Mittlere Praxis (6–20 Personen)
KBV-Anforderungen für mittlere Praxen¶
Was sich für mittlere Praxen ändert¶
Eine mittlere Praxis mit 6-20 Mitarbeitern hat eine komplexere Infrastruktur. Sie hat vielleicht mehrere Ärzte, spezialisierte Funktionen (Abrechnung, Verwaltung, Empfang), möglicherweise vernetzte Medizingeräte. Dies erfordert zusätzliche Kontrollen.
Alle Anforderungen der kleinen Praxis gelten weiterhin – plus folgende zusätzliche Anforderungen:
1. Netzwerk-Segmentierung¶
Anforderung: Das Praxis-Netzwerk muss in logische Bereiche aufgeteilt sein – Medizingeräte-Netz, Praxis-IT-Netz, möglicherweise Gast-WLAN.
Was konkret zu tun ist: - Das Netzwerk physisch oder logisch aufteilen in: - Medizingeräte-Netz (Röntgen, Labor, etc.) - PVS-Netz (Patientenverwaltung und -daten) - Gast-WLAN (getrennt vom Praxis-Netz) - TI-Konnektor-Netz (optional aber sauberer) - Eine Firewall regelt die Kommunikation zwischen den Netzen - Dokumentation: Netzwerk-Diagramm mit VLAN-Aufteilung
Praktisch: Das ist ein Projekt für einen IT-Dienstleister. Der Aufwand liegt bei 1-2 Tagen, die Kosten bei 1500-3000 Euro. Siehe auch Kapitel "Netzsegmentierung" in Teil 6.
2. Formale IT-Sicherheitsrichtlinie (schriftlich)¶
Anforderung: Die Praxis muss eine schriftliche, eigene IT-Sicherheitsrichtlinie haben – nicht nur die KBV-Richtlinie, sondern eine praxis-spezifische Policy.
Was konkret zu tun ist: - Ein Dokument "IT-Sicherheitsrichtlinie der Praxis" erstellen, das enthält: - Grundsätze des Umgangs mit Patientendaten - Passwort-Policy (wie lang, wie oft wechseln, etc.) - Umgang mit mobilen Geräten (BYOD) - Verschlüsselung von Daten - Incident Response (was tun bei einem Sicherheitsvorfall?) - Verantwortlichkeiten (wer ist IT-Verantwortlicher?) - Das Dokument muss unterschrieben sein (vom Praxisinhaber oder Geschäftsführer) - Alle Mitarbeiter müssen es lesen und bestätigen
Praktisch: Die KBV stellt Muster zur Verfügung. Eine Praxis-spezifische Policy ist keine Raketenwissenschaft – es ist eine 3-5 seitige Zusammenfassung der Regeln. 1 Tag Arbeit mit externer Unterstützung.
3. Erweiterte Zugriffskontrollen¶
Anforderung: Nicht alle Mitarbeiter dürfen alles sehen. Zugriffe müssen rollenbasiert sein und dokumentiert.
Was konkret zu tun ist: - Im PVS: Rollen definieren und Zugriffsrechte danach zuweisen - Ärzte: voller Zugriff auf Patientenakten - MFA: Zugriff auf Terminverwaltung, begrenzte Patienten-Einsicht - Abrechnungsbeauftragte: Zugriff nur auf Abrechnung, kein klinischer Zugriff - Audit-Logs: Das PVS muss dokumentieren, wer wann auf welche Patientenakte zugegriffen hat - Überprüfung: Mindestens jährlich überprüfen: Hat jeder noch die Rechte, die er braucht?
Praktisch: Die meisten PVS-Systeme können das. Mit dem PVS-Hersteller klären: Wie richten wir Rollen ein? Wie exportieren wir Audit-Logs?
4. Protokollierung von Zugriffen¶
Anforderung: Es muss protokolliert werden, wer auf Patientendaten zugegriffen hat und wann.
Was konkret zu tun ist: - Das PVS muss Zugriffsgrupen speichern (Audit-Log) - Mindestens folgende Informationen: Wer (Benutzer), Was (welche Patientenakte), Wann (Datum/Uhrzeit) - Diese Logs müssen mindestens für 30 Tage aufbewahrt werden - Ungewöhnliche Zugriffe sollten überprüft werden (z.B. warum hat die MFA Zugriff auf eine Patientenakte, die nicht in ihrem Terminplan war?)
Praktisch: Das ist meist eine integrierte Funktion des PVS. Mit dem Hersteller klären, wo die Logs sind und wie oft sie überprüft werden.
Was sich konkret ändert gegenüber kleine Praxen¶
Klein: Eine Praxis, ein Arzt, alles auf einem Netz Mittel: Mehrere Ärzte/Mitarbeiter, spezialisierte Funktionen, Medizingeräte – braucht Struktur
Die praktischen Unterschiede:
| Anforderung | Kleine Praxis | Mittlere Praxis |
|---|---|---|
| Netzwerk-Struktur | Einfach, alles auf einem Netz | Segmentiert (VLANs) |
| Benutzer-Rollen | Einfach (Arzt, MFA, Verwaltung) | Detailliert (verschiedene Rollen für verschiedene Funktionen) |
| Zugriffsprotokollierung | Minimal | Regelmaßig überprüft |
| Dokumentation | Basis-Anforderungen | Formale Richtlinien |
| IT-Governance | Ad-hoc | Strukturiert mit Verantwortlichkeiten |
Praktische Umsetzungs-Schritte¶
- Audit (2 Tage): Mit IT-Dienstleister: Wo stehen wir? Was fehlt?
- Netzwerk-Design (1 Tag): Segmentierung planen
- Policies schreiben (1-2 Tage): Mit externem Berater oder Muster-Dokumente anpassen
- Netzwerk-Umbau (2-5 Tage): Hardware, VLANs, Firewall-Regeln
- Konfiguration PVS (2 Tage): Rollen, Zugriffsrechte, Audit-Logs
- Schulung (4 Stunden): Alle Mitarbeiter einweisen
- Jährliche Überprüfung (1 Tag/Jahr): Audit-Logs überprüfen, Rollen validieren
Kosten: 3000-8000 Euro (abhängig von externem Dienstleister und Hardware-Bedarf)
Checkliste: KBV-Anforderungen mittlere Praxen¶
- Alle Anforderungen der kleinen Praxis sind erfüllt.
- Das Netzwerk ist segmentiert (Medizin, PVS, Gast-WLAN, ggf. TI).
- Ein Netzwerk-Diagramm mit VLAN-Aufteilung liegt vor.
- Eine formale IT-Sicherheitsrichtlinie (schriftlich, unterschrieben) liegt vor.
- Alle Mitarbeiter haben die Richtlinie gelesen und bestätigt.
- Benutzer-Rollen sind im PVS konfiguriert und dokumentiert.
- Nicht alle Mitarbeiter haben Zugriff auf alle Patientenakten.
- Das PVS speichert Audit-Logs (Wer, Was, Wann).
- Audit-Logs werden mindestens monatlich überprüft.
- Es gibt einen IT-Sicherheitsverantwortlichen (oder dedizierter Kontakt zum IT-Dienstleister).