IT-Sicherheitsrichtlinie der KZBV in Kraft getreten
Im Zuge des Digitale-Versorgung-Gesetz (DVG) wurde unter anderem die KZBV gemäß § 75b SGB V verpflichtet, in Abstimmung mit dem Bundesamt für Sicherheit und Informationstechnik eine IT-Sicherheitsrichtlinie zu erarbeiten, um die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragszahnärztlichen Versorgung, abgestuft nach Praxisgröße und -ausstattung, festzulegen.
Zweck dieser Richtlinie ist ein tauglicher Gesundheitsdatenschutz durch verständliche, aber eben auch verbindliche Vorgaben. Nach erster Durchsicht kann das nutzerfreundliche Ansinnen durchaus bestätigt werden, und zudem dürften die einzelnen Vorgaben in den allermeisten Praxen bereits gelebte Realität sein:
- Die einleitenden Regelungen enthalten zunächst Angaben zum Regelungsauftrag, dem Geltungsbereich und zum Abstufungskonzept, in den Anlagen werden die einzelnen Vorgaben für die Praxen konkretisiert.
- Nach Anlage 1 hat zunächst jede Praxis bezüglich bestimmter IT-Komponenten (zum Beispiel Wechseldatenträger) explizite Grundanforderungen zu erfüllen (beispielsweise sicheres Löschen von Wechseldatenträgern nach Ende der Verwendung).
- Mittlere Praxen (sechs bis 20 datenverarbeitende Mitarbeiter) und Großpraxen (ab 21 datenverarbeitende Mitarbeiter) haben zusätzlich die Anforderungen der Anlage 2 zu erfüllen, die bezüglich der benannten IT-Komponenten weitere oder strengere Vorgaben gibt (etwa restriktive Rechtevergabe bei der Nutzung von Endgeräten oder Regelung zur Mitnahme von Wechseldatenträgern).
- Allein Großpraxen haben zusätzlich die Vorgaben der Anlage 3 zu erfüllen, die wiederum noch strengere Vorgaben bezüglich der IT-Komponenten in der Praxis gibt (zum Beispiel Wechseldatenträgerverschlüsselung).
- Die Anlage 4 gibt – unabhängig von der Praxisgröße – Vorgaben zur Nutzung von medizinischen Großgeräten. Allerdings dürften viele Zahnarztpraxen hiervon nicht betroffen sein, da laut Richtlinie mit „Großgerät“ unter anderem CT, MRT oder Dental-MRT gemeint sind.
- Alle Praxen haben die Vorgaben der Anlage 5 zu befolgen, denn diese gibt die Weisungen im Zusammenhang mit der Telematik-Infrastruktur (zum Beispiel bei „parallelem“ Konnektorbetrieb zusätzliche Maßnahmen zum Schutz des Praxisnetzwerks).
AUCH FÜR DEN NICHT-IT-FACHMANN VERSTÄNDLICH
Die einzelnen Vorgaben müssen zu unterschiedlich festgelegten Daten – Zeitspanne: 1. April 2021 bis 1. Juli 2022 – umgesetzt sein. Unabhängig davon sehen die Regelungen der DSGVO in den Art. 24 und 32 DSGVO ausdrücklich für jede Verarbeitung personenbezogener Daten geeignete organisatorische und technische Sicherungsmaßnahmen vor, die von den Zahnarztpraxen einzuhalten sind. Die Richtlinie ist so formuliert, dass sie auch für einen Nicht-IT-Fachmann verständlich ist. Die KZBV hat auf ihrer Website zudem „FAQ“ zur neuen Richtlinie veröffentlicht.
RA Michael Lennartz