| Nr | Frage | Antwort | Adressat |
|---|---|---|---|
| 1 | Gibt es eine Pflicht zur Zertifizierung der IT-Dienstleister? | IT-Dienstleister sind nicht verpflichtet sich von der KBV zertifizieren zu lassen. Praxen sind nicht verpflichtet (zertifizierte) IT-Dienstleister zu beauftragen. Nur die KBV ist verpflichtet die Personen-Zertifizierungen nach § 75b Abs. 5 SGB V für IT-Dienstleister anzubieten. | Praxis / IT-Dienstleister |
| 2 | Beantragung der Zertifizierung | Zur Einleitung der Zertifizierung muss der Antragsteller das ausgefüllte Formular [KBV_ISAP_AAZ_ZERT_P75b_SGBV], inklusive der notwendigen Nachweise nach Abs. 2.5, einreichen. Formular und Nachweise können per E-Mail (pruefstelle@kbv.de) oder über das Upload-Portal der KBV (https://tausch.kbv.de) eingereicht werden. Bitte beachten Sie: die Gebührenschuld entsteht mit Eingang des Antrags bei der KBV unabhängig vom Ausgang der Voraussetzungsprüfung bzw. einer Einladung/Durchführung der Prüfung. | IT-Dienstleister |
| 3 | Kosten des Zertifizierungsverfahrens | Außer 120 Euro (vgl. Abs. 3 der „Richtlinie zur Zertifizierung nach § 75b Abs. 5 SGB V“) fallen bei der KBV keine weiteren Kosten für die Zertifizierung an | IT-Dienstleister |
| 4 | Prüfungsvoraussetzungen | Sowohl für die Teilnahme an der Prüfung als auch für Beantragung der Kreuzzertifizierung ist der Nachweis bestimmter Voraussetzungen zu erbringen. Die für die Teilnahme an Zertifizierung/Prüfung/Kreuzzertifizierung notwendigen Voraussetzungen sind in Abs. 2.5 der Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V angegeben. Die nachzuweisenden Voraussetzungen sind entweder
Eine Einladung zur Prüfung bzw. die Erteilung einer Kreuzzertifizierung erfolgt erst nach Prüfung der für die Teilnahme notwendigen Voraussetzungen. Als Nachweise für Punkt 1. können entsprechende Kopien der Zeugnisse eingereicht werden. Die Nachweise für 2. sind vom jeweiligen Arbeitgeber zu beglaubigen. In Selbständigkeit erlangte Berufserfahrung kann durch eine Eigenerklärung beglaubigt werden. | IT-Dienstleister |
| 5 | Kreuzzertifizierung | Eine Kreuzzertifizierung kann auf Basis bestehender Zertifikate ausgesprochen werden, in diesem Fall ist keine Prüfung notwendig. Die für die Kreuzzertifizierung akzeptierten Zertifikate bzw. Zertifikatskombinationen sind vollständig und abschließend in der Richtlinie im Abs. 2.6.1 Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V angegeben. Die für die Erteilung der Kreuzzertifizierung akzeptierten Zertifikate sind:
Andere Zertifikate / Zertifikatskombinationen werden für die Erteilung der Kreuzzertifizierung nicht akzeptiert. | IT-Dienstleister |
| 6 | Gibt es Informationen zu den Prüfungsinhalten bezüglich der Zertifizierung nach § 75 b Abs 5 SGB V bzw. gibt es Vorbereitungskurse o.Ä.? | Die Prüfungsinhalte basieren auf: • der Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit • den Inhalten der Voraussetzungen nach Abschnitt 2.6.1 (CISSP, T.I.S.P, IT-Grundschutz-Praktiker, IT-Grundschutz-Berater) Zu den benannten IT-Sicherheitsstandards nach Abschnitt 2.6.1 (Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V) gibt es Vorbereitungskurse unterschiedlicher Anbieter. Bitte haben Sie Verständnis dafür, dass wir als Körperschaft des öffentlichen Rechts keine Empfehlungen bezüglich Schulungsanbieter aussprechen dürfen. | IT-Dienstleister |
| 7 | Durchführung der Prüfung | Die Prüfungen werden als Online-Prüfungen via Zoom angeboten. Für Personen, die das nicht wünschen findet die Prüfungen in den Räumlichkeiten der KBV in Berlin statt. | IT-Dienstleister |
| 8 | Wie sind die Prüfungsmodalitäten? | Die Prüfung besteht aus 50 Multiple-Choice Fragen. Zum Bestehen der Prüfung müssen davon mindestens 66% innerhalb 2 Stunden richtig beantwortet werden. Die Zertifizierung ist eine Personenzertifizierung. Die Zertifizierung einer Firma / Gesellschaft / jur. Person ist nicht möglich. | IT-Dienstleister |
| 9 | Gibt es Musterprüfung/Musterfragen? Bietet die KBV eine Schulung an? | Eine Schulung oder Schulungsunterlagen bietet die KBV nicht an. Es werden keine Musterfragen zur Verfügung gestellt. | IT-Dienstleister |
| 10 | Kann ich meine nicht bestandene Prüfung wiederholen? | Eine Wiederholungsprüfung ist bei dem Zertifizierungsverfahren nach § 75b Abs. 5 SGB V nicht möglich. Um die Zertifizierung dennoch zu erlangen, müssen Sie einen neuen Antrag auf Zertifizierung stellen und eine erneute Prüfung ablegen. | IT-Dienstleister |
| 11 | Ist eine Hardware-Firewall (UTM Firewall, etc.) nach der "Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit" verpflichtend vorgeschrieben? | Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen. | |
| 12 | Was habe ich hinsichtlich der Installation der TI-Komponenten als Praxisgemeinschaft zu beachten? | Der Einfachheit halber wird eine Praxisgemeinschaft mit zwei Ärzten betrachtet. Es arbeiten also zwei wirtschaftlich unabhängige Ärzte in einem Gebäude, die jeweils der KV gegenüber eigene Abrechnungen abgeben. Diese sollen an die Telematik-Infrastruktur angeschlossen werden. Diese beiden Ärzte haben jeweils eine eigene BSNR. Konnektoren:
Ein VPN-Zugangsdienst kann in Richtung TI verwendet werden. SMC-B / Praxisausweis:
Lesegeräte:
| Praxis / IT-Dienstleister |
| 13 | Gibt es eine Nachweispflicht für die Umsetzung der Anforderungen der IT-Sicherheitsrichtlinie? Was empfehlen Sie als Nachweispflicht zu nutzen? Extra IT-Sicherheit Handbuch oder reichen die TOMs angepasst an die Anforderungen der IT-Sicherheitsrichtlinie? | Eine Nachweispflicht ist gesetzlich nicht vorgesehen. Es empfiehlt sich zumindest eine interne Dokumentation der Maßnahmenumsetzung und -kontrolle. | Praxis |
| 14 | Oft gibt es kein Diensthandy, aber die Mitarbeiter nutzen die privaten Handys im Praxisnetz. Welche Maßnahmen empfiehlt die KBV den Praxisinhabern hierfür? | Es empfiehlt sich als technische Maßnahmen eine Netztrennung, durch welche die Privatgeräte (von z. B. Mitarbeitenden oder Patienten) einen vom vertraulichen Praxisnetz getrennten Zugriff zum Internet erhalten. Als organisatorische Maßnahmen empfehlen sich zudem Nutzungsbedingungen und eine entsprechende Datenschutzerklärung. | Praxis |
| 15 | Warum hat die KBV die Verschlüsselung der Speichermedien nicht schon in der Anlage 1 festgelegt? | Es ist jeder Praxis(größe) freigestellt, Anforderungen umzusetzen, die gemäß der Richtlinie größeren Praxen zugeordnet sind. | Praxis |
| 16 | Wer erstellt den in der IT-Sicherheitsrichtlinie geforderten Netzwerkplan? | Der Praxisinhaber ist für die Erstellung verantwortlich, kann diese jedoch auch delegieren. | Praxis |
| 17 | Sind Ultraschallgeräte auch medizinische Großgeräte? | Aktuell ist dieser Begriff bewusst offen formuliert. Hierdurch verbleibt dem Praxisinhaber Interpretationsspielraum. (IT-) Sicherheitsmaßnahmen können auch unabhängig von der Einstufung als "medizinisches Großgerät" umgesetzt werden. | Praxis |
| 18 | Ist die Revisionssicherheit (bspw. Praxisarchiv) verpflichtend? | In der IT-Sicherheitsrichtlinie werden dazu keine Anforderungen festgelegt, dies geschieht an anderer Stelle. Ärztliche Aufzeichnungen sind für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht (vgl. § 10 Abs. 3 MBO-Ä, § 630f Abs. 3 BGB sowie für den vertragsärztlichen Bereich § 57 Abs. 2 BMV-Ä). Bewahrt der Arzt die Patientenakte nicht bis zum Ende der Aufbewahrungsfrist auf, trifft ihn in einem möglichen Arzthaftungsprozess gegebenenfalls die Pflicht zu beweisen, die medizinisch gebotenen Maßnahmen tatsächlich getroffen zu haben. Zu beachten sind zudem die zivilrechtlichen Verjährungsfristen, die etwa für einen Schadensersatzanspruch eines Patienten wegen eines Behandlungsfehlers des Arztes gelten. | Praxis |
| 19 | Dürfen Patientendaten (Name, Tel. Nr.) auf dem Praxishandy in „Kontakten“ gespeichert werden, da sie zum Terminmanagement über sms und Apps (Signal) benötigt werden? | Jede Verwendung von personenbezogenen Daten muss begründet (Zweckbindung) und in einem "Verzeichnis von Verarbeitungstätigkeiten" nach Artikel 30 DSGVO dokumentiert werden. Dies schließt auch die einzuhaltenden Löschfristen mit ein. Ein Beispiel für solch ein Verzeichnis und eine Ausfüllhilfe dazu gibt es auf den Seiten der KBV unter https://www.kbv.de/html/datensicherheit.php Im konkreten angesprochenen Fall sollte zudem darauf geachtet werden, dass die Praxishandys keine Kontaktsynchronisation in die Cloud vornehmen. | Praxis |
| 20 | Privathandy und WhatsApp sollen erlaubt sein? Die Firma Facebook ließt die komplette Adressdatenbank aus. Damit landen Daten in sogenannten Drittländern wie den USA. | WhatsApp ist im Praxiskontext nicht erlaubt. Zum Umgang mit Privathandys siehe Antwort Frage 14. | Praxis |
