Aktuell
Kategorie: Berufspolitik, Gesundheitspolitik, GKV-Szene, Medien & Internet, Praxismanagement
IT-Sicherheit: Worauf sich Zahnärzte jetzt einstellen müssen
Dr. Robert Kazemi mit einer ersten Würdigung der neuen IT-Sicherheitsrichtlinie: Beitrag und Interview bei Quintessence News
Auszugweise Veröffentlichung mit freundlicher Genehmigung der Redaktion von Quintessence News ergänzend zum heutigen Interview:
Am 19. Januar 2021 hat die Kassenzahnärztliche Bundesvereinigung darüber berichtet, dass die Delegierten der Vertreterversammlung im schriftlichen Umlaufverfahren der „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ (sog. IT-Sicherheitsrichtlinie) zugestimmt haben. Am heutigen 1. Februar 2021 ist der Richtlinientext, wie angekündigt, in den „Zahnärztlichen Mitteilungen“ veröffentlicht worden. Sie tritt damit am 2. Februar 2021 in Kraft. Wenig überraschend, zeigt sich die von der KZBV erlassene Richtlinie bis auf wenige Ausnahmen identisch mit der von der KBV bereits am 18. Dezember 2020 veröffentlichten und zum 22. Januar 2021 in Kraft getretenen Richtlinie für die Vertragsärzte und Psychotherapeuten. In concreto beschränkt sich der Unterschied auf die Aufnahme Dental-MRTs in die Großgeräteliste nach Anlage 4 der Richtline.
Warum ist die IT-Sicherheitsrichtline überhaupt erlassen worden?
Viele werden sich fragen, warum sie als niedergelassene Vertragsärzte nun – mitten in der Corona-Pandemie – von der KZBV jetzt auch noch mit einer IT-Sicherheitsrichtlinie konfrontiert werden, die – dies verschärft die ganze Sache noch zusätzlich – bereits in zwei Monaten, das heißt zum 1. April 2021, in zahlreichen Punkten durch die Zahnarztpraxen umgesetzt sein muss und bis in den Sommer 2022 hinein zu weiteren Umsetzungsmaßnahmen verpflichtet, die unter Umständen und je nach aktueller Ausstattung der Praxis nicht unerhebliche Investitionen nach sich ziehen. Die Antwort ist dem Grunde nach recht schnell gefunden: Der Bundesgesetzgeber hat die KBV und die KZBV hierzu im Rahmen des zum 19. Dezember 2019 in Kraft getretenen Paragrafen 75b Fünftes Sozialgesetzbuch (SGB V) verpflichtet.
Eigentlich hätte die Umsetzung dieser Verpflichtungen bereits zum 30. Juni 2020 im Erlass einer entsprechenden Richtlinie münden müssen; die beiden Bundesvereinigungen taten sich jedoch recht schwer darin, die Normvorgaben auszufüllen und das richtige Maß an Anforderungen für die Arzt- und Zahnarztpraxis zu finden. Die ursprüngliche Bestrebung zum Erlass einer gemeinsamen Richtlinie der KZBV und der KBV wurde daher zwischenzeitlich von der KBV gänzlich verworfen (https://www.zm-online.de/news/politik/kzbv-will-eigene-it-sicherheitsrichtlinie-vorlegen/); wie die nunmehr im Wesentlichen wortidentisch veröffentlichte Richtlinie der KZBV zeigt, herrscht indes zwischenzeitlich wieder Einigkeit.
Dies war auch dringend notwendig, nachdem das BMG den beiden Vereinigungen aufsichtsrechtliche Maßnahmen angedroht hatte (siehe Bericht im Deutschen Ärzteblatt), wenn nicht zeitnah eine Richtlinie verabschiedet werde. Dies barg die Gefahr der sogenannten Ersatzvornahme und dem Erlass einer IT-Sicherheitsrichtlinie aus dem Ministerium heraus. Ob eine solche, anlässlich der offenen Kritik am IT-Sicherheitsniveau in Arzt- und Zahnarztpraxen und dem voseiten der KBV vorgeschlagenen Richtlinientexten (vgl. etwa den Bericht im Handelsblatt [kostenpflichtig]) vorteilhaft gewesen wäre, mag bezweifelt werden. Leider, dies zeigt ein vertiefter Blick in den nunmehr erlassenen Richtlinientext, ist jedoch auch KBV und KZBV mit der IT-Sicherheitsrichtlinie kein „großer Wurf“ gelungen. Vielmehr dürfte die Richtlinie viele Ärzte und Zahnärzte, die selbst keine IT-Sicherheitsexperten sind und auch nicht werden sollen, inhaltlich überfordern. Zudem zeigt sich die Richtlinie in vielen Punkten unbestimmt und unklar, woran auch die zwischenzeitlich von der KBV veröffentlichten Praxishinweise (abrufbar unter: https://hub.kbv.de/display/itsrl) tatsächlich kaum etwas ändern dürften. Ob die Richtline und die hierin normierten Anforderungen daher schlussendlich insgesamt rechtmäßige Regelungen darstellen, mag bezweifelt, soll aber an dieser Stelle zunächst nicht weiter vertieft werden.
Zielsetzung der IT-Sicherheitsrichtlinie
Im ursprünglichen Gesetzesentwurf zu Paragraf 75b SGB V heißt es, dass die fortschreitende Digitalisierung neue Potenziale und Synergien in der medizinischen Versorgung eröffne, gleichzeitig aber auch die Abhängigkeit von IT-Systemen in der vertragsärztlichen und vertragszahnärztlichen Versorgung wachse. Dies wiederum gehe mit einem wesentlich erhöhtem Bedrohungspotenzial für Cyberangriffe in der Praxis einher, die sich zunehmend zielgerichteten, technologisch ausgereiften und komplexeren Angriffen ausgesetzt sähen (BT-Drucks. 19/13438, S. 48). Da diese Bedrohungslage auf freiwilliger Basis nicht hinreichend und vor allem nicht flächendeckend begegnet werde, sah sich der Bundesgesetzgeber dazu veranlasst, die Vertragsärzte und -zahnärzte zur Etablierung gewisser Mindeststandards zum sicheren Umgang mit Daten zu verpflichten. Der Beschreibung dieser Mindestanforderungen dient die nunmehr erlassene IT-Sicherheitsrichtlinie.
Was wird geregelt?
Vordergründig und wohl auch nach Auffassung der KBV in ihren Praxishinweisen normiert die IT-Sicherheitsrichtlinie Anforderungen an den Einsatz von Hard- und Software in der Zahnarztpraxis, wobei – je nach Praxisgröße – unterschiedlich hohe beziehungsweise weitreichende Anforderungen normiert werden. Wer die Richtlinie etwas genauer liest, der wird schnell feststellen, dass die Erfüllung zahlreicher Anforderungen auch rechtliche Maßnahmen erfordert, zu denen sich weder der Richtlinientext, noch die Praxishinweise konkret verhalten, die aber denknotwendiger Weise zu ergreifen sein werden, will man die Richtlinienanforderungen auch wirksam erfüllen. Dies wiederum wird die adressierten Zahnarztpraxen gegebenenfalls auch vor arbeits- und datenschutzrechtliche Probleme stellen, die eine pragmatische und praxistaugliche Lösung erfordern. Die KZBV ist hierzu indes weder berufen, noch befugt; ob diese Probleme bei Abfassung der Richtlinie überhaupt adressiert und wahrgenommen wurden, muss hier offenbleiben.
Praxisgröße entscheidend, doch was ist die Praxis?