kvt Kassenärztliche
Vereinigung Thüringen

Im Zusammenhang mit der Behandlung von Patienten werden Gesundheitsdaten auf Informationssystemen von KV-Mitgliedern verarbeitet. Deshalb haben jeder Arzt und jeder Psychotherapeut ein Interesse daran, dass diese Daten gesichert verarbeitet werden.

Die IT-Sicherheit in der vertragsärztlichen Versorgung beschäftigt sich systematisch mit Schwachstellen in Informationssystemen von KV-Mitgliedern. Es werden Risiken und Gefahren im Umgang mit der Verarbeitung von Patienten- und geschäftskritischen Daten untersucht. Effektive technische und organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit werden vorgeschlagen und schließlich überprüft sowie nötigenfalls verfeinert.

Mein Dienstleister schreibt mir, ich muss bis zum 01.04.2021 eine Hardware-Firewall kaufen

Die "Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung" nach § 75b SGB V beschreibt Anforderungen zur Gewährlleistung der IT-Sicherheit. Je nach Größe der Betriebsstätte benennt sie Maßnahmen und setzt Fristen bis zu denen diese Maßnahmen durchgeführt werden müssen. Ziel ist es, mehr Rechtssicherheit im Bereich Datenschutz und IT-Sicherheit für KV-Mitglieder zu schaffen. Weitere Hinweise zur Umsetzung der Maßnahmen finden sich in den Praxishinweisen.

Dort wird neben verschiedenen Maßnahmen, welche bis zum 01.04.2021 umgesetzt werden müssen zum Thema Netzwerksicherheit in Anlage 1 Lfd. Nummer 32 gefordert:

Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden.

Die Hinweise zu dem Punkt werden etwas deutlicher:

Es wird dringend empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden: 

  •  Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).

  •  Nur erlaubte Kommunikationsprotokolle zulassen.

Die Anschaffung der Hardware-Firewall ist der finanzielle Teil dieser Anforderung. Aufwand macht es für Sie, sich mit Ihrem Dienstleister zusammenzusetzen und die Anforderungen zu formulieren. Das sind nämlich die Dienste und Anwendungen, die Sie nach Einschalten der Firewall weiterhin nutzen möchten. Darunter fallen dann z.B. Google-Suche, eMail aus dem Internet, Zugriff auf das Mitgliederportal KVTop aus dem KV-SafeNet, der Versichertenstammdatendienst und KIM aus der Telematik Infrastruktur. Außer Ihnen kann niemand alle Dienste und Anwendungen kennen, welche Sie in den Arbeitsabläufen Ihrer Betriebsstätte benötigen. Damit haben Sie auch gleich einen Teil der Anforderungen nach Anhang 1 Lfd. Nummer 33 "Dokumentation des Netzes" erledigt. Ihr Dienstleister erstellt dann aus Ihrer Liste der benötigten Dienste eine Konfiguration der erlaubten Protokolle, IP-Adressen und Ports für die Firewall. Der Sicherheitsgewinn der Firewall entsteht aus dem Umstand, dass alle nicht definierten Dienste und Anwendungen ausgeschlossen werden. Da immer mal wieder Dienste und Anwendungen wegfallen oder dazu kommen muss die Konfiguration der Firewall regelmäßig angepasst bzw. gewartet werden.

Wenn sich Ihr Dienstleister nun überraschend für die IT-Sicherheit in Ihrer Betriebsstätte interessiert, dann prüfen Sie bitte zunächst dessen Eignung. Dazu bietet die KBV den Dienstleistern eine Zertifizierung nach § 75b Absatz 5 SGB V an. Ein entsprechendes Zertifikat ist ein guter Anhaltspunkt dafür, ob es sich bei dem Angebot mit der Hardware-Firewall nur um Verkaufsförderung oder um eine zielführende Lösung handelt.

Kleine Serie zur IT-Sicherheit in der vertragsärztlichen Versorgung