Da die Verunsicherung der Ärzte hinsichtlich einer sicheren Anbindung an die Telematikinfrastruktur (TI) nach wie vor groß ist, hat die Kassenärztliche Bundesvereinigung (KBV) dieses Thema in ihren aktuellen Praxisnachrichten aufgegriffen. So informiert die KBV darüber, dass es nicht entscheidend ist, ob die Praxis im Reihen- oder Parallelbetrieb angeschlossen ist, da die gematik für beide Installationsvarianten Standardszenarien für den sicheren Anschluss vorgesehen hat. Die Art der Installation sollte davon abhängen, wie die IT-Infrastruktur der Praxis aufgebaut ist und welche Sicherungsmaßnahmen bereits vorhanden sind.
Reihenbetrieb eignet sich für Praxen ohne IT-Vernetzung
Der Reihenbetrieb bzw. serieller Betrieb eignet sich für Praxen, die zuvor noch keine Internetanbindung hatten oder über keine komplette IT-Vernetzung verfügen. Die Kartenterminals und der Praxisrechner befinden sich im selben Praxisnetzwerk. Bei dieser Variante wird der Zugang zur Telematikinfrastruktur nur über einen Konnektor gewährt. Dieser verfügt über eine integrierte Firewall, die das Praxisnetz vor unautorisierten Zugriffen schützt.
Parallelbetrieb ideal für Praxen mit komplexer IT-Infrastruktur
Der Parallelbetrieb ist insbesondere für diejenigen Praxen sinnvoll, die bereits über eine komplexere, entsprechend abgesicherte IT-Infrastruktur verfügen. Der Konnektor wird bei dieser Anschlussart in das bestehende Praxisnetzwerk und dessen Sicherheitsmaßnahmen integriert. Somit ist er ein gleichwertiger und eigenständiger Teil des Praxisnetzes – so wie es auch andere Komponenten wie Praxis-PC oder Kartenterminal sind. Die integrierte Firewall des Konnektors schützt in diesem Fall das Praxisnetz nicht, daher muss es durch eine eigene Firewall abgesichert werden.
Muster-Installationsprotokoll zur Dokumentation
Der Dienstleister, der die Praxis an die Telematikinfrastruktur anschließt, ist verpflichtet, diesen Anschluss verantwortungsvoll und ordnungsgemäß durchzuführen. Zur Dokumentation und Reproduzierbarkeit ist es sinnvoll, dass der Dienstleister das Muster-Installationsprotokoll ausfüllt, das durch die gematik zur Verfügung gestellt wird [1]. So werden in dem Protokoll neben den technischen Details auch vermerkt, ob eine Beratung zu sicherheitsrelevanten Aspekten stattgefunden hat. Praxen, die bereits ein anderes Abnahmeprotokoll als das Muster-Installationsprotokoll erhalten haben, sollten prüfen, ob alle Punkte des Muster-Installationsprogramms in ihrem Abnahmeprotokoll aufgeführt sind.
Verantwortung für Sicherheit der Patientendaten liegt bei Praxis
Die Verantwortung für die Sicherheit der Patientendaten trägt – unabhängig vom Anschluss an die Telematikinfrastruktur – der Praxisinhaber. Dieser ist verpflichtet, sowohl technische als auch organisatorische Maßnahmen für den Datenschutz festzulegen. So muss er – zusätzlich zur Netzwerksicherheit – auch dafür sorgen, dass beispielsweise ein Virenschutz und sichere Passwörter verwendet werden. Die KBV empfiehlt hierzu die Übersicht „Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen" [2]. Bezüglich der Anbindung an die Telematikinfrastruktur kann sich der Arzt auf die Sicherheit prinzipiell verlassen, da sowohl die Gesamtarchitektur der TI als auch die einzelnen Komponenten von der gematik spezifiziert und zertifiziert wurden. So stellt die gematik in ihrem Informationsblatt zu Datenschutz und Haftung klar, dass Ärzte nicht haften, sofern die zugelassenen Konnektoren nach Vorschrift verwendet, angeschlossen und betrieben werden [3].
Mitte 2020: Neue Richtlinie zur IT-Sicherheit
Bis zum 30. Juni 2020 ist die KBV innerhalb des Digitale-Versorgung-Gesetzes dazu verpflichtet, eine Richtlinie zur IT-Sicherheit in der Arztpraxis zu erstellen. Diese wird auf der derzeitigen Richtlinie „Technische Anlage – Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in Arztpraxen" beruhen, die zu diesem Zweck in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik erweitert wird. Sofern die Richtlinie von den Praxen korrekt umgesetzt wird, sind sie auch rechtlich abgesichert. Ab dem 1. Juli 2020 wird die KBV zudem vertrauenswürdige Dienstleister zertifizieren, die die Praxen zur Telematikinfrastruktur und zur Informationstechnologie beraten können.
Ausführliche Infos, beispielsweise zum Thema zeitnaher Ruhestand und Anbindung an die TI oder Anbindung bei langsamer Internetverbindung, stellt die KBV in ihrer Serie zur Telematikinfrastruktur zur Verfügung, die zwischen März und November 2019 auf der Internetseite der KBV veröffentlicht wurden.
1. https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Service/Anschluss_medizinischer_Einrichtungen_an_die_Tele-matikinfrastruktur__DVO_/Muster-Installationsprotokoll_Sichere_TI-Installation_V.1.0.0.pdf
2. https://www.kbv.de/media/sp/Empfehlungen_aerztliche_Schweigepflicht_Datenschutz.pdf
3. https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Service/Anschluss_medizinischer_Einrichtungen_an_die_Tele-matikinfrastruktur__DVO_/Informationsblatt_Datenschutz_Haftung_TI_V1.0.0.pdf