• In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
• Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
• Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
• Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
• Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
• Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
• Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
• Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

Ab 1. Januar 2022

• Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
• Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
• Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
• Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
• Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
• Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
• Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
• Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).

• App-Berechtigungen minimieren: Bevor eine App eingeführt wird, muss sichergestellt werden, dass sie nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält; weitere müssen hinterfragt und gegebenenfalls unterbunden werden (vgl. Anlage 2 Nummer 1).

ab 1. Januar 2022

• Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (vgl. Anlage 2 Nummer 8). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

ab 1. Januar 2022

• Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden (vgl. Anlage 3 Nummer 1). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie **

ab 1. Juli 2021

• Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können (Anlage 4 Nummer 1).
• Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden (Anlage 4 Nummer 2).

• Praxis: Hier sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut.
• Mittlere Praxis: Hier sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
• Große Praxis: Hier sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über die normale Datenübermittlung hinausgeht (z.B. Labor, Groß-MVZ mit krankenhausähnlichen Strukturen).
• Medizinische Großgeräte: zum Beispiel CT, MRT, PET, Linearbeschleuniger.

Hinter der Richtlinie steht der Gesetzgeber. Im Digitale-Versorgung-Gesetz beauftragte er die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicherheitsrichtlinie für alle Praxen zu entwickeln. Darin sollten die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Weitere Anforderungen an die Richtlinie:

• Sie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und jährlich aktualisiert werden.
• Sie soll nach dem Stand der Technik Sicherheitsanforderungen an Arzt- und Psychotherapeutenpraxen festlegen. Dabei geht es um Punkte wie Sicherheitsmanagement, Organisation und Personal, IT-Systeme, Anwendungen und Dienste oder das Aufspüren von Sicherheitsvorfällen.

Zudem hatten KBV und KZBV die Aufgabe, mit einer weiteren Richtlinie die Zertifizierung von Dienstleistern zu regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen.

Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten seid 1. Januar 2021. Im Einverständnis mit der KZBV wird das Verfahren der Zertifizierung durch die KBV durchgeführt.