IT-Sicherheitsrichtlinie der KBV in Kraft getreten

Die Vertreterversammlung der Kassenärztlichen Bundesvereinigung (KBV) hat im Dezember 2020 die im SGB V vorgeschriebene IT-Sicherheitsrichtlinie für vertragsärztliche und vertragspsychotherapeutische Praxen verabschiedet. Ebenfalls wurde die Richtlinie zur Zertifizierung von IT-Dienstleistern durch die KBV beschlossen. Die DPtV hat sich in den Gremien der KBV dafür eingesetzt, dass die Anforderungen an die IT- Sicherheit kleinere Organisationseinheiten berücksichtigen und der zusätzliche Aufwand vergütet wird. Entsprechende Regelungen im EBM werden derzeit durch den Spitzenverband der gesetzlichen Krankenkassen (GKV-SV) verweigert. Vertragspsychotherapeutische Praxen müssen sich bis zum 1. April 2021 um die ersten Schritte zur digitalen Absicherung der Praxis-IT kümmern. Danach sieht die Richtlinie weitere Maßnahmen zur Absicherung der Praxen vor.

Allgemeine Informationen und die konkret umzusetzenden Maßnahmen der IT-Sicherheitsrichtlinie finden sie hier.


IT-Sicherheit in der psychotherapeutischen Praxis

Die Umsetzung eines IT-Sicherheitskonzeptes ist grundsätzlich schon immer erforderlich gewesen, seit elektronische Datenverarbeitung in der psychotherapeutischen Praxis durchgeführt wird. Die Datenschutzgrundverordnung (DSGVO) hat diese Pflichten noch einmal konkretisiert. Vor dem Hintergrund bereits etablierter Anwendungen (Versichertenstammdatenabgleich (VSDM)) und der geplanten digitalen Anwendungen wächst die Notwendigkeit die IT-Sicherheit in den Praxen abzusichern.

Die IT-Sicherheit einer Praxis ist nicht nur von einzelnen Geräten abhängig, sondern von einem auf die jeweilige Praxis zugeschnittenen IT-Sicherheitskonzept. Dazu gehören technische und organisatorische Maßnahmen (TOMS).


Umsetzung der KBV-IT-Sicherheitsrichtlinie

Die Umsetzung der Vorgaben der IT-Sicherheitsrichtlinie ist eine vertragspsychotherapeutische Pflicht. Diese ist allerdings nicht mit Sanktionen belegt. Die Umsetzung wird nicht kontrolliert, solange kein Beschwerdefall auf eine diesbezügliche Pflichtverletzung vorliegt. Dennoch gilt zu bedenken, dass bei Nicht-Einhaltung der Vorgaben die Haftung für Datenschutzverletzung bei der Praxis liegt.

Dem eigenen Verhalten im Umgang mit sensiblen Daten kommt hierbei mindestens eine ebenso große Bedeutung zu wie der Sicherheit einzelner Geräte. Beispiele wären, dass sich ein Patient bei der KV beschwert, dass seine Akte offen einsehbar für Dritte gehändelt wird. Oder, dass sich ein Patient bei der Psychotherapeutenkammer beschwert, dass er Einsicht in die Namen anderer Patienten auf dem Bildschirm des Praxiscomputers nehmen konnte. Oder auch, dass Patientendaten über unverschlüsselte E-Mails verschickt werden.

Die KBV hat Umsetzungshilfen für ein IT-Sicherheitskonzept für Ihre Praxis entwickelt, die den Vorgaben der IT-Sicherheitsrichtlinie entsprechen und das Sie bei der Entwicklung des praxisindividuellen Sicherheitskonzeptes unterstützen kann. Die DPtV hat die von der KBV entwickelten Umsetzungshilfen für die psychotherapeutische Praxis mit bis zu fünf Mitarbeitenden aufbereitet. Dies entspricht der Einteilung in die „kleine Praxis“. 


Was ist zu tun?

Die Umsetzung soll stufenweise erfolgen. Bis zum 1. April 2021 sollen die ersten Maßnahmen umgesetzt werden, weitere Maßnahmen sind bis zum 1. Januar 2022 vorzunehmen.

Wie der jeweilige konkrete Fall und die erforderlichen konkreten technischen und organisatorischen Maßnahmen in Ihrer eigenen Praxis auszusehen haben, kann durchaus sehr verschieden sein. Grundsätzlich können die zum jetzigen Zeitpunkt formulierten Anforderungen durchaus vom Praxisinhaber selbst umgesetzt werden. Dazu können Sie unsere Informationsmaterialien und Musterdokumente verwenden.

Sie können aber auch zusätzlich einen IT-Fachberater Ihres Vertrauens oder einen der von der KBV hierfür zertifizierten Anbieter hinzuziehen.

Die Kosten für entsprechende technische und organisatorische Aufrüstmaßnahmen muss Ihre Praxis derzeit selbst tragen, es gibt derzeit keine zusätzliche Finanzierung über die Krankenkassen. Die DPtV setzt sich weiterhin in den Gremien der Selbstverwaltung dafür ein, dass sich dies künftig ändert.

Über eine Online-Schulung über das KBV-Fortbildungsportal können Sie zudem weitere Infos erhalten und Sie bekommen dafür auch Fortbildungspunkte!