IT-Sicherheitsrichtlinie beschreibt das Mindestmaß zur IT-Sicherheit
Die IT-Sicherheitsrichtlinie begleitet die Arztpraxen jetzt schon seit einigen Monaten und sie wird es weiterhin tun. Wichtige Grundlagen dafür sind zum einen der § 75b Sozialgesetzbuch (Fünftes Buch) und die Datenschutzgrundverordnung. Die daraus entstandene Sicherheitsrichtlinie der KBV beschreibt zum einen, was mindestens getan werden muss, um die Praxis-IT sicher zu machen. Zum anderen ist der Versuch unternommen worden, die Regelungen möglichst Arztpraxen-gerecht umzusetzen. An der Notwendigkeit lässt Dr. Thomas Kriedel, Mitglied des Vorstands der KBV, keinen Zweifel: „Es geht um sensible Gesundheitsdaten, die besonders geschützt werden müssen. Praxisinhaberinnen und Praxisinhaber tragen hierfür eine hohe Verantwortung.“ Dahinter steht immer auch, dass Praxen für mangelhafte IT-Sicherheit und fehlenden Datenschutz haftbar gemacht werden können.
Setzen Sie eine Web Application Firewall ein? Eine was …?
Es gibt viele Regelungen in der IT-Sicherheitsrichtlinie die leicht nachzuvollziehen und auch relativ einfach umsetzbar sind. Dazu gehört der Einsatz von aktuellen Virenschutzprogrammen oder regelmäßige Updates von Mobiltelefonen. Ein drittes Beispiel ist das Abmelden am Computer durch die Benutzer, wenn sie ihre Arbeit am Gerät beenden. Daneben gibt es aber auch Regelungen, die wesentlich weiter greifen und dazu gehört die Frage, ob die Praxis-Website mit dem Online-Termin-Kalender durch eine aktuelle Web Application Firewall geschützt wird.
Eine Web Application Firewall bewahrt vor Angriffen über das Hypertext Transfer Protocol (HTTP). Dazu wird die Kommunikation mit dem Web-Server analysiert und im Zweifel wird der Zugriff unterbrochen.
Ein anderes Beispiel ist die Forderung, dass Daten aus Programmen nur verschlüsselt und lokal gespeichert werden dürfen. Dass Daten lokal gespeichert werden, lässt sich relativ leicht herausfinden, aber sind sie ausreichend verschlüsselt? Bei mittleren und großen Praxen kommen noch weitere Forderungen in Zukunft dazu. So muss für Dienst-Mobiltelefone eine Nutzungs- und Sicherheitsrichtlinie erstellt werden. Eine Aufgabe, die wohl nur die wenigsten Ärzte regelkonform aus dem Stand erledigen können.
Selbst ist die Praxis? Besser nicht!
In ihrer Check-Liste „So können Sie vorgehen“ zur IT-Sicherheitsrichtlinie stellt die KBV die Frage, ob es sinnvoll ist, auf einen IT-Dienstleister zu setzen. „Durch die größer werdende Komplexität ist es sehr sinnvoll, sich an IT-Experten mit dem entsprechenden Wissen zu wenden. Die Praxen müssen sich bewusst sein, dass sie für die IT-Sicherheit haften.“ Das sagt Konrad Mauermann, der als geprüfter Sachverständiger für Datenschutz und Datensicherheit auch Berater für mediorbis ist und für Anfragen jederzeit bereitsteht.
Bild 1: ©iStock / matejmo, Bild 2: ©iStock / BlackJack3D