Arzt- und Zahnarztpraxen benötigen oftmals Dienstleistungen von Fremdfirmen, wie z.B. eine IT-Firma, die bei EDV-Problemen konsultiert wird, oder einen Abrechnungsspezialisten. Bei diesen Tätigkeiten wird bisweilen auch Einblick in hochsensible Patientendaten genommen, was keinesfalls unkompliziert[...]
IT-Sicherheitsrichtlinie der KZBV im Februar in Kraft getreten
Anfang Februar 2021 ist die IT-Sicherheitsrichtlinie der KZBV für Zahnarztpraxen in Kraft getreten, in der die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragszahnärztlichen Versorgung, abgestuft nach Praxisgröße und -ausstattung, festgelegt werden.
Unabhängig davon sehen die Regelungen der DSGVO in den Art. 24 und 32 DSGVO ausdrücklich für jede Verarbeitung personenbezogener Daten geeignete organisatorische und technische Sicherungsmaßnahmen vor, die von den Zahnarztpraxen einzuhalten sind. Die Richtlinie ist so formuliert, dass sie auch für einen Nicht-IT-Fachmann verständlich ist verlangt. Die KZBV hat auf ihrer Website zudem „FAQ“ zur neuen Richtlinie veröffentlicht. Zahnarztpraxen sollten abgleichen, ob ihre IT-Sicherheit den Anforderungen der Richtlinie und DSGVO genügt. lennmed führt im Datenschutzbereich entsprechende Audits durch.
Überblick
Zweck der Richtlinie ist ein tauglicher Gesundheitsdatenschutz mittels verständlicher, aber eben auch verbindlicher Vorgaben. Hierzu stichpunktartig wie folgt:
- Die einleitenden Regelungen enthalten zunächst Angaben zum Regelungsauftrag, dem Geltungsbereich und zum Abstufungskonzept, in den Anlagen werden sodann die einzelnen Vorgaben für die Praxen konkretisiert.
- Nach Anlage 1 hat zunächst jede Praxis bzgl. bestimmter IT-Komponenten (z. B. Wechseldatenträger) explizite Grundanforderungen zu erfüllen (z. B. sicheres Löschen von Wechseldatenträgern nach Ende der Verwendung).
- Mittlere Praxen (6-20 datenverarbeitende Mitarbeiter) und Großpraxen (ab 21 datenverarbeitende Mitarbeiter) haben zusätzlich die Anforderungen der Anlage 2 zu erfüllen, welche bezüglich der benannten IT-Komponenten weitere bzw. strengere Vorgaben gibt (z. B. restriktive Rechtevergabe bei der Nutzung von Endgeräten oder Regelung zur Mitnahme von Wechseldatenträgern).
- Allein Großpraxen haben zusätzlich die Vorgaben der Anlage 3 zu erfüllen, welche wiederum noch strengere Vorgaben bezüglich der IT-Komponenten in der Praxis gibt (z. B. Wechseldatenträgerverschlüsselung).
- Die Anlage 4 gibt – unabhängig von der Praxisgröße – Vorgaben bzgl. der Nutzung von medizinischen Großgeräten. Allerdings dürften viele Zahnarztpraxen hiervon nicht betroffen sein, da laut Richtlinie mit „Großgerät“ u. a. CT, MRT oder Dental-MRT gemeint sind.
- Alle Praxen haben die Vorgaben der Anlage 5 zu befolgen, denn diese gibt die Weisungen im Zusammenhang mit der Telematik-Infrastruktur (z. B. bei „parallelem“ Konnektorbetrieb zusätzliche Maßnahmen zum Schutz des Praxisnetzwerks).
RA Michael Lennartz
www.lennmed.de
Bonn | Berlin | Baden-Baden
Der lennmed.de-Newsletter
Melden Sie sich zu unserem kostenfreien Newsletter an, um regelmäßig zu aktuellen und relevanten Urteilen und Entwicklungen im Bereich der Heilberufe informiert zu sein. Damit sind Sie als Arzt, Zahnarzt, Apotheker, Krankenhausträger oder berufsständischer Entscheidungsträger immer auf dem Laufenden.
Unter anderem informieren wir aktuell hierüber:
Sie können sich natürlich jederzeit aus unserem Newsletter-Verteiler abmelden.