IT-Sicherheitsrichtlinie und Cyber-Versicherung: Was Ärzte und Zahnärzte wissen sollten.
Niedergelassene Ärzte und Zahnärzte brauchen ein funktionierendes IT-System und müssen ihre sensiblen Patientendaten schützen. Datendiebstahl, Datenvernichtung oder ein Betriebsausfall hätten für die Existenz und Wirtschaftlichkeit von Arztpraxen unabsehbare Folgen. Für selbstständige Ärzte und Zahnärzte könnte das ohne weiteres den Ruin bedeuten. Negative Auswirkungen können sie durch den Abschluss einer Cyber-Versicherung vermeiden. Auch der Gesetzgeber hat neue Vorgaben erlassen, um Patientendaten sicherer zu verwalten und Lücken zu beseitigen bzw. Risiken der IT-Infrastruktur zu verringern. Erfahren Sie im Folgenden alles Wesentliche zur IT-Sicherheit in Arztpraxen, Stichwort IT-Sicherheitsrichtlinie.
Was ist die IT-Sicherheitsrichtlinie?
Die bisherigen gesetzlichen Regelungen zur IT-Sicherheit wie die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) reichen nicht aus, um der Datensicherheit im Gesundheitswesen gerecht zu werden. Mit dem Digitale-Versorgung-Gesetz (DVG) wurden die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt, eine verbindliche IT-Sicherheitsrichtlinie für Arztpraxen zu erstellen und jährlich zu überarbeiten. Darin sind die Anforderungen an die IT-Sicherheit im Gesundheitsbereich vereinheitlicht, konkretisiert und auf Ärzte, Zahnärzte und Psychotherapeuten zugeschnitten worden. Die IT-Sicherheitsrichtlinie enthält stufenweise zu verwirklichende Maßnahmen, beginnend im April 2021 bis zum Juli 2022.
Priorität hatte eine in der Praxis umsetzbare Vorschrift. Sie soll jedes Jahr entsprechend der aktuellen technischen Standards und neuer Gefährdungsszenarien präzisiert werden. Sie definiert Mindeststandards, die nicht unterschritten werden dürfen. Gleichzeitig soll die Regelung die Sicherheitsmaßnahmen auf das notwendige Maß beschränken und keine exzessive Bürokratie nach sich ziehen. Die Richtlinie unterscheidet zwischen dem Schutz der Software, von Rechnerprogrammen, mobilen Apps und Internetanwendungen, sowie der Sicherheit der Hardware für Endgeräte und IT-Systeme. Sie trat zum 01. Januar 2021 in Kraft.
Warum wurde die IT-Sicherheitsrichtlinie eingeführt?
Ohne Digitalisierung funktionieren Arzt- und Zahnarztpraxen längst nicht mehr. Die Weiterentwicklung der Gesundheitsstandards, die alternde Bevölkerung und der regionale Mangel an Ärzten und Fachkräften sorgen dafür, dass auch in kleinen Arztpraxen die Digitalisierung voranschreitet. Gleichzeitig sind Patienten- und Gesundheitsdaten ein lukratives Objekt für Kriminelle. Die Anforderungen wachsen, sie sind höher anzusiedeln als im privaten Datenverkehr und mit denen von Unternehmen vergleichbar. Um niedergelassene Ärzte und Zahnärzte bei der Durchsetzung der gestiegenen Sicherheitsanforderungen zu unterstützen, wurde die Richtlinie von KBV und KZBV erarbeitet. Sie beruht auf der Rechtsnorm § 75b Abs. 1 Satz 1 im Fünften Buch des Sozialgesetzbuches (SGB V).
Was ist das Ziel der IT-Sicherheitsrichtlinie?
Die Sicherheit schützenswerter Daten steht im Mittelpunkt. Zugleich müssen die IT-Systeme gegen Attacken von außen gesichert werden. Die Praxis-IT muss bestimmte sicherheitstechnische Voraussetzungen erfüllen und auf dem neuesten technologischen Niveau beruhen. Die Systeme müssen ständig verfügbar und zuverlässig im Zusammenspiel mit anderen Anbietern, Gesundheitsdienstleistern und Institutionen arbeiten. Die Daten müssen gesichert und vertraulich sowie unverfälscht aufbewahrt werden. Die Umsetzung der IT-Sicherheitsrichtlinie verringert die Risiken der Informationstechnologie in der Arztpraxis. Dabei geht es um systematische Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Cyber-Risiken in IT-Systemen, Rechnerprogrammen, im Internet, mobilen Apps, der Telematikinfrastruktur und bei medizinischen Großgeräten.
Die Vorschrift gilt jedoch nicht generell für alle Praxen gleichermaßen. Sie differenziert zwischen kleinen, mittelgroßen und großen Praxen. Die Richtlinie unterscheidet folgende Praxistypen:
- Praxis: bis zu 5 Personen sind dauerhaft mit der Datenverarbeitung beschäftigt
- mittelgroße Praxis: vertragsärztliche Praxis mit 6 bis 20 Personen, die ständig mit Datenverarbeitung zu tun haben
- Großpraxis: Praxis mit Datenverarbeitung in erheblichem Umfang, der über das Normalmaß hinausgeht oder in der mehr als 20 Personen dauernd damit beschäftigt sind (Groß-MVZ, Labore)
- medizinische Großgeräte: beispielsweise CT, MRT, Dialysegeräte.
Welche Fristen gibt es?
Es wurden keine ganz neuen Anforderungen für den medizinischen Bereich festgelegt, sondern die bestehenden Regelungen der DSGVO praxistauglich umgesetzt und an die Spezifik von Arztpraxen angepasst. Die Forderungen sind nach Anlagen mit Nummer gegliedert. Anlage 1 betrifft alle Praxen. Die Anlagen 2, 3 und 4 enthalten zusätzliche Pflichten für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten wie CT oder MRT. Anlage 5 betrifft ebenso alle Arztpraxen, hier geht es um die vernetzten Systeme im Gesundheitswesen und die Telematikinfrastruktur wie beispielsweise Kartenlesegeräte für Krankenversicherungskarten oder Praxisausweise. Entsprechend sind unterschiedliche Termine zur Realisierung der Vorgaben vorgeschrieben. Folgende Fristen, sortiert nach Dringlichkeit, sind einzuhalten:
- für Basisanforderungen bis zum 1. April 2021, beispielsweise die Nutzung von verschlüsselten Internetanwendungen,
- für weitergehende Anforderungen bis zum 1. Januar 2022, zum Beispiel regelmäßige Datensicherung auf Endgeräten wie Praxisrechnern,
- für abschließende Maßnahmen bis zum 1. Juli 2021, wie Nutzung von sicheren Protokollen für Wartung und Konfiguration von medizinischen Großgeräten, falls in Praxis vorhanden.
Welche Konsequenzen ergeben sich hieraus für niedergelassene Ärzte und Zahnärzte?
Verantwortlich für die IT-Sicherheit ist der Praxisinhaber. An oberster Stelle muss für jeden Arzt auch in Bezug auf deren Daten das Vertrauen seiner Patienten stehen. Das ist für niedergelassene Mediziner existenziell. Inhaber müssen sich darauf einstellen, dass je nach Praxisgröße ein beachtlicher Zeit- und Ressourcenaufwand zur Überprüfung und Umgestaltung der technischen Praxisausstattung erforderlich sein wird. Auch das Personal muss im Umgang mit dem Computer, der Datensicherheit und der Vernetzung weiterhin geschult werden. Unter Umständen muss in neue IT investiert werden und Mittel sind dafür einzuplanen. Teilweise handelt es sich bei den Maßnahmen der Richtlinie um Selbstverständlichkeiten, die jedoch im stressigen Praxisalltag allzu oft in Vergessenheit geraten.
Welche konkreten Handlungen müssen durch niedergelassene Ärzte und Zahnärzte erfolgen?
Sie sollten überprüfen, ob Sie die bis zum 1. April 2021 für alle Praxen vorgeschriebenen Maßnahmen realisiert haben. Es sind aktuelle Virenschutzprogramme, verschlüsselte Internetanwendungen, Gerätesperrcodes für Smartphones und Tablets zu verwenden und ein Netzplan zur Netzsicherheit nachzuweisen. Leiten Sie Ihr Personal dazu an, dass in Ihrem Internetbrowser keine vertraulichen Daten erfasst oder über Apps verschickt werden. Apps dürfen nur aus offiziellen App Stores heruntergeladen werden und sind restlos zu löschen, wenn sie nicht mehr gebraucht werden. Stellen Sie sicher, dass alle Nutzer sich nach Gebrauch des Computers oder Geräts umgehend abmelden. Verzichten Sie bei Office-Produkten auf Cloud-Speicherung. Wenn Sie Dokumente an Dritte weiterleiten, entfernen Sie vorher vertrauliche Informationen.
Freiberufliche Ärzte und Zahnärzte müssen in allen Praxen bis zum 1. Januar 2022 u. a. nachstehende Schritte durchführen:
- im Internet, beispielsweise auf der Praxis-Homepage keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen zulassen,
- Aktivierung einer Firewall bei Internetanwendungen,
- Zugriffsberechtigungen für Personen und Personengruppen auf Programme und Dateien verbindlich regeln,
- permanente Datensicherung auf dem Praxisrechner anhand eines Plans,
- bei Verlust des Diensthandys SIM-Karte unverzüglich sperren lassen,
- Wechseldatenträger wie USB-Sticks nach jeder Verwendung auf Schadsoftware überprüfen,
- regelmäßige Updates für Betriebssysteme, Apps, Handys und örtliche Komponenten der Telematikinfrastruktur durchführen,
- nur Apps nutzen, die Dokumente verschlüsselt und lokal abspeichern.
Was ist das Digitale-Versorgung-Gesetz DVG?
Der Weg zur papierlosen Praxis ist in Deutschland noch weit. Das Gesundheitswesen insgesamt muss modernisiert und digitalisiert werden, um zugleich Ärzte von bürokratischen Auflagen zu entlasten. Diesem Zweck dient das Digitale-Versorgung-Gesetz (DVG). Es wurde Ende 2019 veröffentlicht und umfasst ein Paket von digitalen Maßnahmen. So sollen die Anwendungsfelder digitaler Gesundheitssysteme wesentlich erweitert und der Bevölkerung der Zugriff auf alle Behandlungsmethoden erleichtert werden.
Ein Beispiel dafür sind die Apps auf Rezept. Mediziner verschreiben digitale Anwendungen, beispielsweise zur Überwachung von Blutzuckerwerten, deren Kosten die Krankenkassen für wenigstens ein Jahr übernehmen. Ärzte dürfen durch das Digitale-Versorgung-Gesetz (DVG) nun Videosprechstunden und Online-Therapieangebote bewerben und auf ihrer Internetseite darauf hinweisen. Zusätzlich sollen Papiere durch elektronische Lösungen ersetzt werden. Das betrifft den ärztlichen Brief oder die gelbe Arbeitsunfähigkeitsbescheinigung. Künftig wird die Arztpraxis den Schein elektronisch an die Krankenkasse übermitteln. Auch Heil- und Hilfsmittel können auf digitalem Weg verschrieben werden. Durch die Vernetzung von Praxen, Krankenhäusern und Apotheken können Daten schneller und einfacher ausgetauscht werden, sodass beispielsweise Doppeluntersuchungen vermieden werden.
Mit dem Digitale-Versorgung-Gesetz (DVG) soll der Praxisalltag vereinfacht, Patienten Aufwand erspart, Einrichtungen zu Kosteneinsparungen verholfen und das Gesundheitssystem digital vorangebracht werden. Mediziner profitieren davon in hohem Maße, zugleich wachsen jedoch mit der technologischen Ausrichtung und Onlinenutzung die Risiken für freiberufliche Ärzte und Zahnärzte. Hier hilft die Absicherung über eine Ärzteversicherung gegen Cyber-Risiken.
Was ist eine Cyber-Versicherung?
Sobald Sie Daten in elektronischer Form verwalten und das Internet in Ihrer Praxis nutzen, besteht die Gefahr, dass sich Kriminelle Ihrer Daten bemächtigen und diese zu ihrem Vorteil nutzen wollen oder gar Ihre gesamte Medizin- und Informationstechnik außer Betrieb gesetzt wird. Neben dem Hacker-Angriff gibt es noch viele Möglichkeiten, an sensible Gesundheitsdaten heranzukommen, beispielsweise über Phishing, Computerviren, Malware usw.
Mit einer Cyber-Versicherung sorgen Sie vor. Hiermit können Sie sich vor Schäden schützen, die durch Datensabotage, wenn Ihre Patientendaten verändert, beschädigt oder gelöscht werden oder digitale Erpressung durch Blockierung des Praxis-Computers entstehen. Versichert sind die der Praxis dadurch entstehenden Kosten wie Beratungs- und Informationsausgaben, Betriebsunterbrechungsschäden, Vertragsstrafen, Lösegeldzahlungen oder Wiederherstellungskosten. Außerdem werden Vermögensschäden, die Dritten durch Cyber-Risiken bei Ihnen entstanden sind, ersetzt.
Warum ist eine Cyber-Versicherung gerade im Hinblick auf die IT-Sicherheitsrichtlinie sinnvoll?
Für medizinische Praxen zahlen sich die präventiven Risikomaßnahmen auf dem Gebiet der Cybersicherheit aus. Die Cyberkriminalität steigt schneller als die Ausstattung der Praxen mit moderner Technik. Durch das Einhalten der Vorgaben in den Arzt- und Zahnarztpraxen verringern sich die Cyber-Risiken und deren Auswirkungen für die Praxis. Ärzte, in deren Räumen die IT-Sicherheitsrichtlinie nicht ausreichend umgesetzt wird, drohen neben einem Bußgeld laut DSGVO beispielsweise Klagen geschädigter Patienten. Dafür muss der Praxisinhaber haften, falls er sich nicht genügend um die Durchsetzung der Richtlinie gekümmert hat. Daher enthält die IT-Sicherheitsrichtlinie den Hinweis, dass Cyber-Risiken auf Dritte, beispielsweise Cyber-Versicherer, verlagert werden können.
Weil bei einer Cyber-Versicherung viele Details zu klären sind und sich sowohl Beiträge als auch Deckungssummen der Anbieter erheblich unterscheiden, können sich Ärzte beim Versicherungsschutz leicht verkalkulieren. Bei Fragen hilft Ihnen unsere unabhängige Ärzteberatung weiter. Lassen Sie sich von einer auf Ärzte spezialisierten Beratung die Einzelheiten und Hintergründe erläutern. Wir beraten Sie objektiv und fair, Sie können auf unsere langjährige Erfahrung bei der Betreuung von Ärzten und Zahnärzten vertrauen. Seit über 30 Jahren unterstützt unsere Ärzteberatung niedergelassene Ärzte und Zahnärzte bei der Minimierung von Cyber-Risiken.
Welche Ärzteversicherungen sind für niedergelassene Ärzte und Zahnärzte noch wichtig?
Ärzteversicherungen gewährleisten im Ernstfall das Überleben der eigenen Praxis, wenn ein Schadensereignis den Inhaber finanziell zu überfordern droht. Folgende Ärzteversicherungen sind neben der Cyber-Versicherung zweckmäßig:
- Berufshaftpflichtversicherung für Ärzte (Entschädigungszahlungen für Fälle gesetzlicher Haftung aus der ärztlichen Tätigkeit)
- Praxisinventarversicherung (Ersatz des Schadens an der Praxisausstattung aufgrund plötzlicher Ereignisse wie Feuer)
- Elektronikversicherung (Schadenersatz für Schäden an Büro- und Medizintechnik durch Diebstahl oder unvorhersehbare Ereignisse wie Wasser)
- Betriebsunterbrechungsversicherung (Ersatz von Gewinnausfall durch Elementarereignisse oder Einbruchdiebstahl)
- Praxisausfallversicherung (finanzielle Entschädigung für Praxisausfall aufgrund von Elementarschäden oder Unfall bzw. Krankheit des Inhabers)
- Rechtsschutz für Ärzte (Leistungen zur Wahrnehmung rechtlicher Interessen des Praxisinhabers und seiner Arbeitnehmer).
In welchem Umfang diese Ärzteversicherungen vorteilhaft sind, muss individuell geprüft und entschieden werden. Dem Vertragsabschluss geht idealerweise eine ausführliche Beratung bei unseren Spezialisten voraus, damit Sie gegen die Gefahren der IT-Nutzung lückenlos und richtig versichert sind. Eine ausführliche Erklärung aller relevanten Ärzteversicherungen für Praxisinhaber finden Sie in unserem Ratgeber Praxisversicherungen.