IT-Sicherheitsrichtlinie – unüberwindbarerer Mehraufwand?

Mit der Bekanntmachung im Ärzteblatt (Ausgabe 3/2021 v. 22.01.2021) ist die IT-Sicherheitsrichtlinie der KBV in Kraft getreten – wodurch letztendlich doch recht viele Praxen und Ärzte ziemlich überrascht wurden. Obwohl die Richtline seit über einem halben Jahr ein großes Politikum ist.

Was das für Praxen und MVZ an Mehraufwand (oder auch nicht) bedeutet,
und was politisch dahinter steckt, erkären wir in diesem Beitrag.

 

INHALTE (Direktzugriffe)

Hintergründe

Worum geht es?

Welche Praxen sind betroffen?

Wie neu ist neu ?
(Was wird geregelt?)

Warum das alles?

Wo gibt es Hilfe?

Wer kontrolliert das?

 

  • Hintergründe

    ‘Schuld’ ist nicht die KBV, die hier vielmehr aufgrund ihrer Eigenschaft als KdöR als ‘Auftragnehmer’ des Gesetzgebers fungiert. Mit dem Digitale-Versorgungs-Gesetz (DVG) – verabschiedet im November 2019 – wurde KBV und KZBV auferlegt, eine solche Richtlinie zu erarbeiten, die Anforderungen, die zur Gewährleistung der IT-Sicherheit in Praxen hinsichtlich Sicherheitsmanagement, Organisation, Personal, IT-Sytseme notwendig sind, verbindlich vorgibt.

    Als Frist wurde der 1. Oktober 2020 bestimmt sowie vorgeschrieben, dass vorab über die Inhalte Einvernehmen mit dem  Bundesamt für Sicherheit in der Informationstechnik (~ BSI) herzustellen ist.

    Im Sommer 2020 vermeldete die KBV, mit der Richtlinie fertig zu sein, trat aber gleichzeitig in eine Art Streik und forderte in einem offenen Brief an das BMG vom 24. Juli 2020 in sieben Punkte wesentliche Nachbesserungen allgemein im Umgang des Gesetzgebers mit der Vertragsärzteschaft, die Digitalisierung nicht per se ablehne. Aber man sehe Mehraufwand und Nutzen in einem Mißverhältnis, zudem sei die Kostenfrage nicht geklärt.

    “Die Vorstände beklagen, dass den Ärzten und Psychotherapeuten der Mehrwert digitaler Anwendungen nicht mehr zu vermitteln sei. Zudem müssten die Praxen teilweise die Kosten für technisches Versagen der Systeme selbst tragen. Gleichzeitig würden sie mit Sanktionen bedroht, wenn sie nicht fristgemäß Anwendungen implementierten, die entweder noch nicht verfügbar oder technisch unausgereift seien, heißt es weiter.” (Quelle: KBV)

    Die Folge war über den gesamten Herbst eine große Unklarheit – befeuert auch durch die allgemeine Corona-Problematik. Gleichzeitig erklärte die KZBV, mit dem Vorgehen der KBV nicht einverstanden zu sein und kündigte für die Zahnärzte eine eigene Richtlinie an, die bürokratiemärmer und sprachlich besser verständlich sein sollte als der Vorschlag der KBV. Lange war dadurch offen, ob das K(Z)V-System der Politik nicht doch noch Zugeständnisse abringen könne.

    Diese Frage ist jetzt entschieden: Inhaltlich lautet die Antwort eher Nein. Zeitlich aber klar Ja, da alle Fristen aus der Richtlinie vom ursprünglichen Startdatum aus gesehen um mindestens ein halbes Jahr nach hinten verschoben worden sind.

     

    Worum geht es?

    Im Grunde erinnern die Vorgaben der IT-Sicherheitsrichtlinie einem TOM, also einem Verzeichnis an Technisch-Organisatorischen Maßnahmen, wie es mit der DSGVO ohnehin von jeder Praxis gefordert wird. Gleichzeitig werden damit Mindeststandards formuliert, die es nicht zu unterschreiten gilt.

    Amtliche Veröffentlichung der KBV-Richtlinie

    Amtliche Veröffentlichung der KZBV-Richtlinie

    Deshalb besteht die Richtlinie auch nur aus einem ausgesprochen kurzen Textteil (halbe Seite in der Fassung des Ärzteblatts) sowie fünf tabellenartigen Anhängen, in denen thematisch sortiert die Anforderungen grob umrissen werden. Für die klassische Einzelpraxis sind ausschließlich die Anhänge 1 und 5 verpflichtend. Anhang 1 regelt Grundsätzliches zum Einsatz von Software, Zugriffssrechten und mobilen Endgeräten. Anhang 5 definiert Standards im Kontext der Telematikinfrastruktur.

    Beispiele aus Anhang 1:

    (2)
    Apps &
    Mobile Anwendungen
    Aktuelle Appversion Updates immer zeitnah installieren, um Schwachstellen zu vermeiden
    (22)
    Smartphone / Tablet Verwendung eines
    Zugriffsschutzes
    Schützen Sie Ihr Gerät mit einem komplexen Gerätesperrcode.
    (5)
    Office-Produkte Verzicht auf
    Cloudspeicherung
    keine Nutzung der in Officeprodukte integrierten Cloudspeicher zur Speicherung personenbezogener Informationen

     

    Anhang 2, der ergänzend für mittlere Praxen (= alle mit 6 – 20 ständig mit der Datenverarbeitung betrauten Personen), also für alle MVZ verbindlich ist und Anhang 3, der zusätzliche Anforderungen für noch größere Praxen, also für größere MVZ, regelt, sind gleichartig aufgebaut. Anhang 4 gilt unabhängig von der Größe ergänzend für alle Praxen mit medizintechnischen Großgeräten.

    Definition 'ständig mit der Datenverarbeitung betraute Person' 
    Es müssen Voll- und Teilzeitbeschäftigte gezählt werden, die regelmäßig – unabhängig von tatsächlicher Zeit und Umfang – Daten verarbeiten. Also im Prinzip alle Mitglieder des Praxisteams sowie das Leitungsteam, sofern es mit dem Praxisverwaltungssystem arbeitet. Hinzugerechnet werden auch Mitarbeiter*innen etwa der Lohnbuchhaltung sowie - in der Zahnmedizin - auch das Team des evt. vorhandenen hauseigenen zahntechnischen Labors. Ausgenommen sind dagegen Reinigungskräfte oder sonstige Mitarbeiter, die keinen Zugang zu datenverarbeitenden Systemen der Praxis haben oder die Service-Technik, die dort lediglich sporadisch im Auftrag der Praxis arbeitet.

    Es geht also in vielen Punkten um technische Maßnahmen, die längst zum Grundstandard – nicht nur in Arztpraxen – gehören sollten. Trotzdem ist es für jede Praxis sinnvoll, die komplette Liste einmal durchzugehen und sich selbst zu hinterfragen. Gerade in Bezug auf App-Anwendungen und/oder die Nutzung mobiler Endgeräte in Praxis und Homeoffice neigen viele Menschen erfahrungsgemäß zu größer Nachlässigkeit als bei der Kern-Praxishardware.

    Daher sollte jede Praxis, bzw. jedes MVZ alle 34 Check-Punkte, die Anhang 1 der Richtlinie jedem vertrags(zahn)ärztlichen Leistungserbringer aufgibt, einmal gründlich prüfen. Der Aufwand dafür hält sich in Grenzen. Anhnag 5 umfasst sieben Punkte. Im Ergebnis lassen sich effektiv die Bereiche herausfiltern, wo gegebenenfalls Nachbesserungsbedarf besteht. Dafür gilt in den meisten Fällen der 1. April 2021 als Frist.

     

    Welche Ärzte/Praxen sind betroffen?

    Grundsätzlich werden alle Leistungserbringer mit einem vertragsärztlichen Versorgungsauftrag zur Beachtung der neuen Sicherheitsrichtlinie der KBV verpflichtet. D.h. sie gilt für BAG, MVZ, Praxen der humanmedizinischen und psychotherapeutischen Fachrichtungen.

    Nicht adressiert sind die Vertragszahnärzte, da im Zuge der Verwicklungen vom Herbst 2020 die KZBV beschlossen hat, in dieser Frage aus dem Verbund mit der KBV auszuscheren und eine eigenständige IT-Sicherheitsrichtlinie zu erarbeiten.

    “Eigentlich war die IT-Sicherheitsrichtlinie nach § 75b SGB V, die gemeinsam mit der KBV erarbeitet worden war, bereits im Sommer weitestgehend fertiggestellt und befand sich im gesetzlich vorgeschriebenen Benehmensherstellungsverfahren mit dem BSI. (…) „Doch dann kam es anders“, … Die KZBV habe sich von Anfang an für eine verständliche Richtlinie eingesetzt …. „Bekanntlich hatten die KBV – und das BSI sowieso – dieses Vorhaben abgelehnt und eine Richtlinie basierend auf dem BSI-Grundschutz gefordert.“ Dass dann auf dieser Grundlage erarbeitete Regelwerk habe für einen Arzt oder einen Zahnarzt eine „Zumutung“ dargestellt – sowohl vom Umfang her als auch durch die vom BSI geprägte Techniksprache. (Quelle: ZM Online v. 29.10.2020)

    Allerdings hat auch die KZBV am 19. Januar 2021 ihre eigene “Richtlinie zur IT-Sicherheit” beschlossen und ab 2. Februar 2021 in Kraft gesetzt. Trotz aller politischer Protesterklärungen vom Herbst 2020 ist sie komplett inhaltsgleich zur KBV-Richtlinie – auch was die Fristen betrifft (Umsetzungs-Schonfrist bis zum 30. März 2021). Allerdings bringt es die amtliche Veröffentlichung der KZBV auf 15 statt 6 Seiten – was jedoch allein an dem anders gewählten Schriftformat liegt.

    Damit gilt für alle vertragsärztlich, vertragspsychotherapeutisch oder vertragszahnärztlich tätigen Praxen, dass sie sich zwingend zeitnah mit diesem Thema befassen müssen. Dabei gilt das Schachtelprinzip: Für alle Praxen gilt Anhang 1 und Anhang 5. Bei kleineren BAG und MVZ kommt Anhang 2 hinzu – bei Kooperation mit fünf oder mehr Ärzten (Schätzwert, da der Richwert sich an den 20 Mitarbeitern ausrichtet) Anhang 2 und 3.

     

    Wie neu ist neu?

    Eigentlich wird gar nicht viel Neues erwartet. Die Anhänge stellen eine tabellarische Sammlung verschiedener Grundanforderungen dar, von denen sich sehr viele unmittelbar über den gesunden Menschenverstand, bzw. die normale Praxissorgfalt erschließen.

    Das gilt auch für die Anhänge 2 (Zusatzanforderungen mittlere Praxen – elf Punkte) und 3 (Zusatzanforderungen Großpraxen – zwölf Punkte). Dennoch  wurde hier in fast allen Fällen der Geltungsbeginn nicht bereits auf April 2021, sondern erst auf Januar 2022 gesetzt. Ob man als MVZ-Leitung allerdings bspw. mit der restriktiven Rechtevergabe bei der Nutzung von Endgeräten (Punkt 4 – Anhang 2) bis dahin warten sollte, darf bezweifelt werden.

    Das Beispiel illustriert sehr gut, dass es bei der Richtlinie – auch bei den Anforderungen an größere Praxen – vielfach um die verbindliche Festschreibung einer grundlegenden Sicherheitsnormalität bzw. von Allgemeinplätzen handelt, die im Grunde in der heutigen, technikzentrierten Zeit keine Praxis überfordern sollte.

    Neu ist damit vor allem 1) die übersichtliche Zusammenstellung, die einer Art Checkliste gleicht und 2), dass sich künftig jeder vertragsärztliche Leistungserbringer daran messen lassen muss.

    Es hilft daher, die Richtlinie nicht als ‘Strafe’ im Sinne von ‘noch mehr Vorschriften’ zu sehen, sondern als Einladung, einmal fokussiert zu hinterfragen, an welchen Stellen bei der eigenen IT-Praxisorganisation bisher eventuell fahrlässig gehandelt wird oder aus Bequemlichkeit sinnvolle Schutzroutinen umgangen werden.

     

    Warum das alles?

    Als ‘Lohn’ winkt die
    Verantwortungs-Entlastung
    gemäß Präambel:

    "Mit der Umsetzung der Anforderungen werden die Risiken der IT-Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT-Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden."

    Mit einiger Wahrscheinlichkeit besteht hier auch ein Zusammenhang zum geplanten DVPMG, das Anfang Februar vom Bundeskabinett in die parlamentarische Debatte übergeben wurde. Denn mit diesem – abgekürzt Drittes Digitalisierungsgesetz genannten  – Entwurf ist vorgesehen, dass künftig der Gesetzgeber die notwendige Datenschutz-Folgenabschätzung nach der DSGVO für die Verarbeitung personenbezogener Daten in den Komponenten der dezentralen Telematikinfrastruktur (z.B. Konnektoren und Kartenlesegeräte) vornimmt (~ Vgl. Pressemitteilung des BMG v. 20.01.2021).

    Auch diese Entlastung wird ganz sicher aber an die Einhaltung der nun definierten Grundstandards gekoppelt sein. Im Grunde gilt es, die allgemeine Sorgfaltspflicht und präventive Risikovorsorge, die Mediziner*innen in ihrem Berufsalltag gewohnt sind, auf die genutzte technische Infrastruktur zu übertragen.

     

    Wo gibt es Hilfe?

    Wie beschrieben ist die Richtlinie bereits selbst eine Art Checkliste, die sich abarbeiten lässt. Zusätzlich haben KBV und KZBV verschiedene Hilfsmittel/FAQs  zur Verfügung gestellt, die jedoch für den Moment etwas dürftig wirken. Hier ist davon auszugehen, dass in den nächsten Wochen nachgebessert wird.

    Da KBV- & KZBV-Richtline letztlich inhaltsgleich sind, macht es Sinn, Antworten und Arbeitshilfen gegebenenfalls im jeweils ‘anderen’ Bereich zu checken.


    KZBV: Wichtige Fragen und Antworten

    KBV: Grundlegende Informationen  & Musterdokumente

    Landesamt für Datenschutz Bayern:
    Cybersicherheit für med. Einrichtungen (PDF)

    Bundesamt für Sicherheit in der Informationstechnik (BSI):
    IT- Grundschutz für Unternehmen und Organisationen


    Vorgesehen ist zudem ein Zertifizierungsprozess für Dienstleister, die Praxen bei der Umsetzung der Vorgaben helfen sollen/möchten. Verpflichtend ist deren Einbindung aber nicht – dann bleibt der Praxisinhaber, bzw. der/die MVZ-Verantwortliche für die Einhaltung der Mindeststandards zuständig.

    Für die Dienstleister gilt, dass sie ein von der KBV ebenfalls bereits verabschiedetes Zertifizierungsverfahren durchlaufen sollen. “Schwerpunkt der Prüfung ist die Überprüfung eines ganzheitlichen Denkansatzes für die Etablierung von IT-Sicherheitsmaßnahmen in vertragsärztlichen und vertragszahnärztlichen Praxen auf Basis der IT-Security-Richtlinie nach § 75b SGB V inklusive aller Anhänge.” Entsprechende Dienstleister müssen daher mit der Methodik des IT-Grundschutz-Kompendiums und der Anwendung des BSI-GS-Standards 200-ff vertraut sein (~ Richtlinie-zur-Zertifizierung-nach-75b-Absatz-5-SGB-V).

    Bisher ist das Verfahren zur Zertifizierung noch nicht angelaufen. Entsprechende Anträge können auch erst seit Ende Januar gestellt werden. Ohnehin wird das keine hohe Hürde. Die Prüfung besteht aus 50 Multiple-Choice Fragen, von denen nach Auskunft der KBV mindestens 66% innerhalb zwei Stunden richtig beantwortet werden müssen. Mitgeteilt wird unter den FAQs der KBV zudem auch (~ siehe Frage 1), dass Dienstleister sich gar nicht zertifizieren lassen müssen?!

    Insgesamt scheint bezüglich der Einbindung von IT-Dienstleistern für Praxen und MVZ also kurzfristig ‘Abwarten-und-Tee-Trinken‘ erst einmal die richtige Taktik.


    Bis dahin sollten mithilfe der oben genannten Checklisten jedoch schon einmal praxisindividuell die offensichtlichen Problemfelder herausgefiltert und beschrieben werden. Mit diesem Punkt allzu lange zu warten, macht keinen Sinn.

     

    Wer kontrolliert das?

    Im Grunde niemand. Bei der Einhaltung der Sicherheitsstandards handelt es sich vielmehr um eine vertragsärztliche Verpflichtung, die sich rechtlich u.A. auf die Vorschriften der DSGVO und den besonderen Patientendatenschutz bezieht.

    D.h. Probleme entstehen primär, wenn sich z.B. bei Datenschutzverstößen nachweisen lässt, dass der technische Praxis-Grundschutz vernachlässigt wurde. Haftungsentlastungen bspw. durch Versicherer oder andere infrage kommende Stellen kommen dann nicht zum Tragen.

    Thomas Kriedel, KBV Vorstand (Quelle: ÄND v. 08.02.2021)
    “Hier sind keine Kontrollen vorgesehen. Ich glaube auch nicht, dass das notwendig ist. Denn wir reden hier von einer vertragsärztlichen Verpflichtung. Der Vertragsarzt ist dafür verantwortlich, dass seine Praxis die Sicherheitsrichtlinie umsetzt. Und er unterliegt der Datenschutzgrundverordnung. Das heißt, wer die Richtlinie nicht ordnungsgemäß umsetzt, haftet, wenn es Probleme gibt. Deshalb gehe ich davon aus, dass sich die Vertragsärzte dieser Verantwortung bewusst sind.”