IT-Sicherheit in der Arzt-Praxis: Die Richtlinie nach § 75b SGB V
Ergänzend zu dem Beitrag in der "Datenschutz und Datensicherheit (DuD)" finden Sie nachfolgend dem Vorschlag die Anforderungen in der Richtlinie zu verbessern. Es wird die Abkürzung Ax.y für Anhang x Maßnahme y verwendet. Die neu vorgeschlagenen Maßnahmen sind mit Nx bezeichnet. Diese Auflistung ergänzt Tabelle 2 aus dem Beitrag der DuD und listet die 43 Pflichtanforderungen und die 36 zusätzlich empfohlen Maßnahmen auf.
Quelle: Sandra Zunabovic, Technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Informationssicherheit in Arztpraxen, Bachelorarbeit, Hochschule München 2022.
| 1. Management und Organisation (1 + 3) | ||
|---|---|---|
| N1 | Schriftliche Regelung ärztliche Schweigepflicht Alle Mitarbeitenden und relevante Dienstleister wurden über die ärztliche Schweigepflicht unterrichtet. Eine schriftliche Dokumentation darüber liegt vor. |
|
| N2 | Benennung eines Datenschutzbeauftragten Wir haben einen Datenschutzbeauftragten benannt. Dieser wird konsequent in datenschutzrelevante Fragestellungen miteinbezogen. |
|
| N3 | Regelmäßige Prüfung der TOM Wir überprüfen, bewerten und evaluieren regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen (TOM) unserer Praxis. |
|
| A1.18 | Datensparsamkeit Wir achten stark darauf, dass nur die Daten der Patienten erhoben werden, die zwingend für die Heilbehandlung notwendig sind. |
|
| 2. Physische Sicherheit (0 + 3) | ||
| N4 | Schlüsselregelung Es gibt eine Regelung zur Schlüsselvergabe. Nur berechtigte Personen erhalten entsprechende Schlüssel. Die Ausgabe und Rückgabe werden dokumentiert. |
|
| N5 | Abgeschlossene Räume, in denen Datenträger und Dokumente gelagert werden, sind abgeschlossen. Falls diese in Bereichen mit Patientenverkehr gelagert werden müssen, werden sie sicher und verschlossen aufbewahrt. |
|
| N6 | Blickschutz Bildschirme Unsere Monitore und Notebooks haben wir so platziert, dass nur Praxispersonal Einblick hat. Wo das nicht möglich ist, verwenden wir alternativ Blickschutzfolien |
|
| 3. Server-Sicherheit (0 + 7) | ||
| N7 | Serverraum Die Server sind in einem eigenen Serverraum untergebracht. Dieser ist verschlossen und nur berechtigte, schriftlich festlegte Personen haben Zugang dazu. |
|
| N8 | Server - Klimatisierung Die Server sind durch ausreichende Klimatisierung gegen Überhitzung geschützt. |
|
| N9 | Server - Brandschutz Die Server sind durch eine angemessene Brandmelde-/Feuerschutzanlage abgesichert. |
|
| N10 | Absicherung Server vor Zugriff aus Internet Der Betrieb der über das Internet erreichbaren Server erfolgt in einer demilitarisierten Zone (DMZ) (z. B. E-Mail-Server, Webserver, VPN-Endpunkte). |
|
| N11 | Unterbrechungsfreie Stromversorgung für Server Eine ausreichende unterbrechungsfreie Stromversorgung stellt die Energieversorgung im Falle von Ausfällen oder Schwankungen sicher. |
|
| N12 | Sicherheitsupdates Server Es existiert ein geregelter Prozess zum Einspielen von Sicherheitsupdates für Serversysteme. Diese werden zeitnah installiert. |
|
| N13 | Admin-Tätigkeiten Server Nur ausreichend qualifiziertes Personal darf Administrationstätigkeiten auf den Servern durchführen. |
|
| 4. Sensibilisierung der Mitarbeitenden (1 + 3) | ||
| N14 | Schulungen der Mitarbeitenden Es werden regelmäßig (mind. 1x jährlich) Schulungen zur Sensibilisierung zu Datenschutz und Informationssicherheit für das gesamte Personal durchgeführt. |
|
| N15 | Zugang zu Informationen zu Datenschutz und Informationssicherheit Schulungsinhalte sowie relevante Richtlinien und Arbeitsanweisungen werden stets aktuell gehalten und sind leicht auffindbar. |
|
| N16 | Umgang Datenpannen und Informationssicherheitsvorfällen Es existiert ein Prozess und Meldewege zum Umgang mit Datenschutz- und Informationssicherheitsvorfällen (z.B. bei Ransomware-Befall eines Computers, Verlust eines Smartphones), der allen Mitarbeitenden bekannt ist. Verantwortliche Personen bzw. Ansprechpartner sind dafür definiert. |
|
| A1.6 | Entfernen von Restinformationen aus Dokumenten Unsere Mitarbeitenden sind angehalten, nicht notwendige Informationen aus Dokumenten zu entfernen, bevor diese weitergegeben werden. |
|
| 5. Identitäts- und Berechtigungsmanagement (3 + 4) | ||
| A1.17 A2.4 | Berechtigungskonzept Wir vergeben dedizierte Benutzerberechtigungen. Diese werden nach dem Prinzip der minimalen Berechtigungen vergeben. Administratorzugänge sind auf ein notwendiges Minimum begrenzt. |
|
| N17 | Geeignete Authentifizierungsverfahren Die Anmeldung erfolgt durch geeignete Authentifizierungsmethoden (z.B. Benutzername und Passwort). Passwörter sind dabei ausreichend sicher gestaltet. |
|
| N18 | Austausch von Standardpasswörtern Wir ersetzen voreingestellte Standardpasswörter sowie durch uns initial eingestellte Passwörter (z.B. erste Anmeldung von neuen Mitarbeitenden) durch ausreichend starke Passwörter. |
|
| N19 | Prozess und Dokumentation von Berechtigungen Die Vergabe und der Entzug von Berechtigungen bzw. das Anlegen und Löschen von Nutzerkonten wird dokumentiert und folgt einem festgelegten Prozess. |
|
| N20 | Vermeiden von Gruppenkennungen Wir verwenden keine Gruppenkennungen. Mitarbeitende haben eigene Konten für IT-Systeme und Anwendungen. |
|
| A1.13 | Sperren von Geräten nach Nutzung Unsere Mitarbeitenden sind angehalten, alle Geräte (Computer, Smartphones, etc.) nach der Nutzung zu sperren. Eine automatische Bildschirmsperre aktiviert sich zudem nach einer gewissen Zeit der Inaktivität. |
|
| A2.5 | Nutzung von Kerberos für SSO Wir nutzen Kerberos zur zentralen Authentisierung für Single-Sign-On (SSO). |
|
| 6. Clients (Computer) (5 + 2 | ||
| A1.12 | Deaktivieren von Mikrofonen und Kameras Mikrofone und Kameras sind grundsätzlich deaktiviert. Diese werden nur bei Bedarf aktiviert und anschließend deaktiviert. |
|
| A1.15 | Virenschutz Es wird eine AntiViren-Lösung bzw. ein Endpoint-Protection-System mit regelmäßigen, mindestens tagesaktuellen Signatur-Updates verwendet |
|
| A1.5 | Deaktivieren der Cloud-Synchronisierung lokaler Daten Wir verwenden keine Cloud-Dienste zur Datenverarbeitung. Automatische Synchronisationsmechanismen von lokalen Dateien sind deaktiviert. |
|
| A1.16 | Telemetriedaten bei Microsoft Windows Wir verwenden das Betriebssystem Microsoft Windows. Dabei stellen wir sicher, dass keine Telemetriedaten an Microsoft übertragen werden. |
|
| N21 | Verschlüsselung der Festplatten Die Festplatten der Computer sind verschlüsselt. |
|
| A1.8 A1.10 A2.3 |
Sichere Verschlüsselung der Browser-Kommunikation Wir haben unsere Browser so eingestellt, dass Webseiten soweit möglich nur über gesicherte Verbindungen (HTTPS statt HTTP) erreicht werden können. |
|
| N22 | Private Nutzung betrieblicher Geräte Es existiert eine schriftliche Richtlinie, die die private Nutzung betrieblicher Geräte (z.B. private Internetnutzung) reglementiert. Darin ist die Nutzung grundsätzlich nur zu Betriebszwecken erlaubt. |
|
| 7. Smartphones und Tablets (19 + 0) | ||
| A2.6 A2.8 A3.1 |
Richtlinie zur Nutzung mobiler Geräte wie Smartphones und Tablets Bestehen einer schriftlichen Richtlinie zum Umgang mit Smartphones und Tablets zu nachfolgenden Punkten: |
|
| A1.4 A1.1 A1.3 A2.1 A3.2 A3.8 |
Richtlinie Smartphones / Tablets / o.Ä. - Erlaubte Apps Welche Apps installiert und verwendet werden dürfen |
|
| A1.23 | Richtlinie Smartphones / Tablets / o.Ä. - Updates von Apps Regelmäßige Updates von Apps |
|
| A1.23 | Richtlinie Smartphones / Tablets / o.Ä. - Update des Betriebssystems Regelmäßige Updates des Betriebssystems des Geräts |
|
| A1.24 | Richtlinie Smartphones / Tablets / o.Ä. - Deaktivieren von Schnittstellen und Berechtigungen Deaktivierung von Schnittstellen (z.B. NFC, Bluetooth) und Berechtigungen (z.B. auf Standort, Kontakte), falls diese nicht erforderlich sind |
|
| A1.22 | Richtlinie Smartphones / Tablets / o.Ä. - Zugriffsschutz Verwendung eines ausreichend komplexen Zugriffsschutzes (z.B. Passwort, PIN) |
|
| A1.20 | Richtlinie Smartphones / Tablets / o.Ä. - SIM-KartenPIN Verwendung der SIM-Karten-PIN |
|
| A1.14 A1.19 |
Richtlinie Smartphones / Tablets / o.Ä. – Virenschutz Stets aktueller Virenschutz |
|
| A1.25 | Richtlinie Smartphones / Tablets / o.Ä. - Sicherer Umgang Sicherer Umgang (u.a. zu Meldeweg bei Verlust, sichere Aufbewahrung) |
|
| A1.13 | Richtlinie Smartphones / Tablets / o.Ä. - Deaktivieren Kamera und Mikrofon Deaktivierung der Kamera- und Mikrofonberechtigungen bzw. Zukleben der Kamera |
|
| A2.7 | Richtlinie Smartphones / Tablets / o.Ä. - Deaktivieren Sprachassistenten Deaktivierung von Sprachassistenten bzw. Verbot der Nutzung |
|
| A2.6 A2.8 A3.3 A3.9 |
Richtlinie Smartphones / Tablets / o.Ä. - Festlegung erlaubter Informationen Regelung darüber, welche Daten auf den Geräten verarbeitet werden dürfen und welche nicht (z.B. keine Daten von Patienten) |
|
| A3.4 A3.5 A3.6 A3.7 |
Verwendung eines Mobile Device Managements (MDM) Nutzung eines MDM, das die nachfolgenden Punkte abdeckt: |
|
| A3.6 | Zertifikatsverwaltung über MDM Zertifikate werden zentral über das MDM verwaltet und auf den Geräten installiert. |
|
| A3.7 | Fernlöschung durch MDM Das MDM bietet die Möglichkeit der Fernlöschung der Daten auf dem Gerät (z.B. im Verlustfall). |
|
| A3.4 | Sichere Verbindung zum MDM Die Verbindung der Geräte zum MDM ist angemessen abgesichert. |
|
| A3.5 | Berechtigungskonzept für MDM Die Verwaltung des MDM folgt einem dokumentierten Berechtigungskonzept. |
|
| A1.21 A1.26 |
Sichere Grundkonfiguration von Smartphones und Tablets Sichere Konfiguration von Smartphones und Tablets vor Ausgabe an Mitarbeitende |
|
| A1.1 A1.3 A1.4 A1.24 A2.1 A3.2 A3.8 |
Test und Freigabe von Apps Durchführen eines Test- und Freigabeverfahrens für Apps |
|
| 8. Wechseldatenträger (5 + 2) | ||
| A2.10 | Richtlinie Wechseldatenträger Es existiert eine schriftliche Richtlinie, die den sicheren Umgang mit Wechseldatenträgern (z.B. Meldung bei Verlust, sichere Aufbewahrung, erlaubte Verwendungsfälle) festlegt. |
|
| A3.10 | Verschlüsselung Wechseldatenträger Wechseldatenträger werden soweit möglich verschlüsselt. |
|
| N23 | Prüfung Wechseldatenträger auf Schadsoftware Wechseldatenträger werden bei Anschluss auf Schadsoftware überprüft. Gespeicherte Dateien oder Programme werden nicht automatisch ausgeführt. Umgekehrt dürfen nur auf Schadsoftware geprüfte Daten auf Wechseldatenträgern verarbeitet werden. |
|
| A1.29 A1.30 |
Kennzeichnung, Verpackung und physischer Transport von Wechseldatenträgern Es existieren Regelungen zu Kennzeichnung, Verpackung und physischem Transport von Wechseldatenträgern. |
|
| A1.31 | Löschung bei Wechseldatenträgern Daten von Wechseldatenträgern werden sicher gelöscht. Dies erfolgt über spezielle Programme und geht über das bloße Entfernen der Dateien hinaus. |
|
| A3.11 | Integrität von Wechseldatenträgern Durch Checksummen oder digitale Signaturen wird sichergestellt, dass Daten auf Wechseldatenträgern nicht verändert werden. |
|
| N24 | Sichere Aufbewahrung und Ausgabe von Wechseldatenträgern Wechseldatenträger werden sicher und verschlossen aufbewahrt. Die Ausgabe und Rückgabe an Mitarbeitende oder andere Personen erfolgt dokumentiert. |
|
| 9. Entsorgung (0 + 5) | ||
| N25 | Regelungen zur Entsorgung Alle Mitarbeitenden sind schriftlich angehalten, jegliche Datenträger sicher zu entsorgen. Sie kennen den Prozess für die betreffenden Datenträger. |
|
| N26 | Physische Zerstörung elektronischer Datenträger Bei Entsorgung von elektronischen Datenträgern werden diese sicher gelöscht und anschließend physisch zerstört. |
|
| N27 | Entsorgung durch Schredder Papierdokumente werden in einem Schredder (mind. Sicherheitsstufe 4) geschreddert. |
|
| N28 | Entsorgung elektronischer Datenträger Wir verwenden einen zertifizierten, externen Dienstleister für die Entsorgung von elektronischen Datenträgern. |
|
| N29 | Entsorgung analoger Datenträger Wir verwenden einen zertifizierten, externen Dienstleister für die Entsorgung von analogen Datenträgern. |
|
| 10. Webseiten und Webservices (3 + 2) | ||
| A1.10 | Web Application Firewall für Webanwendungen Unsere Webserver sind durch eine Web Application Firewall geschützt. Diese wurde durch qualifiziertes Personal konfiguriert und wird regelmäßig gewartet. |
|
| A1.11 | Automatisierte Nutzung bei Webanwendungen Auf unserer Webseite achten wir darauf, dass keine automatisierten Eingaben möglich sind. |
|
| A1.7 A2.2 |
Authentisierung bei Webanwendungen Geschützte Ressourcen dürfen über unsere Webseite nur nach vorheriger Authentisierung eingesehen werden. Es kann nur ein vordefinierter Verzeichnisbaum genutzt werden. Nicht-öffentliche Dateien können nicht durch Unbefugte gelesen oder geändert werden. |
|
| N30 | Protokollierung Webserver Auf unseren Webservern protokollieren wir erfolgreiche sowie fehlgeschlagene Zugriffe auf Ressourcen, Server-Fehler und allgemeine Fehlermeldungen. |
|
| N31 | Verschlüsselung über TLS für eigene Webanwendungen Es werden HTTPS-Protokolle nach aktuellem Stand der Technik für die Kommunikation verwendet (über TLS 1.2 oder TLS 1.3). |
|
| 11. Netzwerk (5 + 2) | A1.33 | Netzdokumentation Es existiert eine stets aktuelle Dokumentation unseres internen Netzwerks. Wir prüfen regelmäßig, ob das Netz noch dem dokumentierten "Soll"-Zustand entspricht. |
| A1.32 | Firewall-Schutz des internen Netzes Jegliche Zonenübergänge (z.B. internes Praxisnetz zum Internet oder Verwaltungsnetz zu medizinischen Netzen) wird durch mindestens eine Firewall geschützt. Diese wurde durch qualifiziertes Personal konfiguriert und wird regelmäßig gewartet bzw. geupdatet. |
|
| A1.34 | Berechtigungen Netzkomponenten Der Zugang zu jeglichen Tools zur Verwaltung von Netzkomponenten folgt einem schriftlich definierten Berechtigungskonzept. Nur berechtige Mitarbeitende und/oder externe Dienstleister können darauf zugreifen und Änderungen vornehmen (z.B. an der Firewall). |
|
| A2.11 | Protokollierung Netz allgemein Auf Netzebene werden mindestens die folgenden Ereignisse protokolliert: Unerlaubte Zugriffe, Leistungs- oder Verfügbarkeitsschwankungen des Netzes, Fehler in automatischen Prozessen, eingeschränkte Erreichbarkeit von Netzkomponenten. |
|
| A3.12 | Verschlüsselung bei Datenübertragung Wir verwenden ausschließlich nach dem aktuellen Stand der Technik sichere Protokolle zur Datenübertragung außerhalb unseres internen Praxisnetzes bzw. verschlüsseln die Daten (z.B. Internet, Mail-Versand). |
|
| N32 | Updates der Software von Netzkomponenten Die Betriebssoftware der Netzkomponenten wird regelmäßig aktualisiert. |
|
| N33 | Externer Zugriff durch VPN Der Zugriff auf das interne Praxisnetz und dessen Ressourcen erfolgt von außerhalb ausschließlich über ein VPN (z.B. Fernwartung, mobiles Arbeiten). |
|
| 12. Notfallmanagement (1 + 3) | ||
| N34 | Notfallplanung Wir haben einen schriftlichen Notfallplan. Dieser regelt, welche Systeme in welcher Reihenfolge im Notfall wieder instandgesetzt werden, welche (externen) Personen/Dienstleister zu Rate gezogen werden können sowie welche Meldeverpflichtungen (z.B. bei Datenschutzaufsichtsbehörden) einzuhalten sind. |
|
| A1.14 | Sicherungskonzept Wir haben ein schriftliches Backup-Konzept und führen darauf basierend regelmäßig Datensicherungen aus. |
|
| N35 | Sicherungskonzept - Mehrere Sicherungsstufen Wir führen Backups nach der 3-2-1-Regel durch: Es erfolgen 3 Datenspeicherungen auf 2 verschiedenen Backupmedien (auch „Offline“ wie z.B. Band- oder Festplattensicherungen) und 1 davon wird an einem externen Standort gelagert. |
|
| N36 | Testen von Sicherungen Wir testen regelmäßig, ob die Backups tatsächlich durchgeführt werden. Zudem wird regelmäßig getestet, ob alle relevanten Daten im Back-up-Prozess erfasst sind und die Wiederherstellung der Daten zuverlässig funktioniert. |
|