IT-SICHERHEIT HINWEISE ZUR RICHTLINIE, TIPPS ZUR UMSETZUNG, BEISPIELE FÜR DIE PRAXIS - kvbw-admin.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-SICHERHEIT
HINWEISE ZUR RICHTLINIE, TIPPS ZUR
UMSETZUNG, BEISPIELE FÜR DIE PRAXIS
DIESES THEMENHEFT ERGÄNZT
DIE ONLINE-PLATTFORM ZUR
IT-SICHERHEITSRICHTLINIE:
https://hub.kbv.de/site/its
Liebe Kolleginnen, liebe Kollegen, INHALT
Ihre Praxis verwendet ein aktuelles Virenschutzpro-
Schutz der Praxis-IT Seite 3
gramm, nutzt verschlüsselte Internetanwendungen
und sendet keine vertraulichen Daten über Apps?
Dann erfüllt sie einen wichtigen Teil der Anforde- Übersicht der Anforderungen und Termine Seite 4
rungen, die durch die IT-Sicherheitsrichtlinie gelten.
Der Gesetzgeber hat die KBV und die Kassen-
Checkliste: So können Sie vorgehen Seite 6
zahnärztliche Bundesvereinigung beauftragt, eine
IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln
(§ 75b SGB V). Diese Richtlinie beschreibt das Praxis-Tipps Seite 7
Mindestmaß der zu ergreifenden Maßnahmen, um
die IT-Sicherheit zu gewährleisten. Sie „erfindet“
IT-Sicherheit in der Praxis:
dabei keine zusätzlichen Vorgaben, sondern
Erste Stufe ab April Seite 8
konkretisiert bestehende Regelungen und macht
diese praxistauglich – zum Beispiel Vorgaben aus
der EU-Datenschutzgrundverordnung. Somit werden Fokus: Telematikinfrastruktur –
viele Anforderungen bereits von den Niedergelas- Anforderungen an dezentrale Komponenten Seite 10
senen umgesetzt. Die klaren Vorgaben sollen
dabei helfen, IT-Systeme und sensible Daten in
den Praxen noch besser zu schützen.
Dieses PraxisWissen gibt Ihnen einen Überblick und
stellt wichtige Schritte, Fristen und Anforderungen
vor. Außerdem bietet es eine Checkliste, Beispiele
und Praxis-Tipps sowie weiterführende Informa-
tionen. Es ist ein Serviceangebot zur IT-Sicherheits-
richtlinie, das Sie nutzen können und das Sie
unterstützen soll. Die IT-Sicherheitsrichtlinie und
alle zu erfüllenden Anforderungen sind auf einer
Online-Plattform abrufbar, dem sogenannten Hub.
Näheres lesen Sie auf den folgenden Seiten.
Wir wünschen Ihnen eine angenehme Lektüre.
Ihre Kassenärztliche Bundesvereinigung
RECHTLICHER HINWEIS: Unabhängig von der IT-Sicherheitsrichtlinie
sind die rechtlichen Vorgaben beispielsweise zur ärztlichen Schwei-
gepflicht zu beachten. Mit der IT-Sicherheitsrichtlinie wurden keine
neuen Sanktionsformen eingeführt. Grundlage für Sanktionen sind
wie bisher unter anderem die EU-Datenschutzgrundverordnung
(z. B. bei Verstößen gegen den Datenschutz), das deutsche Strafge-
setzbuch (z. B. § 203 StGB bei Verletzung von Privatgeheimnissen)
und das Berufsrecht (§ 9 Abs. 1 MBO-Ärzte bei Verstößen gegen
die ärztliche Schweigepflicht).
Jeder Praxisinhaber möchte, dass die ihm anvertrauten Daten
SCHUTZ DER sicher verwahrt sind. Allerdings fehlte bislang ein verlässlicher
Rahmen, der nun mit der IT-Sicherheitsrichtlinie geschaffen
PRAXIS-IT wurde. Dabei geht es um Punkte wie Sicherheitsmanagement,
IT-Systeme, Rechnerprogramme, mobile Apps und Internet-
anwendungen oder das Aufspüren von Sicherheitsvorfällen.
HINTERGRUND: DIGITALE- SICHERHEIT FÜR ANFORDERUNGEN RICHTEN
VERSORGUNG-GESETZ PRAXISINHABER SICH NACH DER PRAXISGRÖSSE
Der Gesetzgeber hat mit dem Digitale- Die Richtlinie soll Praxisinhaberinnen Neben den unterschiedlichen Fristen,
Versorgung-Gesetz die Kassenärztliche und Praxisinhaber dabei unterstützen, bis wann was umzusetzen ist, gibt es eine
Bundesvereinigung und die Kassen- alle nötigen Sicherheitsvorkehrungen zu weitere Besonderheit: Die Vorgaben an die
zahnärztliche Bundesvereinigung treffen, um einen Datenmissbrauch zu IT-Sicherheit richten sich nach der Größe
beauftragt, eine IT-Sicherheitsrichtlinie verhindern. Sie bietet ihnen damit auch der Praxis. Dabei finden sich in der Richt-
für alle Praxen zu entwickeln. Darin ein Stück Sicherheit. Denn die Richt- linie Anforderungen, die von allen Praxen
sollen die Anforderungen zur Gewähr- linie legt Sicherheitsanforderungen an erfüllt werden müssen, um die Sicherheit
leistung der IT-Sicherheit verbindlich Arzt- und Psychotherapeutenpraxen fest der verwendeten Hard- und Software
festgelegt sein. Die Richtlinie wurde und beschreibt das Mindestmaß der zu zu gewährleisten. Für Praxen, in denen
unter anderem im Einvernehmen mit ergreifenden Maßnahmen. Vieles davon mehr als fünf Personen ständig mit der
dem Bundesamt für Sicherheit in der wird im Praxisalltag bereits angewendet, Datenverarbeitung beschäftigt sind oder
Informationstechnik erstellt und wird da es durch die europäische Datenschutz- in denen überdurchschnittlich viele Daten
jährlich aktualisiert. grundverordnung vorgegeben ist. Zudem verarbeitet werden (z. B. Labore), gibt es
erfolgt die Einführung schrittweise. zusätzliche Anforderungen. Kommen
medizinische Großgeräte zum Einsatz,
zum Beispiel CT, MRT, PET, Linearbe-
schleuniger, sind weitere Sicherheits-
vorkehrungen zu treffen. Ärztinnen, Ärzte,
PRAXISTYP 1 PRAXISTYP 2 PRAXISTYP 3 Psychotherapeutinnen und Psychothera-
peuten sollten deshalb zunächst schauen,
Praxistyp laut zu welchem „Praxistyp“ sie gehören.
IT- Sicherheits- Praxis Mittlere Praxis Große Praxis
richtlinie: Die Anforderungen sind in den fünf
Ständig mit der Anlagen zur Richtlinie aufgeführt.
1 bis 5 Ab 21 Personen Mehr dazu auf Seite 4.
Datenverarbeitung
betraute Personen Personen 6 bis 20 ODER es werden
Personen überdurchschnittlich
viel Daten verarbeitet
ÜBERSICHT (z. B. Labor, klinik-
ähnliches MVZ)
PRAXISTYPEN
WAS BEDEUTET „STÄNDIG MIT DER DATENVERARBEITUNG BETRAUT“?
Unter dem Begriff „Datenverarbeitung“ werden Tätigkeiten zusammenge-
fasst wie Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern,
Auslesen und Weiterleiten, Löschen und Vernichten der Daten. In den Praxen
beginnt dieser Prozess quasi bei der Terminvereinbarung am Telefon oder
dem Einlesen der elektronischen Gesundheitskarte.
KBV PRAXISWISSEN IT-SICHERHEIT 3
ÜBERSICHT DER ANFORDERUNGEN
UND TERMINE (AUSWAHL) PRAXISTYP
PRAXISTYP
PRAXISTYP 3
2
1
Virenschutz, Firewall, Sperrcodes: BASISANFORDERUNGEN
Welche Anforderungen bestehen nach FÜR ALLE PRAXEN
der IT-Sicherheitsrichtlinie und ab SOWIE ERLÄUTERUNGEN
wann muss meine Praxis sie erfüllen? Anlagen 1 und 5
Hier finden Sie eine Auswahl –
sortiert nach der Praxisgröße.
AB 1. APRIL 2021 AB 1. JANUAR 2022
Anlage 1 Nummer 1 / Sichere Apps Anlage 1 Nummer 3 / Sichere Speicherung
ngen
Die jeweiligen Anforderu nutzen: Apps werden nur aus den lokaler App-Daten: Es werden nur Apps
den,
müssen nur erfüllt wer
echende offiziellen App-Stores heruntergeladen genutzt, die Dokumente verschlüsselt und
wenn die Praxis entspr
IT-Kompon enten ver wen det. und restlos gelöscht, wenn sie nicht lokal abspeichern.
mehr benötigt werden.
Anlage 1 Nummer 9 / Firewall benutzen:
Anlage 1 Nummer 4 / Verhinderung Bei der Bereitstellung und dem Betreiben
ANLAGEN ZUR RICHTLINIE: von Datenabfluss: Es werden keine von Internet-Anwendungen wie Praxis-
vertraulichen Daten über Apps versendet. Homepage oder Online-Kalender wird
eine Web Application Firewall eingesetzt.
Die IT-Sicherheitsrichtlinie gibt Anlage 1 Nummer 8 / Schutz vertrauli-
den Rahmen vor. Entscheidend cher Daten: Der Internet-Browser ist so Anlage 1 Nummer 11 / Schutz vor unerlaub-
sind die Anlagen. Sie listen die eingestellt, dass in dem Browser keine ter automatisierter Nutzung von Weban-
Anforderungen an Hard- und vertraulichen Daten gespeichert werden. wendungen: Bei der Bereitstellung und
Software auf, die die Praxen dem Betreiben von Internet-Anwendungen
Anlage 1 Nummer 10 / Kryptografische
je nach Größe erfüllen müssen. werden keine automatisierten Zugriffe
Sicherung vertraulicher Daten:
beziehungsweise Aufrufe auf Webanwen-
Es werden NUR verschlüsselte
dungen eingerichtet oder zugelassen.
ANLAGE 1 Internet-Anwendungen genutzt.
Anforderungen, die alle Praxen Anlage 1 Nummer 14 / Regelmäßige Daten-
Anlage 1 Nummer 13 / Abmelden oder
erfüllen müssen. sicherung: Auf Endgeräten, zum Beispiel
Sperren: Nach der Nutzung eines Gerätes
einem Praxisrechner, erfolgt eine regel-
ANLAGE 2 meldet sich die Person ab oder sperrt es.
mäßige Datensicherung, wobei in einem
Anforderungen, die mittlere und
Anlage 1 Nummer 15 / Einsatz von Plan festgelegt ist, welche Daten wie oft
große Praxen zusätzlich zu Anlage 1
Virenschutzprogrammen: In der Praxis gesichert werden sollen.
erfüllen müssen.
werden aktuelle Virenschutzprogramme
Anlage 1 Nummer 25 / Sperrmaßnahmen
ANLAGE 3 eingesetzt.
bei Verlust eines Mobiltelefons: Bei Verlust
Anforderungen, die ausschließlich
Anlage 1 Nummer 22 / Zugriffsschutz eines Mobiltelefons (Diensthandy) muss
große Praxen zusätzlich zu Anlage 1
verwenden: Smartphones und Tablets die darin verwendete SIM-Karte zeitnah
und Anlage 2 erfüllen müssen.
sind mit einem komplexen Gerätesperr- gesperrt werden.
ANLAGE 4 code geschützt.
Anlage 1 Nummer 28 / Schutz vor
Anforderungen, die alle Praxen
Anlage 1 Nummer 33 / Dokumentation Schadsoftware: Wechseldatenträger
zusätzlich zu Anlage 1, Anlage 2
des Netzes: Das interne Netzwerk ist müssen bei jeder Verwendung mit einem
und Anlage 3 erfüllen müssen,
anhand eines Netzplanes dokumentiert. aktuellen Schutzprogramm auf Schad-
wenn sie medizinische Großgeräte
Musterdokument online verfügbar software überprüft werden.
wie CT oder MRT einsetzen.
Anlage 1 Nummer 12 / Verhinderung der Anlage 5 Nummer 6 / Zeitnahes Installieren
ANLAGE 5
unautorisierten Nutzung von Rechner- verfügbarer Aktualisierungen: Für die de-
Anforderungen, die alle Praxen
Mikrofonen und Kameras: Kamera und zentralen Komponenten der Telematikinfra-
bezüglich der sogenannten
Mikro sollten grundsätzlich deaktiviert struktur werden Updates zeitnah installiert.
dezentralen Komponenten
sein und nur bei Bedarf aktiviert und
der Telematikinfrastruktur Anlage 5 Nummer 7 / Sicheres Aufbewah-
danach wieder deaktiviert werden.
(z. B. Konnektor, Kartenlesegerät, ren von Administrationsdaten: Für die
Praxisausweis) erfüllen müssen. Anlage 1 Nummer 27 / Updates von dezentralen Komponenten der Telematik-
Mobiltelefonen: Regelmäßig prüfen, infrastruktur werden die Administrations-
ob es Updates gibt. daten sicher aufbewahrt.
4 KBV PRAXISWISSEN IT-SICHERHEITZUSÄTZLICHE ANFORDERUNGEN
2 3 3 2 3
1
FÜR MITTLERE UND FÜR GROSSE PRAXEN FÜR ALLE PRAXEN MIT
GROSSE PRAXEN Anlage 3 MEDIZINISCHEN
Anlage 2 GROSSGERÄTEN
Anlage 4
AB 1. APRIL 2021 AB 1. JANUAR 2022 AB 1. JULI 2021
Anlage 2 Nummer 1 / Minimierung Anlage 3 Nummer 1 / Festlegung Anlage 4 Nummer 1 / Einschränkung
und Kontrolle von App-Berechtigungen: einer Richtlinie für den Einsatz von des Zugriffs für Konfigurations- und
Bevor eine App eingeführt wird, muss Smartphones und Tablets: Bevor eine Wartungsschnittstellen: Es muss
sichergestellt werden, dass sie nur die Praxis Smartphones oder Tablets bereit- sichergestellt werden, dass nur zuvor
minimal benötigten App-Berechtigungen stellt, betreibt oder einsetzt, muss eine festgelegte berechtigte Mitarbeiter auf
für ihre Funktion erhält; weitere müssen generelle Richtlinie im Hinblick auf Konfigurations- und Wartungsschnitt-
hinterfragt und gegebenenfalls unter- die Nutzung und Kontrolle der Geräte stellen von medizinischen Großgeräten
bunden werden. festgelegt werden. zugreifen können.
Musterdokument online verfügbar
Anlage 4 Nummer 2 / Nutzung sicherer
AB 1. JANUAR 2022
Protokolle für die Konfiguration und
AB 1. JULI 2022
Wartung: Für die Konfiguration und
Anlage 2 Nummer 8 / Sicherheits-
Wartung von medizinischen Groß-
richtlinien und Regelungen für die Anlage 3 Nummer 2 / Auswahl und
geräten müssen sichere Protokolle
Mobiltelefon-Nutzung: Werden Freigabe von Apps: Bevor Apps genutzt
genutzt werden.
Mobiltelefone für dienstliche Zwecke werden, müssen sie geprüft und freige-
verwendet, muss eine Nutzungs- und geben werden.
AB 1. JANUAR 2022
Sicherheitsrichtlinie erstellt werden.
Musterdokument online verfügbar
Anlage 4 Nummer 6 / Netzsegmentierung:
Medizinische Großgeräte sind von der
AB 1. JULI 2022
weiteren IT getrennt.
Anlage 2 Nummer 6 / Richtlinie
für Mitarbeiter zur Benutzung von
mobilen Geräten: Werden Smartphones
und Tablets genutzt, muss es dazu
eine verbindliche Richtlinie für
Mitarbeiter geben.
Musterdokument online verfügbar
Anlage 2 Nummer 10 / Regelung zur
Mitnahme von Wechseldatenträgern: • Alle Anforderungen sowie
R
Werden Wechseldatenträger einge- Begleitinformationen und Muster-
STE
setzt, muss es eine Regelung zur dokumente finden Sie auf der Online-
Mitnahme geben. Plattform zur IT-Sicherheitsrichtlinie:
Musterdokument online verfügbar https://hub.kbv.de/site/its
MU
KBV PRAXISWISSEN IT-SICHERHEIT 51 PRAXISTYP FESTLEGEN
Welcher Praxistyp sind wir?
CHECKLISTE
SO KÖNNEN SIE VORGEHEN
Je nach Praxistyp müssen die Anforderungen
nach den entsprechenden Anlagen erfüllt werden: Sie wollen prüfen, ob Sie die Anforderungen
der IT-Sicherheitsrichtlinie erfüllen oder
Praxis mit 1 bis 5 Personen* welche Maßnahmen Sie zusätzlich ergreifen
Anlage 1, 5 (und 4 bei medizinischen Großgeräten) müssen, um vertrauliche Daten noch besser
Mittlere Praxis mit 6 bis 20 Personen* vor unberechtigten Zugriffen zu schützen?
Anlage 1, 2, 5 (und 4 bei medizinischen Großgeräten) Doch womit fangen Sie am besten an?
Die Checkliste soll Ihnen helfen,
Große Praxis mit mehr als 21 Personen*
oder sehr vielen Daten
einen Einstieg zu finden.
Anlage 1, 2, 3, 5 (und 4 bei medizinischen Großgeräten)
* ständig mit der Datenverarbeitung betraute Personen
2 IT-KOMPONENTEN FINDEN
Welche IT-Komponenten nutzen wir in unserer Praxis?
3 SICHERUNGSMASSNAHMEN FESTLEGEN
Mit welchen Maßnahmen schützen wir
Erstellen Sie eine Liste der IT-Komponenten. Nur wenn die IT-Zielobjekte unserer Praxis?
eine IT-Komponente vorhanden ist, müssen Sie die Anforde- Prüfen Sie, mit welchen Maßnahmen Sie Ihre
rungen erfüllen und Sicherungsmaßnahmen umsetzen. IT-Komponenten bereits schützen und welche weiteren
Maßnahmen Sie ergreifen können.
Dezentrale Komponenten der TI, zum Beispiel
Konnektor, Kartenlesegerät, Praxisausweis • Weiterführende Informationen dazu finden Sie auf
den Seiten 8 bis 9 und ausführlich auf der Online-Plattform:
Endgeräte, zum Beispiel Computer, Laptop, Notebook
https://hub.kbv.de/display/itsrl
Endgeräte mit Windows-Betriebssystem,
zum Beispiel Computer, auf denen Windows läuft
Internet-Anwendungen, zum Beispiel praxisbetriebene Web-
präsenz, selbst betriebene Onlineterminvergabe
4 DIENSTLEISTER JA ODER NEIN?
Beauftragen wir einen IT-Dienstleister,
der uns berät und unterstützt?
Medizinische Großgeräte, zum Beispiel CT, MRT, PET Die KBV veröffentlicht eine Liste der IT-Dienstleister,
die speziell für die Umsetzung der Vorgaben aus der
Mobile Anwendungen (Apps) IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein
optionales Angebot. Praxisinhaberinnen und -inhaber
Mobile Device Management / MDM, können sich auch für einen nicht zertifizierten Dienst-
zum Beispiel mobile Geräte wie Praxis-Laptops oder leister entscheiden, wenn sie sich Hilfe holen möchten.
Praxis-Tablets werden zentralisiert überwacht/verwaltet
Mobiltelefone, die dienstlich genutzt werden • Die Liste der IT-Dienstleister steht online zur Verfügung:
www.kbv.de/media/sp/KBV_ISAP_Dienstleister_
Netzwerksicherheit, zum Beispiel (W)LAN-Sicherheit ZERT_P75b_SGBV.pdf
5
Office-Produkte, zum Beispiel Programme für
Textverarbeitung, Tabellenkalkulation, Präsentationen UMSETZUNG STARTEN
Smartphones und Tablets Beginnen Sie mit der Umsetzung und
tauschen Sie sich dazu gegebenenfalls
Wechseldatenträger, Speichermedien, zum Beispiel mit Ihrem IT-Dienstleister aus.
USB-Sticks, Speicherkarten, externe Festplatten
• Die IT-Komponenten sind im Hub in den Anlagen unter
„Zielobjekt“ aufgeführt: https://hub.kbv.de/display/itsrl
6 KBV PRAXISWISSEN IT-SICHERHEITPRAXIS-
TIPPS
DER HUB ZUR IT-SICHERHEIT
EIN ONLINE-SERVICE DER KBV
https://hub.kbv.de/display/itsrl
Sie wollen sich detailliert zu den einzelnen Sicherheits-
anforderungen informieren, suchen Musterdokumente oder DR. THOMAS KRIEDEL
wollen eine Frage stellen? Dann nutzen Sie den Hub der KBV. MITGLIED DES VORSTANDS DER KBV
Die Online-Plattform wurde speziell zur Eine weitere Spalte enthält Hinweise „Die IT-Sicherheitsrichtlinie für
IT-Sicherheitsrichtlinie eingerichtet und wie Sie, beziehungsweise der von die vertragsärztliche Versorgung
bündelt alle Informationen. Dort finden Ihnen beauftragte IT-Dienstleister, zu erstellen, war ein Auftrag aus
Sie die Richtlinie mit ihren Anlagen. die Anforderungen umsetzen kann. dem Digitale-Versorgung-Gesetz.
Jede Anlage ist als Tabelle aufgebaut Der KBV war es wichtig, praktikable
Außerdem können Sie im Hub
und besteht aus diesen Spalten: und realistische Vorgaben für die
Musterdokumente für Ihre Praxis
Praxen zu erarbeiten, die möglichst
• Nummer der Anforderung herunterladen, zum Beispiel einen
aufwandsarm umzusetzen sind.
• Zielobjekt Muster-Netzplan und eine Muster-
Vieles wird im Praxisalltag bereits
• Anforderung Richtlinie für Mitarbeitende zur
angewendet, weil es beispielsweise
• Erläuterung Nutzung von mobilen Geräten.
durch die EU-Datenschutzgrund-
• Geltungsdatum
verordnung vorgegeben ist.
Es geht um sensible Gesundheits-
daten, die besonders geschützt
WEITERE SERVICEANGEBOTE
werden müssen. Praxisinhaberinnen
und Praxisinhaber tragen hierfür
ONLINE-FORTBILDUNG THEMENSEITE MIT ERKLÄRVIDEO
eine hohe Verantwortung. Die Richt-
Die KBV bietet eine Online-Fortbildung Auf der Online-Themenseite der KBV linie soll sie dabei unterstützen und
für Ärzte und Psychotherapeuten zur zur IT-Sicherheitsrichtlinie sind alle ihnen einen verlässlichen Handlungs-
IT-Sicherheitsrichtlinie an. Diese steht Informationen und Serviceangebote rahmen bieten.
im Fortbildungsportal der KBV bereit, abrufbar beziehungsweise es wird
Im Gesetz ist auch festgelegt, dass
hier ist ein Login erforderlich. darauf verlinkt. Das Video „IT-Sicher-
der Umfang der Richtlinie jährlich
heitsrichtlinie im Überblick“ bietet
Die Fortbildung ist von der Ärztekam- überprüft werden muss. Das ist ein
einen anschaulichen Einstieg ins
mer Berlin anerkannt. Bei erfolgreicher guter Weg, jeweils auf Veränderungen
Thema. In wenigen Minuten wird
Teilnahme können zwei CME-Punkte im IT-Bereich und Sicherheitsfragen zu
erläutert, warum die IT-Sicheheitsricht-
erworben werden. Ärzte erhalten sie auf reagieren. Wir werden darauf achten,
linie wichtig ist und was dazu gehört.
dem Fortbildungskonto gutgeschrieben, dass auch bei den Anpassungen
Psychotherapeuten bekommen eine • www.kbv.de/html/it-sicherheit.php immer die Praktikabilität im Vorder-
Teilnahmebestätigung. grund steht.“
• www.kbv.de/html/7703.php
KBV PRAXISWISSEN IT-SICHERHEIT 7IT-SICHERHEIT Nach dem Überblick auf den Seiten 4 und 5 stellen wir hier
IN DER PRAXIS beispielhaft einige der Anforderungen vor, die ab April 2021
ERSTE STUFE zu erfüllen sind. Tipps und Hinweise sollen Sie bei der
Umsetzung unterstützen. Die Regelungen müssen von allen
AB APRIL 2021 Praxen erfüllt werden, sofern die entsprechenden IT-Komponen-
ten verwendet werden. Fachbegriffe wie Firewall oder Ports und
Bezeichnungen wie „vertrauliche Daten“ werden kurz erläutert.
PRAXISCOMPUTER OFFICE-PRODUKTE PRAXISNETZWERK
Anlage 1 Nummer 15 Anlage 1 Nummer 5 Anlage 1 Nummer 13
Ihre Praxis setzt aktuelle Sie verzichten auf Cloud-Speicherung Ihr internes Netzwerk ist anhand
Virenschutzprogramme ein. bei Ihren Office-Produkten. eines Netzplanes dokumentiert.
TIPP TIPP TIPP
• Verwenden Sie „Windows Defender“ • Deaktivieren Sie die in Office- • Nutzen Sie das Musterdokument
oder ein anderes kommerzielles Produkten integrierten Cloud-Speicher im Hub zur IT-Sicherheitsrichtlinie.
Virenschutzprogramm. zur Speicherung personenbezogener • Dokumentieren Sie sowohl die logische
• Legen Sie fest, welche Daten wann Informationen. Struktur des Netzes insbesondere der
gescannt werden sollen, zum Beispiel • Verwenden Sie kein Microsoft 365 Subnetze als auch wie das Netz zoniert
jede eingehende E-Mail. (ehemals Office 365) und kein OneDrive. und segmentiert wird.
HINWEIS: Ein Virenschutz- oder Antivirenpro-
• Vermeiden Sie Office-Produkte, die • Dokumentieren Sie Änderungen
gramm ist eine Software, die Computerviren,
Rohdaten sammeln und per automati- im Netzwerk mit Datum.
aber beispielsweise auch sogenannte scher Datenübertragung durch einen
HINWEIS: Ein Netzwerk ist die Infrastruktur der
Trojanische Pferde aufspüren, blockieren im Hintergrund laufenden Dienst an von Ihnen verwendeten Hard- und Software sowie
und gegebenenfalls beseitigen soll. den Entwickler übertragen (Telemetrie). der jeweiligen Verbindungen. Ähnlich einem
• Nutzen Sie lokal installierte Stromnetz kann es schematisch als Netzplan
Anlage 1 Nummer 13 Office-Produkte ohne „integrierte dargestellt werden.
Cloud“-Speicherungen.
Jede Person, die in Ihrer Praxis Anlage 1 Nummer 32
HINWEIS: Office-Produkte sind zum Beispiel
Daten verarbeitet, muss sich nach Programme für Textverarbeitung, Kalkulationen,
der Nutzung eines Gerätes abmelden Präsentationen oder auch für das Versenden Sie schützen den Übergang zu anderen
oder das Gerät sperren. und Empfangen von E-Mails. Clouds sind Spei- Netzen, zum Beispiel das Internet,
chermöglichkeiten im Internet, die umstritten durch eine Firewall.
TIPP und nicht ungefährlich sind. Beispielsweise wird
es bei Cloud-basierten Office-Produkten immer TIPP
• Es gibt Tastenkombinationen, schwerer abzuschätzen, wie weit der Anbieter
zum Beispiel „Windows“ + „L“ der Cloud personenbezogene Daten außerhalb • Stellen Sie die Firewall so ein, dass nur
für die Sperrung bei Windows. seiner „legitimen Geschäftszwecke“ verarbeitet. erlaubte IP-Adressen, Ports (ein- und aus-
Die Datenschutzkonferenz der Datenschutzauf-
• Weisen Sie Ihr Team auf die gehend) und Kommunikationsprotokolle
sichtsbehörden der Länder und des Bundes kam
Abmeldung hin, beispielsweise zugelassen werden.
2020 zu dem nicht einstimmigen Ergebnis, dass
durch einen Hinweis auf einem Zettel. Microsoft 365 nicht datenschutzkonform ein- HINWEIS: Eine Firewall ist ein Programm, das
setzbar ist (https://www.datenschutzkonferenz- Computer oder Netzwerke vor unerwünschten
online.de/media/pr/20201030_protokoll_3_ Zugriffen schützen soll. Eine IP-Adresse macht in
zwischenkonferenz.pdf). einem Netzwerk die daran angeschlossenen Geräte
erreichbar (adressierbar). Ports sind während einer
Verbindung die jeweiligen Endstellen. Kommu-
nikationsprotokolle bilden eine Grundlage für
RECHTLICHER HINWEIS: Diese Übersicht ist keine Rechtsquelle. Die rechtlich die Vernetzung. Die Datenübertragung zwischen
verbindlichen Anforderungen stehen in der IT-Sicherheitsrichtlinie mit ihren mehreren Parteien wird hier definiert, also wie die
Anlagen. Diese ist auf der Online-Plattform zur IT-Sicherheitsrichtlinie abrufbar. Kommunikation erfolgt.
Auf dieser extra eingerichteten Plattform sind alle Anforderungen aufgeführt
und mit Erläuterungen, Hinweisen und Begleitinformationen versehen.
Dort befinden sich auch Musterdokumente: https://hub.kbv.de/site/its
8 KBV PRAXISWISSEN IT-SICHERHEITINTERNET-ANWENDUNG MOBILE ANWENDUNGEN (APPS) SMARTPHONES UND TABLETS
Anlage 1 Nummer 8 Anlage 1 Nummer 1 Anlage 1 Nummer 22
Ihr Internet-Browser ist so eingestellt, In Ihrer Praxis werden Apps nur Die Smartphones und Tablets
dass im Browser keine vertraulichen aus den offiziellen App-Stores Ihrer Praxis sind mit einem komplexen
Daten gespeichert werden. heruntergeladen und restlos gelöscht, Gerätesperrcode geschützt.
wenn sie nicht mehr benötigt werden.
TIPP TIPP
TIPP
• Verwenden Sie zum Löschen • Verwenden Sie keine einfachen
der Browserdaten die folgenden • Verwenden Sie für IOS „App Store“ Codes, die beispielsweise nur aus vier
Tastenkombinationen: und für Android „Google Play“. Zahlen bestehen. Wählen Sie komplexe,
„Strg“ + „Umschalt“ + „Entf“ • Lassen Sie in den Sicherheits- lange Codes (zum Beispiel insgesamt
bei Chrome, Firefox, Edge; einstellungen keine Apps aus externen zwölf Zeichen), die aus einer Kombi-
„cmd“ + „alt“ + „E“ bei Safari Quellen zu. nation von Ziffern und Buchstaben in
• Verwenden Sie Browser wie HINWEIS: Apps gibt es für etliche Anwendungen,
Groß- und Kleinschreibung bestehen.
“Firefox Klar“, die diese Daten mit zum Beispiel um Schritte zu zählen oder Text-, Damit wird verhindert oder zumindest
einem Klick oder nach Beendigung der Sprach- und Bildnachrichten auszutauschen. erschwert, einen Code zu knacken.
Anwendung automatisch löschen. Zu finden sind die mobilen Anwendungen in • Setzen Sie nicht denselben Code
App-Stores, den digitalen Vertriebsplattformen. für alle Geräte ein.
HINWEIS: Ein Internet-Browser, auch Web- Offizielle App-Stores sind beispielsweise der
browser genannt, ist ein Computerprogramm App Store von Apple oder der Google Play Store.
zur Darstellung von Internet- beziehungsweise
Webseiten im World Wide Web oder allgemein WECHSELDATENTRÄGER /
Anlage 1 Nummer 4
von Dokumenten und Daten. SPEICHERMEDIEN
In Ihrer Praxis werden keine vertrau-
Anlage 1 Nummer 10 Anlage 1 Nummer 30
lichen Daten über Apps versendet.
In Ihrer Praxis werden verschlüsselte TIPP Wenn Sie Wechseldatenträger oder
Internetanwendungen genutzt. Speichermedien versenden, tun Sie
• Senden Sie vertrauliche Daten wie dies mit einer sicheren Versandart
TIPP Diagnosen oder Befunde nicht über
und Verpackung.
eine App, auch nicht, wenn ein Patient
• Achten Sie auf Internetseiten, die oder eine Patientin dies wünscht. TIPP
mit „https://“ beginnen. https steht
für hypertext transfer protocol secure • Kommunizieren Sie dieses Vorgehen
in Ihrem Team. • Informieren Sie sich bei Ihrem
und ist ein sicheres Hypertext-Über- Versanddienstleister über sichere
tragungsprotokoll, mit dem Daten ver- • Schränken Sie den Datenversand ein, Nachweissysteme wie Einschreiben
um zu verhindern, dass Apps ungewollt
schlüsselt übertragen werden können. und Wertsendungen.
vertrauliche Daten versenden oder aus
• Achten Sie auf ein Schloss, das den gesendeten Daten Benutzerprofile
als Icon im Webbrowser angezeigt ist.
erstellt werden.
Durch Anklicken des Schlosses lassen DIENSTHANDYS
sich Informationen zum Zertifikat und • Überprüfen Sie vor der App-Be-
nutzung, ob eine App ungeschützte
dem Herausgeber einsehen. Anlage 1 Nummer 27
Protokollierungs- oder Hilfsdateien
HINWEIS: Verschlüsselung bedeutet, dass eine schreibt, die vertrauliche Informationen
Klarschrift in eine Geheimschrift umgewandelt Mobiltelefone müssen
enthalten.
wurde und nur mit dem richtigen Schlüssel geupdatet werden.
zurückverwandelt werden kann. HINWEIS: Vertrauliche Daten sind zum Beispiel
Patientenbefunde und andere personen- TIPP
bezogene Daten, die nicht für die Öffentlichkeit
bestimmt sind und deren Verlust oder Veröf-
• Aktivieren Sie die Funktion,
fentlichung zu einem Nachteil oder Schaden dass Updates automatisch erfolgen
führen kann. (Autoupdates).
KBV PRAXISWISSEN IT-SICHERHEIT 9FOKUS
TELEMATIKINFRASTRUKTUR:
ANFORDERUNGEN AN DEZENTRALE KOMPONENTEN
Die Telematikinfrastruktur, kurz TI, vernetzt Akteure im Gesundheitswesen und ermöglicht
eine schnelle und sichere Kommunikation zwischen ihnen. Dabei gelten für alle Kompo-
nenten – unabhängig vom Inkrafttreten der IT-Sicherheitsrichtlinie – hohe Anforderungen
an die Funktionalität und Sicherheit. So dürfen zum Beispiel nur Konnektoren und
Kartenterminals genutzt werden, die vom Bundesamt für Sicherheit in der
Informationstechnik (BSI) zertifiziert und von der gematik, der Betreiber-
gesellschaft der TI, zugelassen sind. ZWEI
BEISPIELE
AB 1. JANUAR
UNTERSCHEIDUNG ZWISCHEN ZENTRALEN BEISPIEL 1 2022
UND DEZENTRALEN KOMPONENTEN
UPDATES MÜSSEN ZEITNAH
Die Komponenten der zentralen TI-Plattform werden INSTALLIERT WERDEN
im Auftrag der gematik in Rechenzentren betrieben,
sodass hier die gematik für deren Sicherheit zustän- Automatische Updates könnten dazu führen, dass der
dig ist. Dagegen werden die dezentralen Kompo- laufende Praxisbetrieb mitten in einer medizinischen
nenten der TI-Plattform in den Praxen betrieben. Behandlung unterbrochen wird. Daher wird bei der TI
Auf diese Komponenten bezieht sich die IT-Sicher- das Vorhandensein neuer Updates, beispielsweise für
heitsrichtlinie. Dazu gehören insbesondere: den Konnektor, nur angezeigt, diese werden aber nicht
automatisch installiert. In der IT-Sicherheitsrichtlinie
• Konnektoren ist für alle Praxen ab Januar 2022 ein „zeitnahes
• Kartenlesegeräte Installieren verfügbarer Aktualisierungen“ vorgegeben
• Praxisausweis (SMB-C Karte) (Anlage 5 Nummer 6). Praxisinhaber müssen somit
• elektronische Heilberufsausweis (eHBA) ein Update aufspielen, sie können aber selbst
Die Anforderungen sind in Anlage 5 der bestimmen, dass dies zum Beispiel nicht um 12 Uhr
IT-Sicherheitsrichtlinie enthalten. Sie müssen mittags, sondern um 2 Uhr nachts erfolgt. Updates
von allen Praxen erfüllt werden und gelten ab sind für die Sicherheit und Funktionalität erforderlich.
Januar 2022 – bis auf eine Ausnahme, die
bereits Anfang 2021 in Kraft trat (Nummer 5: BEISPIEL 2
Geschützte Kommunikation mit dem Konnektor).
ADMINISTRATIONSDATEN MÜSSEN
SICHER AUFBEWAHRT WERDEN
Die bei der Installation der TI-Komponenten ein-
E IS
AU
SW gerichteten Administrationsdaten müssen sicher
XIS A
RA eHB R
P HE EIS
ISC USW aufbewahrt werden (Anlage 5 Nummer 7). Das sind
ON
TR UFSA
K
ELE LBER
I
insbesondere Passwörter für den Administrator-
HE
Zugang des Konnektors. Jedoch muss gewährleistet
sein, dass Praxisinhaber auch ohne den IT-Dienst-
KONNEKTOR
leister Zugriff auf die Daten haben. Sie können
die Administrationsdaten beispielsweise in einem
versiegelten Umschlag an einem sicheren Ort
hinterlegen. Sollte ein Dienstleister sich weigern,
die Daten herauszugeben, so sollte zumindest mit
• Themenseite Telematikinfrastruktur: ihm vereinbart werden, dass er die Zugangsdaten
www.kbv.de/html/telematikinfrastruktur.php zum Vertragsende herausgibt.
10 KBV PRAXISWISSEN IT-SICHERHEITSICHERE KOMMUNIKATION MIT KIM
Arztbriefe, Befunde oder AU-Bescheinigungen so einfach versenden wie eine
E-Mail: Mit einem Dienst für sichere Kommunikation im Medizinwesen (KIM)
geht das. Nutzer sind Praxen, Krankenhäuser, Apotheken etc. – alle, die an
die Telematikinfrastruktur (TI) angeschlossen sind.
Ein Anbieter ist die KBV. Ihr KIM-Dienst kv.dox wurde im Dezember 2020
von der gematik zugelassen und kann seitdem bestellt werden. Ärzte und
Psychotherapeuten können darüber mit allen KIM-Nutzern Daten austauschen.
Das Besondere: Anders als bei einem herkömmlichen E-Mail-Programm
sind sensible Patienten- und Arztdaten sicher und zuverlässig geschützt.
Denn der Ende-zu-Ende verschlüsselte Kommunikationsdienst ist Teil der TI.
• Erste Schritte, Bestellhinweise und weitere Informationen:
www.kbv.de/html/46487.php
Anzeige kv.dox / 180 x 122 mm / Anschnitt
* plus 3,03 € Rechnungspauschale zzgl. MwSt. pro Quartal
Mit Sicherheit Arztbriefe, Befunde oder AU-Bescheinigungen
so einfach versenden wie eine E-Mail an die
medizinisch vernetzt Familie: mit kv.dox, dem KIM-Dienst der KBV.
Jetzt KIM-Adresse sichern
unter www.kvdox.kbv.de NUR FÜ R
KV-MITGLIEDE
R
UND FÜR NUR
6,55 €*
ZZGL. MWST.
IM MONAT
11MEHR PraxisWissen
PraxisWissenSpezial
PraxisInfo
PraxisInfoSpezial
PraxisNachrichten
Der wöchentliche Newsletter
FÜR IHRE Themenhefte für
Ihren Praxisalltag
Themenpapiere mit
Informationen für
per E-Mail oder App
Abonnieren unter:
PRAXIS Abrufbar unter:
www.kbv.de/838223
Ihre Praxis
Abrufbar unter:
www.kbv.de/PraxisNachrichten
www.kbv.de/kbv2go
www.kbv.de Kostenfrei bestellen: www.kbv.de/605808
versand@kbv.de
IMPRESSUM
Herausgeberin: Kassenärztliche Bundesvereinigung
Herbert-Lewin-Platz 2, 10623 Berlin
Telefon 030 4005-0, info@kbv.de, www.kbv.de
Redaktion: Bereich Interne Kommunikation im
Stabsbereich Strategie, Politik und Kommunikation
Fachliche Begleitung: Dezernat Digitalisierung und IT;
Bereich Transparenz und Compliance im Stabsbereich Recht
Gestaltung: büro lüdke GmbH
Fotos: © gettyimages: Tetra Images (S.1);
© Lopata / axentis.de (S. 7); © KBV (S. 7)
Stand: März 2021
Aus Gründen der Lesbarkeit wurde mitunter nur eine
Form der Personenbezeichnung gewählt. Hiermit sind
selbstverständlich auch alle anderen Formen gemeint.Sie können auch lesen
