Wie sicher ist meine Praxis in der Telematikinfrastruktur?

USB Stecker

Die Verunsicherung der Ärzte und Psychotherapeuten bei der Frage, ob ihre Praxen sicher an die Telematikinfrastruktur angebunden sind, ist weiterhin hoch. Dabei ist nicht entscheidend, ob die Praxis im sogenannten Reihen- oder Parallelbetrieb angeschlossen ist.

Reihen- oder Parallelbetrieb als Standard

Beide Installationsvarianten sind von der gematik als Standard-Szenarien für den sicheren Anschluss an die Telematikinfrastruktur (TI) vorgesehen. Welche für eine Praxis am besten ist, hängt von der IT-Infrastruktur der Praxis und den schon vorhandenen Sicherungsmaßnahmen ab.

Reihenbetrieb: Praxen ohne komplexe IT-Vernetzung

Im Reihenbetrieb – auch als serieller Betrieb bezeichnet – befinden sich Kartenterminals und Praxisrechner im selben Praxisnetzwerk (LAN). Sie erhalten den Zugang zur TI nur über den Konnektor, dessen integrierte Firewall das Praxisnetz vor unautorisierten Zugriffen schützt. Der Reihenbetrieb eignet sich vor allem für Praxen, die vorher noch keine Internetanbindung hatten oder die über keine komplexe IT-Vernetzung verfügen.

Parallelbetrieb: Praxen mit komplexer IT-Infrastruktur

Für Praxen, die bereits eine komplexere IT-Infrastruktur haben und diese auch entsprechend absichern, ist dagegen eher der Parallelbetrieb geeignet. Hier wird der Konnektor in das bestehende Praxisnetzwerk und dessen Sicherheitsmaßnahmen integriert. Er ist dann ein gleichwertiger, aber eigenständiger Teil des LAN neben anderen Komponenten wie dem Praxis-PC und dem Kartenterminal. Da die integrierte Firewall des Konnektors nicht genutzt werden kann, müssen eigene Sicherheitsmaßnahmen der Praxis wie eine eigene Firewall die Praxis-IT absichern.

Muster-Installationsprotokoll verschafft Überblick

Damit Praxen nachvollziehen und dokumentieren können, was der IT-Dienstleister beim Anschluss an die TI macht oder gemacht hat, sollten sie sich eng mit ihm abstimmen. Der Dienstleister ist grundsätzlich verpflichtet, die Installation verantwortungsvoll und ordnungsgemäß durchzuführen. Idealerweise füllt er das Muster-Installationsprotokoll der gematik aus. Dort wird neben technischen Details auch vermerkt, ob eine Beratung zu sicherheitsrelevanten Aspekten stattgefunden hat.

Abgleichen von Abnahmeprotokoll mit Muster-Installationsprotokoll

Die Angaben im Protokoll sind für alle Praxen relevant, unabhängig davon, ob sie bereits an die TI angeschlossen sind oder die Installation gerade stattfindet. Praxen, die den TI-Anschluss bereits abgenommen haben, sollten prüfen, ob es Punkte oder Fragen gibt, die im Abnahmeprotokoll im Gegensatz zum Muster-Installationsprotokoll nicht vorkommen.

Praxen verantwortlich für Sicherheit der Patientendaten

Unabhängig vom Anschluss an die TI ist jeder Praxisinhaber für die Sicherheit der Patientendaten verantwortlich. Er muss für die Praxis technische und organisatorische Maßnahmen für den Datenschutz festlegen. Hierzu zählen neben der Netzwerksicherheit auch Punkte wie die Verwendung eines Virenschutzes und sicherer Passwörter. Die “Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen” bietet hierfür eine gute Übersicht.

Informationsblatt zu Datenschutz und Haftung

Dagegen haben Praxen bei der Anbindung an die TI nur wenig Einfluss, da die gesamte Architektur der TI und die einzelnen Komponenten von der gematik spezifiziert und zertifiziert wurden. Auf deren Sicherheit kann er sich daher prinzipiell verlassen. In einem Informationsblatt zu Datenschutz und Haftung stellt die gematik klar, dass Ärzte und Psychotherapeuten nicht haften, sofern die zugelassenen Konnektoren vorschriftsgemäß verwendet, aufgestellt und betrieben würden.

Neue Richtlinie zu IT-Sicherheit ab Mitte 2020

Die KBV hat mit dem Digitale-Versorgung-Gesetz (DVG) den Auftrag erhalten, bis zum 30. Juni 2020 eine Richtlinie zur IT-Sicherheit in der Arztpraxis zu erstellen. Die bereits vorhandene „Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen“ soll dabei eine Grundlage sein, die weiter ausgebaut und ausgearbeitet wird. Die KBV wird sich dabei mit dem Bundesamt für Sicherheit in der Informationstechnik abstimmen. Für Praxen soll die neue Richtlinie eine Handlungsempfehlung sein, mit der sie bei korrekter Umsetzung auch rechtlich abgesichert sind.

Zertifizierung ab 1. Juli 2020

Eine weitere Aufgabe der KBV aus dem DVG ist es, vertrauenswürdige Dienstleister für die Beratung von Praxen zu IT und TI zu zertifizieren. Die Zertifizierung soll ab dem 1. Juli 2020 möglich sein. Die Anforderungen dafür werden bis zum Frühjahr 2020 entwickelt. Eine Zertifizierung von Praxen ist dagegen nicht vorgesehen.

Quelle: PI – Kassenärztliche Bundesvereinigung (KBV), 05.12.2019
[Bewertungen: 0 - Durchschnitt: 0]
Teile diesen Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.