KBV (Kassenärztliche Bundesvereinigung) – IT in der Arztpraxis
Vocom IT Syteme ist ein zertifizierter Dienstleister nach § 75b Abs. 5 SGB V.
Wir sind berechtigt Ärzte in IT-Sicherheitsfragen zu beraten und die Vorgaben der Sicherheitsrichtlinien umzusetzen.
Unsere aktuelle Prüfnummer: ISAP/ 20230331/36/00402022 Gültigkeit von 31.03.2023 bis 30.03.2026
Datenschutzrichtlinien, IT Sicherheit und optimierte digitale Arbeitsabläufe sind für viele Arztpraxen ein große Herausforderung- Da kommen wir ins Spiel:
Gesetzlich vorgeschriebene Regeln, IT-Sicherheit, und die dadurch entstehenden Änderungen bei Arbeitsabläufen und – Prozessen stehen bei Vocom ITK Systeme im Mittelpunkt unserer Leistungen für Kliniken und Arztpraxen.
Die Aufgabe der KBV
Die KBV sorgt dafür, dass Praxissysteme über alle Funktionen verfügen, die für den reibungslosen Praxisbetrieb benötigt werden.
Sie legt dazu bundeseinheitliche Standards fest und definiert Vorgaben für Softwarefunktionalitäten, die von den Herstellern beachtet werden müssen.
Schnittstellenfestlegung für Verordnungssoftware
Einheitliche Schnittstelle für den Wechsel der Arzneimittelverordnungssoftware. Die Schnittstelle basiert auf dem internationalen, sektorenübergreifenden und offenen HL7 FHIR-Standard.
Anforderungen an alle Praxen *
- In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
- Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
- Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
- Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
- Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
- Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
- Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
- Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **
Ab 1. Januar 2022
- Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
- Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
- Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
- Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
- Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
- Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
- Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
- Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).
Anforderungen zusätzlich für mittlere Praxen
- App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).
ab 1. Januar 2022
- Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **
Anforderungen zusätzlich für große Praxen *
ab 1. Januar 2022
- Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **
Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten *
ab 1. Juli 2021
- Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
- Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).
Erläuterung zur *Praxistypen
- Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
- Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
- Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
- Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.
HINTERGRUND DER RICHTLINIEN
Hinter der Richtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragte er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollten die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.
Weitere Anforderungen an die Richtlinie:
- Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
- Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.
Zudem hatten KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen.
Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten seid 1. Januar 2021. Im Einverständnis mit der KZBV wird das Verfahren der Zertifizierung durch die KBV durchgeführt.