AKTUELLES:
RST-Beratung informiert zu Themen aus Ihren Fachgebieten

Haben Sie die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit bereits umgesetzt?

Auf dieser Seite finden Sie sowohl Informationen zu den Maßnahmen, die in der IT-Sicherheitsrichtlinie nach § 75b SGB V festgeschrieben sind, als auch zu den Hintergründen der IT-Sicherheitsrichtlinie. Das zentrale Ziel ist es, IT-Systeme und sensible Daten in Arztpraxen besser zu schützen.

Hintergründe der IT-Sicherheitsrichtlinie 

Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ wurde von der > kassenärztlichen Bundesvereinigung erstellt und am 16.12.2020 von der Vertretersammlung der Kassenärztlichen Bundesvereinigung beschlossen.

Die verbindliche Richtlinie legt Mindestanforderungen zur Gewährleistung der IT-Sicherheit für alle vertragsärztlichen und psychotherapeutischen Praxen fest. Damit verfolgt die Richtlinie das Ziel, die Maßnahmen den Schutz der IT-Systeme, hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von sensiblen Informationen in Arztpraxen zu schützen. Gleichzeitig dient die Umsetzung der Richtlinie auch der Vereinheitlichung der technisch-organisatorischen Maßnahmen, die zur Einhaltung des Artikel 32 der Datenschutz-Grundverordnung (DSGVO) erforderlich sind.

Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet, um durch diesen kooperativen Ansatz verständliche und überschaubare Maßnahmen zum bestmöglichen Schutz von IT-Systemen und sensiblen Daten aufzustellen.

Welche Unternehmen sind durch die Sicherheitsrichtlinie reguliert?

Alle vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen müssen die Anforderungen der Sicherheitsrichtlinie an die IT-Sicherheit umsetzen. Dabei legt die Richtlinie Mindestanforderungen der zu ergreifenden Maßnahmen fest. Die Verantwortung für die Einhaltung dieser Anforderungen obliegt den Praxisinhabern.

Pflichten für Praxen unterschiedlicher Größe

Die zu ergreifenden Maßnahmen unterscheiden sich je nach Praxisgröße. Hierzu gibt es drei unterschiedliche Anforderungskategorien für kleine Praxen, mittlere Praxen und Großpraxen, bzw. Praxen mit Datenverarbeitung im erheblichen Umfang. Praxisunabhängig werden weitere Anforderungen an den Umgang mit medizinischen Großgeräten und der Telematikinfrastruktur definiert.

Anforderungen für kleine Praxen

Kleine Praxen werden definiert als vertragsärztliche Praxen, bei denen bis zu fünf Personen ständig mit der Datenverarbeitung betreut sind. Für diese Praxen sind in Anlage 1 verbindliche Anforderungen definiert, die dem Schutz der Daten und verarbeiteten Informationen dienen und umgesetzt werden müssen.

Zusätzliche Anforderungen für mittlere Praxen

Als Praxen mittlerer Größe gelten die Praxen, bei denen sechs bis zwanzig Personen ständig mit der Datenverarbeitung betreut sind. Praxen dieser Größe müssen zusätzlich zu den Anforderungen für kleine Praxen, die Anforderungen Anlage 2 erfüllen.

Zusätzliche Anforderungen für Großpraxen

Sind über zwanzig Personen ständig mit der Datenverarbeitung betraut, gilt die vertragsärztliche Praxis als Großpraxis. In diese Kategorie fallen zudem jene Praxen, deren Datenverarbeitung über den normalen Umfang der Datenübermittlung hinausgehen. Diese Praxen sind dazu verpflichtet, sowohl die Anforderungen für kleine und mittlere Praxen umzusetzen, als auch weitere Anforderungen für Großpraxen zu realisieren (Anlage 3).

Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte

Wenn in der Praxis medizinische Großgeräte, wie Dialysegeräte und Computertomographen, genutzt werden, so müssen die zusätzlichen Anforderungen der Anlage 4 erfüllt werden. Sie sollen den Schutz der Informationsverarbeitung bei der Verwendung von medizinischen Großgeräten sicherstellen.

Dezentrale Komponenten der Telematikinfrastruktur

Die Telematikinfrastruktur (TI) stellt eine Verbindung zwischen den IT-Systemen der Praxen und den IT-Systemen der Apotheken, Krankenhäusern und Krankenkassen her. Unabhängig von der Praxisgröße müssen alle Praxen die Anforderungen zum Umgang mit dezentralen Komponenten der TI befolgen, die in Anlage 5 definiert sind.

 

Die RST als zertifizierter Dienstleister nach § 75b Absatz 5 SGB V

Als zertifizierter Dienstleister mit umfangreicher Erfahrung im Gesundheitswesen unterstützen > unsere Experten Sie gerne bei allen Fragen zur Umsetzung der Richtlinie . > Jetzt Kontakt aufnehmen

Dank unserer umfassenden Erfahrung im Gesundheitssektor sowie der Informationssicherheitsberatung für Unternehmen unterschiedlicher Größe und Ausrichtung, bis hin zu Betreibern Kritischer Infrastrukturen, verfügen wir über ein großes Repertoire an Best Practices.

 

Unser Leistungsspektrum umfasst u.a.:

  • Erstberatung zur Betroffenheit anhand einer Bewertung der Praxisgröße gemäß §75b SGB V
  • Qualifizierte Einschätzung des Ist-Zustands der Umsetzung der geforderten Anforderungen Ihrer Praxis durch eine Gap-Analyse
  • Beratung zur Umsetzung geeigneter Maßnahmen zur Erfüllung der Anforderungen der IT-Sicherheitsrichtlinie und zum Schutz der Informationssicherheit für Ihre Praxis
  • Durchführung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter*innen im Bereich der Informationssicherheit

 

Haben Sie noch Fragen?

Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:

Kontaktformular

 

Das könnte Sie auch interessieren:

Informationssicherheit │ Schutzziele der Informationssicherheit │ Gesundheitsbereich │ Unternehmensberatung

 

Links zu den vollständigen relevanten Gesetzes- und Richtlinientexten sowie weiterführende Informationen:

 

Weiterführende Informationen zur IT-Sicherheit:

Themengebiet:
Informationssicherheit

Unternehmensberatung

Gesundheitsbereich