Diese IT-Sicherheitsauflagen müssen künftig beachtet werden!

Die „Zwangsdigitalisierung“ der Praxen hatte bisher schon ihre Folgen. Die Kosten für die einzelnen Digitalisierungsschritte werden zwar nach gesetzlicher Vorgabe von den Kassen getragen, aber die zusätzliche bürokratische Belastung, die durch das VSDM, das NFDM, den eMP etc. entsteht, wird durch diese Pauschalen nicht abgedeckt. Das ist aber noch nicht alles: Jetzt kommt auch noch ein „dickes Ende“! Die Praxen müssen für die IT-Sicherheit sorgen, wobei sich das nicht nur auf die Praxis-EDV bezieht. Da kommen nun nicht abgedeckte Kosten und neuer, erheblicher bürokratischer Aufwand auf uns zu!

§ 75b SGB V verpflichtete die Kassenärztliche Bundesvereinigung (KBV), bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung festzulegen. Die gesetzliche Auflage umfasst Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur (TI), die in der vertragsärztlichen Versorgung genutzt werden. Die daraus resultierende Richtlinie muss Anforderungen enthalten, die dem Stand der Technik entsprechen und jährlich an den Stand der Technik und an das Gefährdungspotential angepasst werden.
Diese Vorgaben aus dem „Digitale-Versorgung-Gesetz“ hat die KBV nun mit einiger zeitlicher Verzögerung in der „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ umgesetzt und auch gleich zeitlichen Druck ausgeübt: Viele Auflagen müssen bereits zum 1. April 2021 erfüllt werden!

Praxen werden klassifiziert!

Die KBV-Richtlinie unterscheidet zwischen einer „normalen“ Praxis mit bis zu 5 und einer mittleren Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen sowie Großpraxen oder Praxen mit einer Datenverarbeitung in erheblichem Umfang. Letztere Größenordnung wird unterstellt, wenn dort über 20 ständig mit der Datenverarbeitung betraute Personen in einem über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung betraut sind. Beispielhaft werden hier Groß-MVZ mit krankenhausähnlichen Strukturen oder Labore genannt.

Die Einstufung in die Praxisgröße hat entsprechende Auswirkungen auf die Auflagen, die im Rahmen der Richtlinie zu erfüllen sind. Praxen, die in die „Normalgröße“ eingeordnet werden können, haben dabei einen Vorteil, der im Vorfeld dazu führen sollte, dass man als Praxisinhaber genau überlegt, ob tatsächlich mehr als 5 Praxisangestellte mit der Datenverarbeitung in der Praxis beschäftigt sein müssen und ob man das ggf. nicht auf etwas weniger Personen konzentrieren kann.

„Norm“-Praxen müssen nur Auflagen nach Anlage 1 und 5 der Richtlinie erfüllen, das aber schon ab dem 1. April 2021. Anlage 1 enthält u. a. Auflagen bei der Nutzung von Apps, verbietet weitgehend die Nutzung von Cloudspeichern und definiert Einschränkungen bei der Nutzung von Office-Programmen und Internetanwendungen. Weitere Auflagen, die so umfänglich sind, dass man sie hier im Detail überhaupt nicht darstellen kann, gibt es auch bezogen auf die Hardware, wobei nicht nur die Praxisrechner, sondern auch Mobiltelefone und Tablets einbezogen werden. Bei den mittelgroß eingestuften Praxen kommen Auflagen aus der Anlage 2 der Richtlinie dazu, die bereits eine weitere Steigerung des Investitionsvolumens, das bei der Umsetzung notwendig sein dürfte, zum Gegenstand haben. So müssen z. B. eine verbindliche Richtlinie für Mitarbeiter der Praxis zur Benutzung von mobilen Geräten und eine Nutzungs- und Sicherheitsrichtlinie erstellt werden, wenn Mobiltelefone für dienstliche Zwecke eingesetzt werden. Das klingt zunächst unproblematisch, führt aber z. B. dazu, dass man künftig als Praxisinhaber seiner MFA nach Dienstschluss nicht mehr so ohne weiteres per SMS einen Patienten für die Vormittagssprechstunde des Folgetages ankündigen kann. Es muss nämlich geregelt werden, welche Daten über Mobiltelefone übertragen werden dürfen. Schließlich wird sogar eine Art Zwang ausgeübt, in reinen Windows-Netzen zur zentralen Authentisierung für Single Sign-on (SSO) ausschließlich Kerberos einzusetzen.

Grotesk: Homeoffice dürfte schon bei den Auflagen für normale oder mittelgroße Praxen kaum oder nur mit erheblichem finanziellem Aufwand möglich sein.

Auf Großpraxen kommen schließlich noch kostenintensivere Auflagen zu. So muss dort gewährleistet sein, dass Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät zentral über das Mobile Device Management (MDM) installiert, deinstalliert und aktualisiert werden. Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden. Inhaber von Großpraxen, die Großgeräte wie z. B. Computertomographen, Magnetresonanztomographen, Positronenemissionstomographen und Linearbeschleuniger betreiben, müssen zusätzlich einen Katalog aus der Anlage 4 der Richtlinie beachten, der es finanziell auch in sich haben dürfte.

Was bedeutet das für die Praxis?

Die KBV hat erkannt, dass eine Arztpraxis, egal welcher Größenordnung, die Auflagen aus diesen Richtlinien nicht im „Eigenbau“ erfüllen kann. Man bietet deshalb auf der Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download an und über das Fortbildungsportal Online-Schulungen für Ärzte und Psychotherapeuten, für die als Anreiz sogar CME-Punkte erworben werden können. Parallel werden aber bereits Dienstleister zertifiziert, die den Praxen bei der Umsetzung dieser Richtlinie – vermutlich gegen ein entsprechendes Entgelt – zur Seite stehen dürfen.

Über die Finanzierung dieser Maßnahmen hat sich die KBV hingegen keine Gedanken gemacht. Man forderte im Rahmen der Verhandlungen mit den Kassen zwar eine Anhebung des Orientierungspunktwertes (OPW) für 2021. Bekanntlich konnten sich die Kassen aber über den Erweiterten Bewertungsausschuss damit durchsetzen, dass nur ein minimaler Zuwachs des OPW auf 11,1244 Cent beschlossen wurde. Das war aber schon im September 2020 und es wäre genügend Zeit gewesen, weiteren Verhandlungsdruck auszuüben. Die Feststellung gegenüber dem Gesundheitsministerium (BMG), dass mit dieser Honoraranhebung diese Sicherheitsauflagen nicht zu finanzieren sind, und eine Forderung, auf dem Gesetzeswege sicherzustellen, dass die gewünschte Sicherstellung überhaupt möglich ist, kam aus der KBV-Zentrale bisher nicht! Man hat nur die gesetzliche Auflage umgesetzt! Die Suppe lässt man jetzt die Praxen auslöffeln.

» Zur „Richtlinie nach § 75b SGB V über die Anforderung zur Gewährleistung der IT-Sicherheit“

Dr. med. Gerd W. Zimmermann ist Facharzt für Allgemeinmedizin mit eigener Praxis in Hofheim/Taunus und seit vielen Jahren als Referent sowie Autor zum Thema Leistungsabrechnung nach EBM und GOÄ tätig.