Ärzte und Zahnärzte: DS-GVO reicht dem Gesetzgeber nicht!

In der vertragsärztlichen Versorgung tätige Mediziner*innen müssen jetzt für mehr IT-Sicherheit auch noch die Richtlinie nach § 75b SGB V.

IT- und Cyber-Sicherheit: Die DS-GVO beinhaltet bereits den technischen Datenschutz.

Neben der DS-GVO, in der die IT-Sicherheit bereits im Bereich „Technische und organisatorische Maßnahmen“ (TOM) definiert muss nun parallel auch noch die Richtlinie nach § 75B SGB V zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung umgesetzt werden.

1. DS-GVO

  • Nach Art. 32 DS-GVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

2. Richtlinie nach § 75b SGB V

  • KBV und Kassenzahnärztliche Bundesvereinigung (KZBV) haben nach § 75b SGB V den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung zu regeln. … Beide Richtlinien wurden von der KBV-Vertreterversammlung am 16. Dezember 2020 beschlossen und gelten ab 1. Januar 2021.

Wer ist verantwortlich? Praxisinhaber*in sind allein verantwortlich!

Der/die Praxisinhaber ist/sind verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie sowie der DS-GVO. Die Verantwortungen können nicht delegiert werden. Weder an einen Datenschutzbeauftragten noch an eine IT-Dienstleister. IT-Dienstleister können bzgl. der Richtlinie nach § 75b SGB V zertifiziert werden.

  • U.a. geht aus den „Anforderungen für Praxen“ unter 32. hervor: Anforderung „Absicherung der Netzübergangspunkte“, Erläuterung: „Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden.“ Somit wird eine Hardware-Firewall (dringende Empfehlung: mit Sandboxing) Pflicht.

Besser verstehen um was es geht. Dieses Video hilft dabei:


Wo stehen Sie bzgl. der DS-GVO?

Die folgenden Fragen sollten Sie mit ja beantworten können:

  1. Verfügen Sie über ein aktuelles Verzeichnis von Verarbeitungstätigkeiten?
  2. Haben Sie mit Ihrem IT-Dienstleister einen Auftragsverarbeitungsvertrag abgeschlossen?
  3. Haben Sie die Obliegenheiten des IT-Dienstleisters schriftlich vereinbart.
  4. Sind Ihre IT-Infrastruktur, alle Einstellungen und Regelungen schriftlich dokumentiert?
  5. Verfügen Sie über eine allgemeine Datenschutzerklärung, die auch Dienstleister oder Bewerber und nicht nur Patienten umfasst?
  6. Arbeiten Sie mit einer speziellen Datenschutzerklärung für Bewerber?
  7. Haben Sie mit Ihren Mitarbeiterinnen und Mitarbeitern die Einhaltung des Datenschutzes detailliert schriftlich vereinbart?
  8. Sind die Regeln für den Datenschutz in der Praxis (offline) schriftlich definiert?
  9. Sind alle Mitarbeiter*innen auf den sicheren Umgang mit E-Mails und Passwörtern eingewiesen?
  10. Verfügen Sie über einer Cyber-Versicherung?

Bilder: ©_Alexander_Limbach_AdobeStock,