Reicht der Virenschutz, um die Richtlinie zu erfüllen?

Nein. Virenschutz ist nur einer von mehreren Punkten. Dazu kommen unter anderem Firewall, Patch-Management, getestete Datensicherung, Zugriffsschutz, Netztrennung und vor allem die Dokumentation aller Maßnahmen.

Was passiert, wenn die Maßnahmen nicht dokumentiert sind?

Im Prüfungsfall zählt der Nachweis. Maßnahmen, die zwar umgesetzt, aber nicht dokumentiert sind, lassen sich schwer belegen. Deshalb gehört die Dokumentation von Anfang an dazu.

Die IT-Sicherheitsrichtlinie der KBV: der 12-Punkte-Check

Q: Für wen gilt die IT-Sicherheitsrichtlinie der KBV?

Sie gilt für alle Praxen, die an der vertragsärztlichen Versorgung teilnehmen. Die konkreten Anforderungen staffeln sich nach Praxisgröße, gemessen an der Zahl der mit der Datenverarbeitung betrauten Personen, und nach genutzter Technik: je größer das Team und je mehr eigene Infrastruktur, desto mehr ist zu erfüllen und zu dokumentieren.

Im Prüfungsfall zählt der Nachweis, nicht die gute Absicht. Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung verpflichtet Praxen zu konkreten technischen und organisatorischen Maßnahmen. Vieles davon ist solide IT-Hygiene, die ohnehin sinnvoll ist. Belegen müssen Sie es trotzdem.

Worum es geht

Die Richtlinie staffelt die Anforderungen nach Praxisgröße, gemessen an der Zahl der mit der Datenverarbeitung betrauten Personen, und nach genutzter Technik. Je größer das Team und je mehr eigene Infrastruktur, desto mehr ist zu erfüllen und zu dokumentieren. Der Aufwand lässt sich gut bündeln, wenn man die Punkte einmal strukturiert abarbeitet statt einzeln.

Der 12-Punkte-Check

Virenschutz auf allen Geräten, aktuell und überwacht.
Schützt eine Firewall den Netzübergang? Der Router vom Anbieter allein genügt dafür nicht.
Updates und Patch-Management für Betriebssysteme und Programme.
Sichern Sie regelmäßig, getestet und vom Hauptsystem getrennt.
Zugriffsschutz mit individuellen Benutzerkonten statt Sammelkonto.
Sichere Passwörter und, wo möglich, Mehr-Faktor-Anmeldung.
Trennen Sie die Netze: Praxisnetz, Gäste-WLAN und TI gehören auseinander.
Mobile Geräte abgesichert und im Verlustfall sperrbar.
Sind Datenträger verschlüsselt? Das gilt auch für mobile Geräte.
Awareness im Team gegen Phishing und Social Engineering.
Notfallplan für den Fall eines Sicherheitsvorfalls.
Dokumentieren Sie jede Maßnahme, damit der Nachweis steht.

Vom Check zur Umsetzung

Der Check zeigt die Lücken. Schließen lassen sie sich meist ohne großes Projekt, wenn man sie priorisiert angeht. Wir setzen die Punkte audit-fest um und dokumentieren sie so, dass aus der Praxis kein Compliance-Projekt wird. Den 12-Punkte-Check gibt es als PDF, damit Sie selbst sehen, was in Ihrer Praxis schon nachweisbar steht.