Ende 2019 ist mit § 75b SGB V eine Regelung in Kraft getreten, die den Kassenärztlichen Vereinigungen den Auftrag gegeben hatte, die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festzulegen. Dies betrifft insbesondere auch die Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur. Außerdem müssten die Anforderungen jeweils angemessen auf das Gefährdungspotential bei den Leistungserbringern angepasst und auf dem aktuellsten Stand der Technik sein.
Veröffentlichung der Richtlinie
Am 16.12.2020 wurde die Richtlinie letztlich veröffentlicht und trat in Kraft. Finanzierungsfragen hatten die Veröffentlichung verzögert und sind noch nicht endgültig geklärt.
Der Inhalt der Richtlinie
Die Richtlinie ist übersichtlich angelegt. Sie enthält 5 Anlagen. Die Vertragsarztpraxen sind in 3 Größenordnungen eingeteilt, damit sich die Anforderungen auch angemessen gestalten.
Eine Praxis der kleinsten Gruppe hat bis zu 5 ständig mit der Datenverarbeitung betraute Personen. In einer Praxis der mittleren Gruppe sind ständig 6 bis 20 Personen mit der Datenverarbeitung betraut. Die letzte Gruppe liegt bei einer Großpraxis (also über 20 ständig mit der Datenverarbeitung betrauten Personen) oder bei einer Praxis mit Datenverarbeitung in erheblichem Umfang (z.B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore) vor.
Alle Praxen haben sowohl die Anlage 1 als auch Anlage 5 umzusetzen. Die Anlage 5 enthält Angaben zu den dezentralen Komponenten der Telematikinfrastruktur (Verbindung zwischen Praxis und Telematik).
Die Anlagen 1-3 enthalten jeweils unterschiedliche Zielobjekte mit den dazugehörigen Anforderungen und einer Erläuterung. Außerdem ist jeweils für das Zielobjekt der Geltungszeitraum der Vorgaben geregelt. Für das Zielobjekt der „mobilen Anwendungen“ aus der Anlage 1 bedeutet dies, dass nur sichere Apps genutzt werden dürfen, also solche aus offiziellen App-Stores. Dies ist aufgrund des überschaubaren Aufwands bis zum 1.4.2021 umzusetzen.
Die Anlage 2 gilt zusätzlich für mittlere Praxen. Die verschiedenen Anforderungen sind deutlich abstrakter und präventiver formuliert, da die Kenntnis des Verantwortlichen über die Datenverarbeitungen der Mitarbeitenden sinkt, je höher die Anzahl der Mitarbeitenden ist. Es wird unübersichtlicher. Deshalb sollen die Zugriffsmöglichkeiten etwa bei Internetanwendungen von vornherein minimiert werden. Für die Nutzung von Smartphones sollen interne Richtlinien verabschiedet werden. Je nach IT-Knowhow sollte hier auf professionelle Beratungen zurückgegriffen werden.
Die Anlage 3 richtet sich zusätzlich an Großpraxen und Groß-Datenverarbeitende. Die Gefahren von IT-Lücken nähern sich hier dem stationären Sektor an, weshalb teilweise erhebliche Sicherheitsmaßnahmen getroffen werden müssen. Für eine Vielzahl von Zielobjekten sind sogenannte Management-Vorkehrungen zu treffen, dass also Regelungen abstrakt erlassen werden und deren Einhaltung überprüft und gegebenenfalls die Richtlinien nachjustiert werden. Man spricht auch vom Informationssicherheitsmanagement. Sofern keine ausreichenden IT-Kenntnisse in der Einrichtung vorhanden sind, empfiehlt sich die Beauftragung von externen IT-Spezialisten.
Die Anlage 4 gilt für Praxen, in denen medizinische Großgeräte (CT, MRT etc.) genutzt werden. Sie enthält vor allem Vorgaben für die Wartung dieser Geräte durch Externe.
Die Richtlinie über die Zertifizierung der Dienstleister
Außerdem hat die KBV eine Richtlinie veröffentlicht, nach der sich externe Dienstleister, die Aufgaben zur Herstellung der IT-Anforderungen wahrnehmen, zertifizieren lassen können. Somit ist für Vertragsärzte ersichtlich, dass der Externe die gesetzlichen Vorgaben umsetzen kann.
Folgen bei unterlassener IT-Sicherheit
Die Folgen bei einem Unterlassen oder der mangelnden Umsetzung der Regelungen können von Disziplinarmaßnahmen der KV über Bußgeld- und Schadensersatzzahlungen bis hin zu strafrechtlichen Folgen reichen. Daher empfiehlt sich die Umsetzung der Vorgaben. Ein Rückgriff auf externe IT-Profis sollte dabei nicht gescheut werden.
Links
Die Richtlinien können abgerufen werden unter:
https://www.kbv.de/html/it-sicherheit.php
Die KBV bietet eine Online-Fortbildung zur IT-Sicherheit im Eigenstudium an, welche mit 2 CME-Punkten belohnt wird:
https://www.kbv.de/html/1150_50907.php
RA Jan Ippach, LL.M.