Zum Hauptinhalt springen

IT-Sicherheitsrichtlinie der KZBV im Februar in Kraft getreten

Anfang Februar 2021 ist die IT-Sicherheitsrichtlinie der KZBV für Zahnarztpraxen in Kraft getreten, in der die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragszahnärztlichen Versorgung, abgestuft nach Praxisgröße und -ausstattung, festgelegt werden.

Unabhängig davon sehen die Regelungen der DSGVO in den Art. 24 und 32 DSGVO ausdrücklich für jede Verarbeitung personenbezogener Daten geeignete organisatorische und technische Sicherungsmaßnahmen vor, die von den Zahnarztpraxen einzuhalten sind. Die Richtlinie ist so formuliert, dass sie auch für einen Nicht-IT-Fachmann verständlich ist verlangt. Die KZBV hat auf ihrer Website zudem „FAQ“ zur neuen Richtlinie veröffentlicht. Zahnarztpraxen sollten abgleichen, ob ihre IT-Sicherheit den Anforderungen der Richtlinie und DSGVO genügt. lennmed führt im Datenschutzbereich entsprechende Audits durch.

Überblick

Zweck der Richtlinie ist ein tauglicher Gesundheitsdatenschutz mittels verständlicher, aber eben auch verbindlicher Vorgaben. Hierzu stichpunktartig wie folgt:

  • Die einleitenden Regelungen enthalten zunächst Angaben zum Regelungsauftrag, dem Geltungsbereich und zum Abstufungskonzept, in den Anlagen werden sodann die einzelnen Vorgaben für die Praxen konkretisiert.
  • Nach Anlage 1 hat zunächst jede Praxis bzgl. bestimmter IT-Komponenten (z. B. Wechseldatenträger) explizite Grundanforderungen zu erfüllen (z. B. sicheres Löschen von Wechseldatenträgern nach Ende der Verwendung).
  • Mittlere Praxen (6-20 datenverarbeitende Mitarbeiter) und Großpraxen (ab 21 datenverarbeitende Mitarbeiter) haben zusätzlich die Anforderungen der Anlage 2 zu erfüllen, welche bezüglich der benannten IT-Komponenten weitere bzw. strengere Vorgaben gibt (z. B. restriktive Rechtevergabe bei der Nutzung von Endgeräten oder Regelung zur Mitnahme von Wechseldatenträgern).
  • Allein Großpraxen haben zusätzlich die Vorgaben der Anlage 3 zu erfüllen, welche wiederum noch strengere Vorgaben bezüglich der IT-Komponenten in der Praxis gibt (z. B. Wechseldatenträgerverschlüsselung).
  • Die Anlage 4 gibt – unabhängig von der Praxisgröße – Vorgaben bzgl. der Nutzung von medizinischen Großgeräten. Allerdings dürften viele Zahnarztpraxen hiervon nicht betroffen sein, da laut Richtlinie mit „Großgerät“ u. a. CT, MRT oder Dental-MRT gemeint sind.
  • Alle Praxen haben die Vorgaben der Anlage 5 zu befolgen, denn diese gibt die Weisungen im Zusammenhang mit der Telematik-Infrastruktur (z. B. bei „parallelem“ Konnektorbetrieb zusätzliche Maßnahmen zum Schutz des Praxisnetzwerks). 

RA Michael Lennartz
www.lennmed.de
Bonn | Berlin | Baden-Baden