IT-Security

Sicherheitsrichtlinien für IT-Systeme im Gesundheitswesen

Was bedeutet das für Ihre Praxis?

Die KBV-Richtlinie zur IT-Sicherheit im Gesundheitswesen gibt verbindliche Leitlinien vor und hilft den Praxen, die Digitalisierung noch sicherer zu gestalten.

Der Datenschutz ist für Patienten, Ärzte und Gesundheitseinrichtungen von größter Bedeutung. Die KBV-Richtlinie zur IT-Sicherheit im Gesundheitswesen trägt dazu bei, dass Daten ausreichend geschützt sind und mit sensiblen Patientendaten richtig umgegangen wird.

Die KBV-Leitlinie zur IT-Sicherheit im Gesundheitswesen hilft insbesondere Ärzten, ihren Praxisbetrieb noch sicherer und umfassender zu digitalisieren. Sie enthält verbindliche Vorgaben, die den Praxen helfen sollen, Patientendaten sicherer zu verwalten und Risiken wie Datenverluste oder Betriebsausfälle zu minimieren.

Darüber hinaus berücksichtigt sie aktuelle Entwicklungen in der Informationstechnologie, darunter Cloud Computing und mobile Anwendungen in der Arztpraxis. Der IT-Sicherheitsleitfaden richtet sich an alle Arten von Arztpraxen, vom Einzelarzt bis zur Facharztpraxis mit mehreren Standorten.

KBV-Leitlinie Anforderungen für Praxen

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt
  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden
  • Es werden verschlüsselte Internetanwendungen genutzt
  • Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden
  • Es werden keine vertraulichen Daten über Apps versendet
  • Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt
  • Nach der Nutzung eines Gerätes meldet sich die Person ab
  • Das interne Netzwerk ist anhand eines Netzplanes dokumentiert

 

Seit 1. Januar 2022

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt.
  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen
  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden
  • Mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert
  • Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt

Praxistypen:

  • Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
  • Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
  • Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
  • Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.
Tags: IT-Security