FAQ: Praxis-IT

Ja. Der Umfang variiert nach Praxisgröße, aber Grundmaßnahmen sind für alle verpflichtend.

Eine Nachweispflicht ist gesetzlich nicht vorgesehen. Es empfiehlt sich zumindest eine interne Dokumentation der Maßnahmenumsetzung und -kontrolle.

Ihr IT-Dienstleister oder ein zertifizierter Anbieter gemäß der Liste der zertifizierten Dienstleister (PDF) der Kassenärztlichen Bundesvereinigung (KBV).

Ja, regelmäßige Schulungen zur IT-Sicherheit müssen durchgeführt werden.

Ja, die KZBV und KBV stellen praxisnahe Umsetzungshilfen bereit.

Infoseite der KZBV zur IT-Sicherheitsrichtlinie

Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5- Testat entsprechend §393 SGB V in Verbindung mit §384 SGB V verfügen. Ebenfalls sollte darauf geachtet werden, dass sich der Server innerhalb der EU befinden, das die Kommunikation verschlüsselt erfolgt und die Daten ebenfalls verschlüsselt abgelegt werden.

Mindestens jährlich oder bei wesentlichen IT-Veränderungen.

Jeder unerwünschte oder unerwartete IT-Zwischenfall, z. B. Virenbefall, Datenverlust oder unbefugter Zugriff. Tritt dieser auf, muss dieser umgehend innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (LDI-NRW) gemeldet werden.

Alle sicherheitsrelevanten Ereignisse müssen nachvollziehbar dokumentiert werden.

Von der Umsetzung der Anforderungen der IT-Sicherheitsrichtlinie ohne IT-Dienstleister ist aufgrund der Komplexität abzuraten. Eine professionelle Unterstützung ist dringend ratsam, da Sie im Falle eines Sicherheitsvorfalls belegen müssen, das alle Anforderungen nach den aktuellen Vorgaben professionell umgesetzt wurden. Dies ist möglich z. B. durch Dokumentationen und Installationsprotokolle die Sie von Ihrem IT-Dienstleister erhalten.