Zahnärztliche Mitteilungen Nr. 14

zm 110, Nr. 14, 16.7.2020, (1382) licht werden. Zu guter Letzt kann noch eine hohe Strafe auf den Praxisbetrei- ber zukommen. Exakt an dieser Stelle knüpft die Richtlinie an. Denn während die DSGVO ausführt, DASS alles sicher sein muss, liefert die IT-Sicherheitsrichtlinie nun die konkrete Hilfestellung WIE. Praxen, die bereits auf dem Stand der Technik sind und die Maßnahmen zum Datenschutz be- rücksichtigen, müssen keine maßgeb- lichen weiteren Verpflichtungen durch die IT-Sicherheitsrichtlinie befürchten. Generell enthält die IT-Sicherheits- richtlinie keine neuen Auflagen, son- dern beschreibt Maßnahmen zur Um- setzung der bestehenden Vorgaben. Die TI ist schuld. Diese Behauptung wird in der Öffentlichkeit gerne an- geführt. Richtig ist, dass die Anbindung der Praxis an die TI in der IT-Sicher- heitsrichtlinie behandelt wird, da es sich um einen Teil der Praxis-IT handelt. Aber auch reine Offline- Praxen mit Karteikarten- systemen und nur einem Praxiscomputer mussten bisher schon die Vorgaben der DSGVO umsetzen und tun damit gut daran, in gleicher Weise die kommende IT- Sicherheitsrichtlinie zu berücksichtigen. Die Gefährdung durch unbefugte Daten- einsicht, Manipulation und Zerstörung besteht auch innerhalb der Praxis beziehungsweise des Praxissystems, ein Internet-Zugang ist dafür nicht not- wendig. Schon ein unbedacht ange- schlossener USB-Stick, der vielleicht im Wartezimmer „aus Versehen“ liegen gelassen wurde, kann Schadsoftware in die Praxis bringen. Gerade bei „Offline- Praxen“ wird dem kaum ein aktueller Virenscanner entgegenwirken. Fakt ist, dass ein Konnektor – bei korrekter Installation und korrektem Betrieb – mehr Sicherheit als ein herkömmlicher Router bietet. De facto erhöht die Anbindung an die TI in der Regel die Sicherheit und verringert sie nicht. DIE TI ERHÖHT DIE SICHERHEIT, SIE VERRINGERT SIE NICHT Am einfachsten wäre es gewesen, dass IT-Grundschutzkompendium des BSI, das allgemeine Vorgaben zur IT-Sicher- heit enthält mit seinen 816 Seiten an die Praxen zu verteilen. Aber natürlich war das keine Option, weil es für die Anwendung in der Zahnarztpraxis viel zu überdimensioniert und zu unver- ständlich ist. KZBV, KBV und BSI haben deshalb ein an das Grundschutzkom- pendium angelehntes Profil erarbeitet, das die Anforderungen des BSI und des Gesetzgebers erfüllt, aber auf die Gegeben- heiten in Arzt- und Zahnarztpraxen zu- geschnitten ist. Zudem hat sich die KZBV dafür stark gemacht, dass die Zahnarzt- praxen eine Art verständliches Handbuch – den Praxis-Guide – erhalten. Er ent- hält verknüpfte praktische Anleitungen, Ausfüllhilfen, Checklisten, Muster- dokumente, Tipps und Tricks sowie Erklärvideos zur IT-Sicherheit. Ziel ist, die Praxis in die Lage zu ver- setzen, selbst einzuschätzen, ob und wie sie ihre IT-Sicherheit verbessern muss – und dafür eventuell externe Hilfe durch einen IT-Dienstleister benötigt. Sollte die Notwendigkeit be- stehen, sich externe Hilfe in die Praxis zu holen, dann sollten Zahnärzte vor- zugsweise einen zertifizierten Dienst- leister auswählen, da dieser ganz sicher mit der Umsetzung der IT-Sicherheits- richtlinie in Arzt- und Zahnarztpraxen vertraut ist. Eine Liste der zertifizierten Techniker wird die KZBV rechtzeitig auf ihrer Webseite veröffentlichen. Die KZBV hat es geschafft, externe Audits – Praxisbegehungen – zu ver- hindern. Das bedeutet jedoch nicht, dass Maßnahmen zur Umsetzung der IT-Sicherheitsrichtlinie nun ver- nachlässigt werden können und keine Strafen bei Verletzung der DSGVO zu erwarten sind. Das Gegenteil ist der Fall. Bisher war es für die Praxen schwierig, zu entscheiden, mit welchen Maßnahmen sie dem gesetzlich gefor- derten Datenschutz gerecht werden – eine Lücke, die nun durch die IT- Sicherheitsrichtlinie geschlossen wird. Sollten nun Datenschutzverletzungen aufgedeckt werden und die betroffene Praxis hat nachweislich die IT-Sicher- heitsrichtlinie mit den Hilfen aus dem Praxis-Guide umgesetzt, wird sich das deutlich zum Vorteil der Praxis auswirken. DIE RICHTLINIE DARF KEIN HEXENWERK SEIN Geplant ist, dass die IT-Sicherheitsricht- linie im Herbst 2020 von der Vertreter- versammlung der KZBV beschlossen werden kann und damit für die Zahn- arztpraxen verbindlich sein wird. Die KZBV hat sich bewusst dafür entschie- den, die IT-Sicherheitsrichtlinie aktiv mitzugestalten, um ein Signal an die Politik aber auch an die Kollegen- schaft zu senden, dass der Schutz und die Sicherheit von Patienten- daten und Medizin- dokumenten außer- ordentlich wichtig sind, aber auch im Verhältnis zu den Gegebenheiten in den Praxen stehen müssen. Außerdem darf die IT-Sicherheitsrichtlinie kein „Hexen- werk“ sein und muss von jeder Praxis nachvollziehbar und selbst umsetzbar sein. KZBV Hintergrund: Der Gesetzgeber gibt vor, dass KBV und KZBV bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärzt- lichen und vertragszahnärztlichen Versorgung festlegen müssen. Wegen der Pandemie erhielten sie einen Frist- aufschub. Die Ausarbeitung erfolgt zwischen KZBV, KBV und dem Bundes- amt für Sicherheit in der Informations- technik (BSI) im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer, der Bundes- zahnärztekammer, der Deutschen Krankenhausgesellschaft, Industrie- verbänden aus dem Bereich Gesund- heitswesen (wie dem Verband Deutscher Dental-Software Unternehmen) und der gematik. „Die IT-Sicherheitsrichtlinie enthält keine neuen Vorgaben, sondern beschreibt Maßnahmen zur Umsetzung der bestehenden Vorgaben!“ Dr. Karl-Georg Pochhammer, stellvertretender KZBV-Vorsitzender 20 | POLITIK