⚠️   Achtung: eHBA für Psychotherapeut*innen nun verfügbar Mehr erfahren
+49 89 546800 0 Mail an uns
Telematik Infrastruktur

Praxis-IT und Datensicherheit

Das Thema „Praxissicherheit“ ist ein sehr weit gefasstes Thema und schließt viele Teilbereiche ein, wie bspw. das Anbringen von Feuerlöschern, Feuermeldern, Diebstahlprophylaxe, das adäquate Umgehen mit Schlüsseln und vieles mehr.

Dieser Artikel befasst sich mit einem Teilaspekt Ihrer Praxissicherheit: der Praxis-IT und Datensicherheit.

Auch dies ist ein weiter Bereich und umfasst sowohl den Umgang mit Apps auf Ihrem Praxishandy, als auch die Handhabung von USB-Sticks in Ihrer Praxis. Es betrifft aus unserer Sicht alle Daten, die in Ihrer Praxis verarbeitet werden und alle Geräte, die im Einsatz sind. Die Telematik-Infrastruktur ist ein Teil davon.

 

Wir möchten Ihnen Hintergrundinformationen geben und Sie in Bezug auf Praxis-IT und Datensicherheit so gut wie aktuell möglich informieren und Ihnen Lösungen für die aktuell anstehenden Maßnahmen aufzeigen:

 

In Ihrer beruflichen Tätigkeit verarbeiten Sie unterschiedliche Daten Ihrer Patientinnen und Patienten. Der gesetzliche Rahmen für die Verarbeitung dieser Daten wurde 2018 mit der Datenschutz-Grundverordnung (DSGVO) geregelt. Artikel 32 der DSGVO befasst sich mit der Sicherheit der Datenverarbeitung.

 

Der Gesetzgeber hat die Kassenärztliche Bundesvereinigung in Zusammenarbeit mit dem BSI damit beauftragt, dieses Gesetz in ein konkretes Sicherheitskonzept für Praxen zu übersetzen und organisatorische Maßnahmen im Sinne des Artikels 32 und dem heutigen Stand der Technik zu standardisieren.
 

Die KBV ist diesem Auftrag mit der Veröffentlichung der Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (externer Link) nachgekommen. Sie trat am 1.1.21 in Kraft.

 

Die IT-Sicherheitsrichtlinie der KBV im Überblick

 

Die IT-Sicherheitsrichtlinie der KBV beinhaltet zahlreiche Anforderungen für unterschiedliche Praxisgrößen (Anlage 1-3), den Einsatz von medizinischen Großgeräten (Anlage 4) sowie den dezentralen Komponenten der Telematik-Infrastruktur (Anlage 5). Die KBV hat hierzu ein Praxiswissen: IT-Sicherheit (externer Link) veröffentlicht, in dem diese Anforderungen und Informationen anschaulich aufbereitet sind.

Bitte wenden Sie sich bei Fragen zur IT-Sicherheitsrichtlinie in erster Linie an Ihre KV oder Ihren Berufsverband. Da uns zahlreiche Fragen zur Anforderung 32 der Anlage 1 (Absicherung der Netzübergangspunkte) erreichen, veröffentlichen wir an dieser Stelle häufig gestellte Fragen (FAQ).

 

  1. Nach Auskunft der KBV sind die Kosten bereits im EBM enthalten und werden nicht gesondert erstattet.

    Auf unsere Anfrage haben wir von der KBV folgende Antwort erhalten:
    „Die Kosten für die Einrichtung und den Betrieb eines Internetanschlusses zählen zu den allgemeinen Praxiskosten einer vertragsärztlichen bzw. vertragspsychotherapeutischen Praxis. Sie sind bereits in den Gebührenordnungspositionen des EBM enthalten.

    Eine gesonderte Vergütung des Internetanschlusses sieht die Finanzierungsvereinbarung (externer Link) der Telematik-Infrastruktur nicht vor. Auch ist sie nicht Bestandteil der vereinbarten Pauschalen für die Erstausstattung und die Betriebskosten.

     

  2. Die Anlagen zur IT-Sicherheitsrichtlinie geben unterschiedliche Maßnahmen und Zeitpunkte vor.

    Die KBV hat hierzu ein Praxiswissen: IT-Sicherheit (externer Link) veröffentlicht, in dem die Anforderungen und Zeitpunkte anschaulich aufbereitet sind. Am besten besprechen Sie die jeweiligen Punkte mit Ihren EDV-Betreuern.

  3. Als PraxisinhaberIn sind Sie verantwortlich für die Umsetzung der Richtlinie. Sie müssen zur Umsetzung der Richtlinie jedoch nicht zwingend (zertifizierte) Techniker bestellen, solange Sie über die nötige Fachkunde verfügen.

    Für die meisten von Ihnen ist es sicher ratsam, Fachleute mit der Umsetzung zu betrauen.

    Sie finden einige Kontaktadressen bspw. in dem Verzeichnis zertifizierter Dienstleister (externer Link) der KBV.

  4. Die KBV schreibt dazu in den FAQ zur IT-Sicherheitsrichtlinie (externer Link) folgendes:

    Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen.

    Sie können die Anforderung also entweder mit der Anschaffung und Installation einer Hardware-Firewall oder dem Konnektor im Reihenbetrieb erfüllen.

  5. Es gibt unterschiedliche Geräte, die Sie einsetzen können. Aktuelle Modelle tragen Namenszusätze wie „UTM“ oder „NextGen“ und bringen eine Vielzahl von Schutzfunktionen mit. Die Hersteller Sophos, Terra, Securepoint (nicht abschließend) sind anerkannte Hersteller auf dem Markt.

    Bitte beachten Sie die Veröffentlichung Standard für Firewalls in Arztpraxen (externer Link), die in Zusammenarbeit der KBV mit den Länder-KVen enstanden ist, zu wichtigen und detaillierten Informationen zu diesem Thema.

  6. Wir können Ihnen an dieser Stelle lediglich Hinweise zu den TI-Komponenten und PsyPrax32 geben. Ob weitere Einstellungen für andere genutzte Programme oder Windows notwendig sind, besprechen Sie bitte mit Ihren EDV-Betreuern.

    Der Konnektor und das Kartelesegerät benötigen in der Firewall Regeln für den Zugriff untereinander und der Konnektor auch zum Verbindungsaufbau zum VPN-Zugangsdienst. Diese Informationen finden Sie im Dokument Vorbereitung auf den Installationstag.

    Sie finden einen Teil dieser Angaben auch im aktuellen Benutzerhandbuch des secunet-Konnektors (externer Link) auf Seite 54.

    PsyPrax32 benötigt für das Herunterladen der Internet-Updates und die Fernwartung (die von innen nach außen aufgebaut wird) die folgenden Freigaben:

    PsyPrax32-Internetupdate……… TCP………80/443…………………. https://download.psyprax.de

    Fastviewer……………………………….TCP……….80/443/5000…………http://nixus.psyprax.de

    Wichtig: dies sind ausgehende Regeln!

  7. Wir sind der Ansicht, dass eine Firewall die komfortablere und einfachere Lösung für Sie darstellt. Natürlich ist diese Maßnahme mit weiteren Kosten verbunden.
    Praxisgemeinschaften, MVZ oder Gemeinschaftspraxen empfehlen wir ganz klar den Einsatz einer Firewall.

    Einzelpraxen, die das Internet nur wenig nutzen, können unserer Ansicht nach über den Einsatz des Reihenbetriebs nachdenken.

    Wenn der Konnektor im seriellen Betrieb die Schutzfunktion für ihren Praxis-PC übernehmen soll, bedeutet das unter anderem, dass der Konnektor das Internet für Ihren Praxis-PC bereitstellt.

    Daraus können sich Nachteile ergeben. Falls der Konnektor ausfallen sollte, oder es Schwierigkeiten bei der Verbindung mit der TI gibt, fällt dann auch das Internet aus und z.B. die Fernwartung ist bis zu einer Auflösung der Situation nicht möglich.

    Potentielle „Nachteile“ oder Störungsbilder im Reihenbetrieb sind (je nach Gegebenheiten):
    • Es können keine WLAN-Verbindungen aufgebaut werden (Wichtiger Punkt z.B. bei Laptops ohne Netzwerk-Kabel-Anschluss)
    • Wenn der Konnektor ausfällt (z.B. Gerätedefekt) gibt es keine Möglichkeit eine Fernwartung aufzubauen. Die Praxis hat bis zu einer Auflösung kein Internet.
    • Nutzt man PsyPrax32 im Netzwerk, wäre auch dieses bei einer Konnektor Störung beeinträchtigt.
    • Eine Remote-Desktop Verbindung aus dem Homeoffice ist nicht möglich.

    Wenn diese Punkte für Ihre spezifische Praxis-Situation nicht zutreffen, ist der Reihenbetrieb vorerst eine sinnvolle Möglichkeit für die Absicherung.

  8. Falls Sie den Konnektor in den seriellen Betriebsmodus versetzen wollen, können Sie entweder einen Dienstleister kostenpflichtig beauftragen oder wir können Ihnen eine Anleitung für die Umstellung in Eigenverantwortung zur Verfügung stellen.

    Sollte es zu dieser Frage weiteren Klärungsbedarf geben, wenden Sie sich bitte per Kontaktformular an uns.

  9. Vorerst nicht.

    In aktuellen Gesetzentwürfen ist von einem Zukunftskonnektor (externer Link) die Rede, der spätestens in drei Jahren entwickelt sein soll. Hintergrund ist die Tatsache, dass alle Konnektoren über digitale Zertifikate auf fest verbauten Chips verfügen, die nach spätestens 5 Jahren ablaufen. Ein groß angelegter Gerätetausch in Deutschland soll vermieden werden.

    Es gibt noch keine genauen Informationen darüber „was genau“ ein Zukunftskonnektor sein soll – voraussichtlich wird es aber eine Softwarelösung sein. Weitere Informationen finden Sie in folgender Pressemitteilung der gematik (externer Link).

  10. Die Themen Datenschutz und IT-Sicherheit sind gleichermaßen komplex wie wichtig.

    Wir können Ihnen aktuell leider keine rechtsverbindliche Beratung zu diesen Themen anbieten.

    Wir empfehlen Ihnen die Bestellung fachkundigen Personals und eine professionelle Umsetzung der gebotenen Maßnahmen.

    Zusätzlich finden Sie auf der Webseite Mit Sicherheit gut behandelt (externer Link) gute Hinweise von Datenschutzbehörde, KV und Kammern aus Rheinland-Pfalz.

  11. Bitte beachten Sie die Veröffentlichung Standard für Firewalls in Arztpraxen (externer Link), die in Zusammenarbeit der KBV mit den Länder-KVen enstanden ist, zu wichtigen und detaillierten Informationen zu diesem Thema.