, Drucker/ Telefone, Gäste-WLAN
- Auf jedem PC einen professionellen Virenschutz einsetzen
- Wenn mobile Geräte in Benutzung sind, müssen diese ebenfalls abgesichert werden
- Jeder Benutzer hat sein eigenes Passwort. Klare Trennung.
- Benutzer haben keinen Vollzugriff auf alle Daten, sondern nur auf benötigte Bereiche
- Regelmäßige doppelte Datensicherung. Auch möglich in der Cloud, wenn diese DGSVO konform ist.
- Aktualität der eingesetzten Betriebssysteme, Hardware
- Aktualität der eingesetzten Betriebssysteme
Beispielkalkulation für ein kleine Praxis:
| Maßnahme | Preis |
|---|---|
| 1.) Sicherheitsaudit nach Cert+ und Nachprüfungen (2x im Jahr) inkl. Zertifikat Ist-Zustand und Analyse der IT-Infrastruktur und Systeme um festzustellen, welche Mängel/ Sicherheitslücken vorhanden sind und regelmäßige Kontrolle Mindestlaufzeit: 1 Jahr |
99,- im Quartal |
| 2.) Ersteinrichtung (3 Netze, Netztrennung, Firewall nur nötige Ports, transparenter Proxy) nach Vorgabe des Audits | 499,- einmalig |
| 3.) Firewall, AntiVirus und Mobile Security (Hard- und Software) inkl. Unified Security Report gemietete Lösung inkl. Vorabaustausch-Service, immer aktuelle Hardware, flexible Erweiterung inkl. Online-Wartung, Updates der Firewall, des AntiVirus und der Mobile Security Mindestlaufzeit: 3 Monate |
89,- monatlich |
| Optional: Cloud Backup im zertifizierten Rechenzentrum (DGSVO konform) | 49,- monatlich |
Auf Wunsch können wir auch die Wartung Ihrer PCs/Server übernehmen. Dieses ist jedoch nicht zwingend notwendig!
Sprechen Sie mit uns - wir können Ihnen bestimmt helfen!
CSV Computer Service & Vertrieb
Zitadellenweg 28 - 13599 Berlin
Tel. 030-3377 350
Fax. 030-3377 35 99
eMail: info@csv.de
Geschäftszeiten
Montag bis Freitag von 10 bis 13 und 14 bis 18 Uhr