Neue IT-Richtlinie 2025 verbessert Schutz der Patientendaten auch in der Radiologie
Die digitale Transformation im Gesundheitswesen bietet Chancen, bedeutet aber auch das Entstehen neuer Sicherheitsrisiken. Gerade im Gesundheitsbereich geht es um besonders sensible Daten. Mit der aktualisierten IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV), die am 1. April 2025 in Kraft getreten ist, werden die Anforderungen an den Schutz von Patientendaten noch einmal verschärft.
Dabei betrifft diese Entwicklung nicht nur Krankenhäuser oder größere medizinische Versorgungszentren. Auch Einrichtungen von der kleinen Einzelpraxis bis zur großen radiologischen Gemeinschaftspraxis sind von den Regelungen der Sicherheitsrichtlinie betroffen. Was bedeutet deren Umsetzung bis Oktober 2025 für Ärzte und Patienten – etwa, wenn es um Untersuchungen wie die Magnetresonanztomographie (MRT) oder die Computertomographie (CT) geht?
Worauf zielt die IT-Richtlinie ab?
Wichtige Fakten auf einen Blick:
- Zum 1. April 2025 ist in Deutschland eine neue IT-Richtlinie für Arztpraxen in Kraft getreten.
- Die grundlegenden Anforderungen der Richtlinie gelten für alle Arztpraxen.
- Im Kern geht es um einen noch besseren Schutz sensibler Patientendaten.
Die IT-Sicherheit hat in den letzten Jahren eine deutliche Aufwertung der eigenen Rolle erfahren. Durch eine zunehmende Digitalisierung der praxisinternen Prozesse und Vernetzung der einzelnen am Diagnose- und Behandlungsprozess Beteiligten, rückt der Umgang mit Patientendaten in den Fokus. Radiologen arbeiten mit sensiblen persönlichen Daten und individuellen Befunden, für die ein besonderes Schutzinteresse besteht.
Die überarbeitete IT-Richtlinie („Richtlinie nach § 390 SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“) zielt darauf ab, den Schutz dieser Daten noch weiter auszubauen, indem nicht nur der technische Aspekt betrachtet wird. Einfluss auf die Datensicherheit übt vor allem der „Faktor Mensch“ aus. Daher müssen die Anforderungen an die Einhaltung technischer Mindeststandards zur Gewährleistung des Datenschutzes in diesen Kontext gesetzt werden. Aus diesem Grund setzt die Richtlinie auf eine starke Sensibilisierung und Schulung des Praxispersonals.
Unter anderem braucht es zukünftig Schulungen zur Informationssicherheit, um das Sicherheitsbewusstsein zu erhöhen und auf Gefahren im Praxisalltag stärker hinzuweisen. Zudem verändert sich durch die IT-Richtlinie auch der Fokus im Hinblick auf den Umgang mit Sicherheitsvorfällen.
Handlungsanforderungen an Ärzte
Die Sensibilisierung des Praxispersonals für Risiken im Umgang mit digitalen Medien ist eines der zentralen Elemente, mit denen sich die Richtlinie auseinandersetzt. Arztpraxen – dazu gehören natürlich auch radiologische Einrichtungen – müssen Mitarbeiter durch spezifische IT-Schulungen fit für den Umgang mit Bedrohungsszenarien wie Phishing-Mails machen. Es braucht aber auch eine umfassende Aufklärung hinsichtlich der Bedeutung sicherer Passwörter oder wie ein angemessener Umgang mit Patientendaten im digitalen Zeitalter aussieht.
Sehr wichtig ist in diesem Zusammenhang, diese Schulungen nicht nur für neue Mitarbeiter nur beim „Onboarding“ durchzuführen, sondern das gesamte Praxispersonal mit aktuellen Informationen und Sensibilisierungsmaßnahmen für Datensicherheit vertraut zu machen. Ebenfalls nicht vergessen werden dürfen Maßnahmen beim „Offboarding“, also wenn Mitarbeiter die Praxis verlassen. So müssen vor allem die Zugriffsmöglichkeiten auf geschützte Daten umgehend eingeschränkt werden.
Ein zweiter Ansatz ist die Überprüfung und Anpassung der Infrastruktur. Dabei geht es unter anderem um Punkte wie:
- Firewalls und die Implementierung aktueller Virenschutzprogramme,
- Software-Updates und Patchmanagement,
- Backups der Systeme und eine sichere Speicherung von Patientendaten,
- Zugriffskontrollen bei Geräten und Patienteninformationen.
Die Verantwortlichkeit für die Umsetzung und Einhaltung der verschiedenen Maßnahmen liegt immer bei der Praxisleitung – egal, ob diese dafür auf externe Dienstleister setzt oder intern einen IT-Sicherheitsbeauftragten benennt. Die Pflicht umfasst neben der Überwachungsfunktion auch die Sicherstellung einer angemessenen Reaktion auf Sicherheitsvorfälle in Bezug auf Dokumentation, Meldewege und Notfallpläne.
In diesem Zusammenhang liegt die Messlatte gerade für die Radiologie hoch, da in den Praxen täglich und in großem Umfang mit hochsensiblen Bilddaten aus Verfahren wie der Mammographie, der Kardio-MRT oder dem Röntgen gearbeitet wird. Daher spielt die Absicherung der Bildarchivierungssysteme (PACS), der angebundenen Geräte und Übertragungswege eine besondere Rolle.
Datensicherheit und das Thema Cloud-Computing
In den letzten Jahren hat die Nutzung von Cloud-basierten Lösungen in der Radiologie deutlich zugenommen. Aus Sicht der Praxen ergeben sich hieraus erhebliche Vorteile, etwa im Hinblick auf die nicht mehr nötige Anschaffung zusätzlicher Hardware für Speicherlösungen. Da Cloud-Dienste auch kontinuierliche Backups vornehmen, verringert sich der administrative Aufwand.
Allerdings müssen von diesen Diensten sehr strenge Anforderungen eingehalten werden. In radiologischen Praxen werden Cloud-basierte Lösungen unter anderem benutzt als:
- Praxisverwaltungssysteme,
- Terminbuchungssysteme,
- Backup-Lösungen (Datensicherung).
Auch der Einsatz solcher Cloud-Lösungen wird 2025 angepasst. Ab dem 1. Juli 2025 dürfen nur solche Anbieter ausgewählt werden, die über ein C5-Testat (Cloud Computing Compliance Controls Catalogue) des Typ 2 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verfügen. Damit wird die Einhaltung vorgeschriebener Sicherheitsanforderungen für Cloud-Dienste nachgewiesen.
Mehr über LifeLink
Finden Sie jetzt die
Praxis in Ihrer Nähe!
Wir sind überzeugt, dass die Medizin von morgen anders aussehen sollte. Wir sehen den Menschen im Mittelpunkt exzellenter Medizin.
Wie profitieren Patienten von der Sicherheitsrichtlinie
Wichtige Fakten auf einen Blick:
- Radiologiepraxen müssen die Patientendaten jetzt noch umfassender schützen.
- Für alle Praxen gelten spätestens ab Oktober 2025 die gleichen Grundstandards.
- Der Einsatz von Backups hilft dabei, Ausfallzeiten der Praxis zu verringern.
Bezüglich der Umsetzung der Anforderungen nimmt die IT-Richtlinie die Arztpraxen in die Verantwortung. Ziel ist es, die Datensicherheit zugunsten der Patienten zu erhöhen. Insbesondere soll das Risiko von Datenpannen, durch die die Sicherheit der Gesundheitsdaten kompromittiert wird, durch die Implementierung einheitlicher Sicherheitsstandards signifikant reduziert werden.
Im Gegenzug kommt es zu einem Vertrauensgewinn, da Patienten spätestens ab Oktober 2025 davon ausgehen dürfen, dass Radiologiepraxen die neuen hohen Sicherheitsstandards einhalten. Die Arbeit mit Backups und Notfallplänen verringert zudem Ausfallzeiten der IT-Systeme, wodurch sich Verzögerungen bei der Terminvergabe und der Bereitstellung von Untersuchungsergebnissen reduzieren lassen.
Fazit: Überarbeitung der IT-Richtlinie schafft mehr Sicherheit für Patienten und erhöht die Herausforderungen für Praxen
Mit der im April in Kraft getretenen neuen IT-Richtlinie der KBV entsteht für Patienten mehr Sicherheit im Hinblick auf ihre persönlichen Daten und Befundergebnisse. Besonders der starke Fokus auf den „Faktor Mensch“ rückt diesen Aspekt in den Vordergrund. Für Arztpraxen bringt die überarbeitete Richtlinie hingegen neue Aufgaben und Herausforderungen mit.
Die Implementierung technischer Standards ist dabei nur eine Seite der Medaille. Mitarbeiterschulungen und die Überwachung der Best Practices bedeuten einen Mehraufwand, den die Praxen bewältigen müssen. Vor diesem Hintergrund bedarf es einer effizienten Planung und der Entwicklung einer klaren Struktur, um die Anforderungen der IT-Richtlinie zu erfüllen.
FAQ zur neuen IT-Richtlinie: Die wichtigsten Fragen und Antworten
Betrifft die IT-Richtlinie alle Radiologiepraxen?
Ja, die Basis-Anforderungen in Anlage 1 der Richtlinie machen keine Unterschiede hinsichtlich der Größe, technischen Ausstattung oder Anzahl der Mitarbeiter. In den weiteren Anlagen formuliert die Richtlinie konkrete Anforderungen an Praxen unterschiedlicher Größenordnung.
Kann ich als Patient auch nach der neuen Richtlinie Informationen zur Datenspeicherung verlangen?
Mit der neuen Richtlinie werden in erster Linie die Anforderungen an die verschiedenen radiologischen Praxen präzisiert. Das Inkrafttreten hat keine Auswirkungen auf die Datenabfrage. Patienten können diese basierend auf der Datenschutz-Grundverordnung (DSGVO) weiterhin in Anspruch nehmen.
Welche Konsequenzen infolge von Datenpannen in Arztpraxen?
Kommt es zu einer Datenpanne und stellt sich heraus, dass eine Nichteinhaltung von Vorschriften aus der IT-Richtlinie dafür ursächlich ist, reicht die Palette der Konsequenzen von Schadenersatzforderungen der betroffenen Patienten über strafrechtliche Aspekte bis hin zu einer Bewertung des Sachverhalts durch die zuständige Ärztekammer als berufsrechtliches Aufsichtsgremium.
