Zahnärztliche Mitteilungen Nr. 3

Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit A. ANFORDERUNGEN ZUR GEWÄHRLEISTUNG DER IT-SICHERHEIT I. PRÄAMBEL Die Kassenzahnärztliche Bundesvereinigung hat nach § 75b SGB V den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertrags- zahnärztlichen Versorgung zu regeln. Sie hat damit den Auftrag, den Stand der Technik der technisch- organisatorischen Maßnahmen im Sinne von Artikel 32 Datenschutz-Grundverordnung zu stan- dardisieren. Die hier getroffene Richtlinie erfüllt die- sen Auftrag und dient damit dem Zweck, die Hand- habung der Vorgaben der Datenschutz-Grundver- ordnung im Zusammenhang mit der elektronischen Datenverarbeitung für die vertragszahnärztliche Pra- xis zu vereinheitlichen und zu erleichtern. Die Richtlinie adressiert die Schutzziele Vertraulich- keit, Integrität und Verfügbarkeit der IT-Systeme in der vertragszahnärztlichen Praxis. Die Richtlinie legt technische Anforderungen fest und beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die Anforderungen der IT-Sicherheit zu gewährleis- ten. Mit der Umsetzung der Anforderungen werden die Risiken der IT-Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT- Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden. II. GELTUNGSBEREICH 1. Diese Richtlinie legt die in einer vertragszahn- ärztlichen Praxis erforderlichen Anforderungen an die IT-Sicherheit fest. 2. Der/die Praxisinhaber ist/sind verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie. III. PRAXISGRÖSSEN UND ANFORDERUNGSKATEGORIEN Die umzusetzenden Anforderungen richten sich nach der Größe der Praxis. Dabei gilt Folgendes: 1. Praxis: Eine Praxis ist eine vertragszahnärztliche Praxis mit bis zu fünf ständig mit der Datenverar- beitung betrauten Personen. 2. Mittlere Praxis: Eine mittlere Praxis ist eine ver- tragszahnärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen. 3. Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Daten- verarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinaus- gehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore). IV. ANFORDERUNGEN ZUR GEWÄHRLEISTUNG DER IT-SICHERHEIT IN PRAXEN 1. Praxen nach A. III. 1. haben die Anforderungen aus Anlage 1 und 5 umzusetzen, soweit die Ziel- objekte in der Praxis genutzt werden. 2. Praxen nach A. III. 2. haben die Anforderungen aus Anlage 1, 2 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden. 3. Praxen nach A. III. 3. haben die Anforderungen aus Anlage 1, 2, 3 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden. 4. Sofern in der Praxis medizinische Großgeräte, wie Computertomograph (CT), Magnetresonanz- tomograph (MRT, Dental-MRT), Positronenemis- sionstomograph und Linearbeschleuniger, einge- setzt werden, sind ergänzend die Anforderungen aus Anlage 4 umzusetzen. 5. Die in dieser Richtlinie formulierten Anforderun- gen unterliegen einem kontinuierlichen Verbesse- rungsprozess mit einer jährlichen Evaluations- pflicht. Die erforderliche Evaluation richtet sich an der jeweiligen Informationssicherheitslage aus. B. INKRAFTTRETEN UND GELTUNG Diese Richtlinie tritt am Tag nach der Veröffentli- chung in Kraft. Die Anforderungen gelten ab den in den Anlagen angegebenen Zeitpunkten. 86 | BEKANNTMACHUNGEN zm 111, Nr. 3, 1.2.2021, (204)