Die IT-Sicherheitslage bleibt laut Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) weiter sehr angespannt und spitzt sich sogar von Jahr zu Jahr zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie.
Diese Bedrohung macht auch nicht vor dem Gesundheitswesen halt. Aus diesem Grund investieren wir weiter in den Schutz der sensiblen personenbezogenen Daten, die wir verarbeiten.
Damit unautorisierte Dritte nicht auf Patientendaten zugreifen können, müssen auch auf Seiten von Krankenhäusern und Arztpraxen bestimmte Sicherheitsanforderungen berücksichtigt werden. Beim Austausch sensibler Daten mit der Bioscientia verweisen wir daher auf folgende Anforderungen aus der IT-Sicherheitsrichtlinie nach § 75b SGB V:
Auszüge aus "Anforderungen für Praxen"
|
Nr. |
Zielobjekt |
Anforderung |
Erläuterung |
Weitere Hinweise |
|
7 |
Internet-Anwendungen |
Authentisierung bei Webanwendungen |
Nutzen Sie nur Internet-Anwendungen, die ihre Zugänge (Login-Seite und -Ablauf, Passwort, Benutzerkonto etc.) strikt absichern. |
Achten Sie auf sichere 2-Faktor-Authentisierung oder verwenden Sie hinreichend komplexe Passwörter (vgl. Anlage 1 - Anforderung Nr. 34) oder Passwortmanager mit generierten Passwörtern. Achten Sie auf verschlüsselte Verbindungen (vgl. Anlage 1 – Anforderung Nr. 10). |
|
10 |
Internet-Anwendungen |
Kryptografische Sicherung vertraulicher Daten |
Nur verschlüsselte Internet-Anwendungen nutzen. |
Auf https achten, Plug-In/ Erweiterung wie HTTPS Everywhere verwenden. Beispielsweise statt http://www.kbv.de besser https://www.kbv.de verwenden. Dies wird durch ein "Schloss" als Icon im Webbrowser visualisiert. Durch Anklicken des Schlosses lasen sich die Informationen zu Zertifikat und Herausgeber des Zertifikats einsehen. |
|
34 |
Netzwerksicherheit |
Grundlegende Authentisierung für den Netzmanagement-Zugriff |
Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen* muss eine geeignete Authentisierung verwendet werden. |
Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden. Alle Default-Passwörter** müssen auf den Netzkomponenten geändert werden. Die neuen Passwörter müssen ausreichend stark sein. Es sollten mind. 3 verschiedene Zeichenarten verwendet werden (z. B. Buchstaben, Zahlen und Sonderzeichen). Die Länge eines Passworts sollte mind. 12 Zeichen betragen. |
*sensible Informationen die zur Überwachung, Konfiguration und das Steuern von Netzwerkkomponenten verwendet werden.
** Default-Passwörter = Standard-Passwörter – Viele Komponenten werden mit einem Default-Benutzer + Passwort ausgeliefert (z. B. Benutzer: admin, Passwort: admin). Werden diese nicht geändert, ist es für Angreifer leicht das System zu übernehmen.
Die vollständigen Hinweise sind hier abrufbar.
Auch im Bereich Datenschutz gibt es seitens der KBV verpflichtende Hinweise:
Auszug von Maßnahmen zum Datenschutz in der Praxis
- Patientendaten werden niemals unverschlüsselt über das Internet versendet, beispielsweise per E-Mail (oder Fax).
- Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der Praxis auf Dateien und Ordner zugreifen kann.
- Patientenakten werden sicher verwahrt: Die Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden stets so positioniert, dass andere Patienten diese nicht einsehen können. Wenn der Arzt / Psychotherapeut nicht im Raum ist, werden Patientenakten generell unter Verschluss gehalten. Bildschirme werden spätestens beim Verlassen des Raums gesperrt.
- Bei Auskünften am Telefon wird die Identität des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.
- Es ist festgelegt, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt (in der Regel an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden).
- Die Mitarbeiter in der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert.
Bei Verstößen drohen hohe Geldbußen:
Das Ausmaß der Sanktionen richtet sich vor allem nach der Schwere und der Dauer des Vorfalls sowie nach dessen Auswirkungen auf die Patienten. Der Landesdatenschutzbeauftragten kann im Einzelfall Geldbußen von bis zu 20 Millionen Euro verhängen. Möglich sind zudem Schadensersatzforderungen von Betroffenen inklusive Schmerzensgeld, zum Beispiel wegen Rufverletzung.