Zur Startseite
Klicken, um zum Anfang der Seite zu springen
Abstraktes Bild
26.03.2021 Praxis-IT & Telematik

Sicherheit in der TI

Datenschutz und die Datensicherheit spielen in der TI eine große Rolle – schließlich geht es um besonders schützenswerte Informationen. Bei der Entwicklung der TI haben sich sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) aktiv eingebracht.

Es gibt verschiedene Betriebsarten zur Integration des Konnektors wie Reihenbetrieb (auch als seriell bezeichnet) und Parallelbetrieb:

  • Reihenbetrieb: Der Reihenbetrieb bietet größte Sicherheit. Er zeichnet sich dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service, SIS) und TI vom Praxisnetzwerk kapselt und dadurch die Praxis schützen kann. Durch die integrierte Firewall wird dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.
  • Parallelbetrieb: Der Parallelbetrieb ist sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ) mit komplexer Netzwerkstruktur, die bereits über ausreichend Sicherheitsmaßnahmen verfügen. Bei der Parallelinstallation fungiert der Konnektor nicht als Firewall im Netzwerk, und die Praxis muss entsprechende Sicherheitsmaßnahmen treffen.

Was muss ich tun, um eine hohe Datensicherheit zu gewährleisten?

Die TI kann Ihre Praxis nicht vollständig schützen. Um die Sicherheit in der Arztpraxis zu erhöhen, ist es ratsam, regelmäßige Updates durchzuführen und eine Firewall (im Parallelbetrieb) zu installieren, sowie das Internet kontrolliert zu nutzen. Bei eingehenden E-Mails sollte außerdem immer auf den Absender geachtet werden. Des Weiteren ist ein Back-up-Konzept sinnvoll, um im Ernstfall verlorene Daten wiederherstellen zu können.

Sind Praxen für die Sicherheit in der TI verantwortlich?

Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber. Sollte es auf Grund fehlender Datenschutzmaßnahmen innerhalb des Praxisnetzwerks zu einem Missbrauch kommen, ist hier die Praxis bzw. der betreffende Arzt/Psychotherapeut verantwortlich. Diese Verantwortlichkeit bestand auch schon vor der Einführung der TI.  Die KBV rät, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation im Reihen- oder Parallelbetrieb vorgenommen wird. Die Beauftragung eines professionellen Dienstleisters wird empfohlen.

IT-Sicherheitsrichtlinie in Kraft 

Für Arzt- und Psychotherapeutenpraxen gelten neue verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie tritt am 23. Januar 2021 offiziell in Kraft. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Die IT-Sicherheitsrichtlinie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit in den Praxen zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen.Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

  • Erste Anforderungen mit Frist zum 1. April 2021: Erste Schritte – zum Beispiel der Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollen Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die einzelnen Punkte werden in der 16 Seiten umfassenden Richtlinie jeweils kurz erläutert.
  • Richtlinie nach § 75 b Absatz 1 und Absatz 5 SGB V: Die Richtlinien und auch die Antragsformulare für Dienstleister stehen auf einer KBV-Themenseite zur Sicherheitsrichtlinie zur Verfügung: https://www.kbv.de/html/it-sicherheit.php
  • Unterstützende Materialien und Online-Schulungen für Ärzte und Psychotherapeuten: Die KBV stellt für Praxen sowie Dienstleister auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise zu den Richtlinien bereit, die kontinuierlich aktualisiert werden: https://hub.kbv.de/display/itsrl. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.