Eine echte Umsetzungshilfe
Seit Jahren veröffentlichen die Kassenzahnärztliche Bundesvereinigung (KZBV) und die Bundeszahnärztekammer (BZÄK) auf ihren Webseiten einen regelmäßig aktualisierten Leitfaden zu Datenschutz- und Datensicherheit, um die Praxen zu informieren, was sie über eine zeitgemäße IT-Sicherheit wissen müssen. Für eine neue IT-Sicherheitsrichtlinie bestand daher aus Sicht der KZBV keine Notwendigkeit. Der Gesetzgeber sah das anders – und angesichts dieser Vorgabe gibt es jetzt die Möglichkeit, die Anforderungen dafür mitzugestalten. Denn wer, wenn nicht die Zahnärzteschaft selber, könnte die Praxisabläufe und die technische Ausstattung der Zahnarztpraxen besser beurteilen? Ein Diktat des Gesetzgebers aus Berlin zu riskieren, das wäre keine Alternative gewesen. BMG und BSI sind hier Theoretiker, die die Arbeit und die Praxisabläufe überhaupt nicht kennen. Am Ende ist die IT-Sicherheitsrichtlinie für Zahnarztpraxen verbindlich.
Schon im Vorfeld wurden viele falsche Informationen über die besagte Richtlinie gestreut: Die Anforderungen würden sich verschärfen, die Aufwände zeitlich und finanziell durch die Decke schießen. Tatsächlich regelt das Bundesdatenschutzgesetz (BDSG) seit 1977 (!) den Umgang mit personenbezogenen Daten, und seit Mai 2018 schützt die Datenschutz-Grundverordnung (DSGVO) natürliche Personen hinsichtlich der Verarbeitung ihrer Daten. Schon heute verlangt die DSGVO, dass Patientendaten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen geschützt werden. Dazu zählen etwa das Abschließen von Karteikartenschränken, ein PVS-Passwortschutz oder auch regelmäßige Back-ups.
Es kommen keine neuen Auflagen
Jedem Praxisinhaber ist bekannt, dass ein Datenverlust vertraulicher Patienten- und Medizindokumente fatale Folgen hat. Einerseits ist das Vertrauen in die Praxis erschüttert, andererseits ist die Datenschutzaufsicht über die Datenschutzverletzung zu benachrichtigen. Wenn es ganz dick kommt, muss in der Zeitung eine Bekanntmachung über den „Datenskandal“ veröffentlicht werden. Zu guter Letzt kann noch eine hohe Strafe auf den Praxisbetreiber zukommen. Exakt an dieser Stelle knüpft die Richtlinie an.
Denn während die DSGVO ausführt, DASS alles sicher sein muss, liefert die IT-Sicherheitsrichtlinie nun die konkrete Hilfestellung WIE. Praxen, die bereits auf dem Stand der Technik sind und die Maßnahmen zum Datenschutz berücksichtigen, müssen keine maßgeblichen weiteren Verpflichtungen durch die IT-Sicherheitsrichtlinie befürchten. Generell enthält die IT-Sicherheitsrichtlinie keine neuen Auflagen, sondern beschreibt Maßnahmen zur Umsetzung der bestehenden Vorgaben.
Die TI ist schuld. Diese Behauptung wird in der Öffentlichkeit gerne angeführt. Richtig ist, dass die Anbindung der Praxis an die TI in der IT-Sicherheitsrichtlinie behandelt wird, da es sich um einen Teil der Praxis-IT handelt. Aber auch reine Offline-Praxen mit Karteikartensystemen und nur einem Praxiscomputer mussten bisher schon die Vorgaben der DSGVO umsetzen und tun damit gut daran, in gleicher Weise die kommende IT-Sicherheitsrichtlinie zu berücksichtigen. Die Gefährdung durch unbefugte Dateneinsicht, Manipulation und Zerstörung besteht auch innerhalb der Praxis beziehungsweise des Praxissystems, ein Internet-Zugang ist dafür nicht notwendig. Schon ein unbedacht angeschlossener USB-Stick, der vielleicht im Wartezimmer „aus Versehen“ liegen gelassen wurde, kann Schadsoftware in die Praxis bringen. Gerade bei „Offline-Praxen“ wird dem kaum ein aktueller Virenscanner entgegenwirken. Fakt ist, dass ein Konnektor – bei korrekter Installation und korrektem Betrieb – mehr Sicherheit als ein herkömmlicher Router bietet. De facto erhöht die Anbindung an die TI in der Regel die Sicherheit und verringert sie nicht.
Die TI erhöht die Sicherheit, sie verringert sie nicht
Am einfachsten wäre es gewesen, dass IT-Grundschutzkompendium des BSI, das allgemeine Vorgaben zur IT-Sicherheit enthält mit seinen 816 Seiten an die Praxen zu verteilen. Aber natürlich war das keine Option, weil es für die Anwendung in der Zahnarztpraxis viel zu überdimensioniert und zu unverständlich ist. KZBV, KBV und BSI haben deshalb ein an das Grundschutzkompendium angelehntes Profil erarbeitet, das die Anforderungen des BSI und des Gesetzgebers erfüllt, aber auf die Gegebenheiten in Arzt- und Zahnarztpraxen zugeschnitten ist. Zudem hat sich die KZBV dafür stark gemacht, dass die Zahnarztpraxen eine Art verständliches Handbuch – den Praxis-Guide – erhalten. Er enthält verknüpfte praktische Anleitungen, Ausfüllhilfen, Checklisten, Musterdokumente, Tipps und Tricks sowie Erklärvideos zur IT-Sicherheit.
Die IT-Sicherheitsrichtlinie enthält keine neuen Vorgaben, sondern beschreibt Maßnahmen zur Umsetzung der bestehenden Vorgaben!
Dr. Karl-Georg Pochhammer, stellvertretender KZBV-Vorsitzender
Ziel ist, die Praxis in die Lage zu versetzen, selbst einzuschätzen, ob und wie sie ihre IT-Sicherheit verbessern muss – und dafür eventuell externe Hilfe durch einen IT-Dienstleister benötigt. Sollte die Notwendigkeit bestehen, sich externe Hilfe in die Praxis zu holen, dann sollten Zahnärzte vorzugsweise einen zertifizierten Dienstleister auswählen, da dieser ganz sicher mit der Umsetzung der IT-Sicherheitsrichtlinie in Arzt- und Zahnarztpraxen vertraut ist. Eine Liste der zertifizierten Techniker wird die KZBV rechtzeitig auf ihrer Webseite veröffentlichen.
Die KZBV hat es geschafft, externe Audits – Praxisbegehungen – zu verhindern. Das bedeutet jedoch nicht, dass Maßnahmen zur Umsetzung der IT-Sicherheitsrichtlinie nun vernachlässigt werden können und keine Strafen bei Verletzung der DSGVO zu erwarten sind. Das Gegenteil ist der Fall. Bisher war es für die Praxen schwierig, zu entscheiden, mit welchen Maßnahmen sie dem gesetzlich geforderten Datenschutz gerecht werden – eine Lücke, die nun durch die IT-Sicherheitsrichtlinie geschlossen wird. Sollten nun Datenschutzverletzungen aufgedeckt werden und die betroffene Praxis hat nachweislich die IT-Sicherheitsrichtlinie mit den Hilfen aus dem Praxis-Guide umgesetzt, wird sich das deutlich zum Vorteil der Praxis auswirken.
Die Richtlinie darf kein Hexenwerk sein
Geplant ist, dass die IT-Sicherheitsrichtlinie im Herbst 2020 von der Vertreterversammlung der KZBV beschlossen werden kann und damit für die Zahnarztpraxen verbindlich sein wird. Die KZBV hat sich bewusst dafür entschieden, die IT-Sicherheitsrichtlinie aktiv mitzugestalten, um ein Signal an die Politik aber auch an die Kollegenschaft zu senden, dass der Schutz und die Sicherheit von Patientendaten und Medizindokumenten außerordentlich wichtig sind, aber auch im Verhältnis zu den Gegebenheiten in den Praxen stehen müssen. Außerdem darf die IT-Sicherheitsrichtlinie kein „Hexenwerk“ sein und muss von jeder Praxis nachvollziehbar und selbst umsetzbar sein.
Hintergrund: Der Gesetzgeber gibt vor, dass KBV und KZBV bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festlegen müssen. Wegen der Pandemie erhielten sie einen Fristaufschub. Die Ausarbeitung erfolgt zwischen KZBV, KBV und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft, Industrieverbänden aus dem Bereich Gesundheitswesen (wie dem Verband Deutscher Dental-Software Unternehmen) und der gematik.