IT-Sicherheitsbewertungnach §390 SGB V

Die IT-Sicherheitsrichtlinie nach §390 SGB V definiert verbindliche Anforderungen an die IT-Sicherheit in medizinischen Einrichtungen. Sie wurde von der Kassenärztlichen Bundesvereinigung (KBV) und dem GKV-Spitzenverband erstellt und ist für alle Vertragsärzte und Vertragspsychotherapeuten verpflichtend. Diese umfassende Richtlinie stellt sicher, dass Patientendaten in Arztpraxen angemessen geschützt werden und die Praxen den gesetzlichen Anforderungen entsprechen.

Wir bieten verschiedene Dienstleistungen zur Umsetzung der IT-Sicherheitsrichtlinie an, darunter umfassende Beratung, praxisorientierte Schulungen und konkrete Umsetzungshilfen. Unser erfahrenes Team unterstützt Sie bei der Analyse Ihrer aktuellen IT-Infrastruktur, der Identifikation von Sicherheitslücken und der Entwicklung maßgeschneiderter Lösungsansätze. Kontaktieren Sie uns für ein individuelles Angebot oder nutzen Sie unsere kostenlose Selbstbewertung, um Ihren aktuellen Compliance-Stand zu ermitteln.

Die IT-Sicherheitsrichtlinie ist seit dem 1. Januar 2022 in Kraft. Die Umsetzungsfrist für die grundlegenden Anforderungen endete am 1. Januar 2023. Für weitergehende Anforderungen gelten je nach Praxisgröße unterschiedliche Fristen. Kleine Praxen haben teilweise längere Übergangszeiten, während größere Einrichtungen strengere Deadlines einhalten müssen. Es ist wichtig, dass Sie sich frühzeitig über die für Ihre Praxis relevanten Fristen informieren und entsprechende Maßnahmen einleiten.

Die Kosten variieren je nach Praxisgröße und Umfang der Bewertung. Unser Basis-Paket für kleine Praxen beginnt bei 4.000 € zzgl. MwSt. und umfasst eine umfassende Vor-Ort-Bewertung, detaillierte Dokumentation und einen strukturierten Maßnahmenplan. Für mittlere und große Praxen bieten wir erweiterte Pakete an, die zusätzliche Leistungen wie intensive Schulungen, kontinuierliche Betreuung und spezialisierte Sicherheitsanalysen beinhalten. Gerne erstellen wir Ihnen ein individuelles Angebot basierend auf Ihren spezifischen Anforderungen und Ihrer Praxisgröße.

Die Dauer der Umsetzung hängt von der Größe Ihrer Praxis und dem aktuellen Stand Ihrer IT-Sicherheit ab. In der Regel dauert eine vollständige Bewertung und Umsetzung zwischen 4-12 Wochen. Kleine Praxen mit bereits gut strukturierter IT können oft schneller abgeschlossen werden, während größere Einrichtungen oder Praxen mit veralteter Infrastruktur mehr Zeit benötigen. Wir arbeiten eng mit Ihnen zusammen, um einen realistischen Zeitplan zu entwickeln, der Ihren Praxisablauf minimal beeinträchtigt und gleichzeitig alle Compliance-Anforderungen erfüllt.

Bei Nichteinhaltung der IT-Sicherheitsrichtlinie nach §390 SGB V können verschiedene Sanktionen drohen. Die Kassenärztlichen Vereinigungen können Prüfverfahren einleiten und bei festgestellten Mängeln Honorarkürzungen oder andere Maßnahmen verhängen. Zudem besteht ein erhöhtes Risiko für Datenschutzverletzungen, die nach DSGVO mit empfindlichen Bußgeldern geahndet werden können. Nicht zuletzt können Sicherheitsvorfälle zu Reputationsschäden und Vertrauensverlust bei Patienten führen. Eine proaktive Umsetzung der Richtlinie ist daher nicht nur rechtlich geboten, sondern auch wirtschaftlich sinnvoll.

Die IT-Sicherheitsrichtlinie nach §390 SGB V umfasst zahlreiche Bereiche der IT-Sicherheit in medizinischen Einrichtungen. Dazu gehören unter anderem: Organisatorische Maßnahmen (Verantwortlichkeiten, Dokumentation, Notfallmanagement), technische Maßnahmen (Zugriffsschutz, Verschlüsselung, Firewall, Virenschutz), Netzwerksicherheit, Datensicherung und -wiederherstellung, sichere Nutzung mobiler Geräte, Umgang mit externen Dienstleistern, Mitarbeitersensibilisierung und -schulung sowie spezifische Anforderungen für die Telematikinfrastruktur. Die konkreten Anforderungen variieren je nach Praxisgröße und werden in den Anlagen 1-5 der Richtlinie detailliert beschrieben.

Für die meisten Praxen ist die Unterstützung durch einen externen IT-Dienstleister empfehlenswert, da die Anforderungen der IT-Sicherheitsrichtlinie komplex und umfangreich sind. Ein spezialisierter Dienstleister wie ADVISORI bringt das notwendige Fachwissen mit, um die Anforderungen korrekt zu interpretieren und effizient umzusetzen. Besonders wichtig ist die Expertise im Gesundheitswesen, da hier besondere Anforderungen an den Datenschutz und die Verfügbarkeit der Systeme bestehen. Wir arbeiten eng mit Ihrem bestehenden IT-Dienstleister zusammen oder können bei Bedarf auch die vollständige Betreuung übernehmen. Durch unsere Erfahrung können wir typische Fallstricke vermeiden und eine kosteneffiziente Umsetzung sicherstellen.

Die IT-Sicherheitsrichtlinie differenziert zwischen drei Praxisgrößen mit unterschiedlichen Anforderungsniveaus: Kleine Praxen (bis 5 Personen) müssen die grundlegenden Anforderungen der Anlage 1 erfüllen, die Basisschutzmaßnahmen wie Virenschutz, Firewall und regelmäßige Datensicherung umfassen. Mittlere Praxen (6-20 Personen) müssen zusätzlich die Anforderungen der Anlage 2 umsetzen, die erweiterte Maßnahmen wie detailliertere Dokumentation, regelmäßige Sicherheitsüberprüfungen und strukturiertere Prozesse vorsehen. Großpraxen und MVZ (über 20 Personen) müssen darüber hinaus die Anforderungen der Anlage 3 erfüllen, die ein formales Informationssicherheits-Managementsystem (ISMS) und umfassendere Sicherheitskonzepte erfordern. Die Anlagen 4 und 5 betreffen spezifische Anforderungen für medizinische Großgeräte und die Telematikinfrastruktur.

Die IT-Sicherheitsrichtlinie nach §390 SGB V schreibt regelmäßige Überprüfungen der implementierten Sicherheitsmaßnahmen vor. Für kleine Praxen wird eine jährliche Überprüfung empfohlen, während mittlere und große Praxen halbjährliche oder sogar vierteljährliche Überprüfungen durchführen sollten. Zusätzlich sind anlassbezogene Überprüfungen nach größeren Änderungen an der IT-Infrastruktur, nach Sicherheitsvorfällen oder bei Änderungen der rechtlichen Rahmenbedingungen erforderlich. ADVISORI bietet verschiedene Modelle für regelmäßige Sicherheitsüberprüfungen an, von der einfachen Checklisten-basierten Selbstüberprüfung bis hin zu umfassenden Sicherheitsaudits durch unsere Experten. Ein kontinuierlicher Verbesserungsprozess stellt sicher, dass Ihre IT-Sicherheit stets auf dem aktuellen Stand bleibt.

Bei der Nutzung von Cloud-Diensten im Kontext der IT-Sicherheitsrichtlinie nach §390 SGB V sind besondere Anforderungen zu beachten. Zunächst muss eine sorgfältige Auswahl des Cloud-Anbieters erfolgen, der nachweislich die Anforderungen des Datenschutzes und der Datensicherheit erfüllt. Es sollte ein Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO abgeschlossen werden. Die Datenübertragung muss verschlüsselt erfolgen, und sensible Patientendaten sollten idealerweise vor der Übertragung in die Cloud zusätzlich verschlüsselt werden. Wichtig ist auch die Klärung des Serverstandorts – bevorzugt innerhalb der EU. Zudem müssen Zugriffsrechte restriktiv vergeben und regelmäßig überprüft werden. ADVISORI unterstützt Sie bei der Auswahl geeigneter Cloud-Dienste und der rechtssicheren Gestaltung der Vertragsbeziehungen.

Die IT-Sicherheitsrichtlinie nach §390 SGB V fordert explizit regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiter, die mit IT-Systemen arbeiten. Diese Schulungen sollten mindestens jährlich stattfinden und folgende Themen abdecken: Grundlagen der IT-Sicherheit, Erkennen von Phishing und Social Engineering, sicherer Umgang mit Passwörtern, korrekter Umgang mit Patientendaten, Datenschutz am Arbeitsplatz, Meldung von Sicherheitsvorfällen und spezifische Verhaltensregeln für die jeweilige Praxis. Für neue Mitarbeiter sind Einweisungsschulungen vor dem ersten IT-Zugang verpflichtend. ADVISORI bietet maßgeschneiderte Schulungsprogramme an, die auf die spezifischen Bedürfnisse Ihrer Praxis zugeschnitten sind – von kompakten Basis-Schulungen bis hin zu umfassenden Awareness-Programmen mit regelmäßigen Auffrischungen und Erfolgsmessungen.

Die IT-Sicherheitsrichtlinie nach §390 SGB V ergänzt bestehende Vorschriften wie die DSGVO und schafft einen spezifischen Rahmen für die IT-Sicherheit in medizinischen Einrichtungen. Während die DSGVO allgemeine Anforderungen an den Datenschutz stellt, konkretisiert die IT-Sicherheitsrichtlinie die technischen und organisatorischen Maßnahmen speziell für Arztpraxen und medizinische Einrichtungen. Viele der geforderten Maßnahmen überschneiden sich mit den Anforderungen aus Art. 32 DSGVO (Sicherheit der Verarbeitung), gehen aber in einigen Bereichen darüber hinaus. Eine integrierte Umsetzung beider Regelwerke ist sinnvoll und ressourcenschonend. ADVISORI verfolgt einen ganzheitlichen Ansatz, bei dem die Anforderungen verschiedener Regelwerke (DSGVO, IT-Sicherheitsrichtlinie, ggf. branchenspezifische Standards) harmonisiert und effizient umgesetzt werden.

Für alle Praxisgrößen gelten gemäß Anlage 1 der IT-Sicherheitsrichtlinie folgende technische Mindestanforderungen: Aktuelle Virenschutzprogramme auf allen Systemen, eine korrekt konfigurierte Firewall zum Schutz des Praxisnetzwerks, regelmäßige und getestete Datensicherungen (Backups), Verschlüsselung sensibler Daten, sichere Authentifizierung mit komplexen Passwörtern oder Mehrfaktor-Authentifizierung, restriktive Vergabe von Zugriffsrechten nach dem Need-to-know-Prinzip, regelmäßige Softwareaktualisierungen und Sicherheitspatches, physische Zugangskontrollen zu IT-Systemen, sichere Entsorgung von Datenträgern sowie eine Dokumentation der IT-Systeme und Sicherheitsmaßnahmen. ADVISORI unterstützt Sie bei der Implementierung dieser Maßnahmen und stellt sicher, dass sie den aktuellen technischen Standards entsprechen.