Security-Awareness-Maßnahmen werden im Gesundheitswesen zur Pflicht

Im März 2024 hat der Gesetzgeber mit den §§ 390, 391 und 392 SGB V eine neue Regelung zur IT-Sicherheit für verschiedene Akteure im Gesundheitsbereich geschaffen. Neben generellen Anforderungen zur Wahrung der IT-Sicherheit werden hierdurch erstmals auch ausdrücklich Sensibilisierungsmaßnahmen gesetzlich angesprochen. Damit werden Security-Awareness-Maßnahmen in der vertragsärztlichen und vertragszahnärztlichen Versorgung sowie in Krankenhäusern und für Krankenkassen zur gesetzlichen Pflicht.

Für Vertragsärzte und Vertragszahnärzte heißt es konkret in § 390 SGB V:

„Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest.“ (Abs. 1)

„Die Richtlinie […] umfasst insbesondere auch [..] Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness).“ (Abs. 2 Nr. 2, eigene Hervorhebung)

Für Krankenhäuser findet sich in § 391 SGB V eine ausdrückliche Regelung zur IT-Sicherheit:

„Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.“ (Abs. 1)

„Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.“ (Abs. 2, eigene Hervorhebung)

Und auch für gesetzliche Krankenkassen ergeben sich ausdrückliche Pflichten aus § 392 SGB V. Hier werden

„geeignete Maßnahmen zur Erhöhung der Cybersecurity-Awareness“ (Abs. 4. Nr. 1)

gefordert.

Was ist jetzt zu tun?

Aus datenschutzrechtlicher Sicht sind Gesundheitsdaten eine spezielle Kategorie von Daten und besonders schützenswert. Daher ist die nun erfolgte gesetzliche Verpflichtung für mehr IT-Sicherheit im Sinne der Patienten zu begrüßen.

Die genannten Akteure bzw. Einrichtungen des Gesundheitswesens sollten sich spätestens jetzt mit dem Thema Schulungsstrategie zur Steigerung der Security Awareness sowie der Organisation von Schulungen und Rechenschaftspflichten für solche Awareness-Maßnahmen beschäftigen.

Welche Punkte dabei beachtet werden müssen, haben wir u. a. in unserem Beitrag Praktischer Umgang mit Pflichtschulungen aus Compliance-Sicht dargestellt.

Sprechen Sie uns gerne an und wir planen mit Ihnen gemeinsam die notwendigen Schritte. Mit unserem Learning Management System (LMS) sind Sie in der Lage, Pflichtschulungen über eLearnings smart auch an eine große Anzahl von Mitarbeitenden auszuspielen, zu organisieren und vorzuhalten. Im vorliegenden Kontext bieten sich insbesondere diese eLearnings aus unserem Portfolio an:

• Grundkurs Informationssicherheit
  
• Schutz vor Phishing
  
• Schutz vor Ransomware
  
• Schutz vor Social Engineering
  

Über unsere Lernplattform können Sie per Schnittstelle die E-Mail-Adressen der Beschäftigten importieren und auch an Beschäftigte ohne E-Mail-Adresse haben wir gedacht. Die Schulungen können so an alle Beschäftigten ausgespielt werden und unsere Lernplattform erstellt automatisierte Schulungsnachweise, damit Sie Ihrer Rechenschaftspflicht nachkommen können.

Auch darüber hinaus unterstützen wir Sie bei Bedarf gerne mit Vor-Ort-Schulungen, Penetrationstests, Schwachstellenscans, Security-Audits oder dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) – zum Beispiel nach ISO/IEC 27001 oder anhand des Branchenstandards B3S. Wir greifen dabei als Teil der DSN GROUP auf über 20-jährige Erfahrung im Bereich Datenschutz und Informationssicherheit zurück.

Wir freuen uns auf Ihre Anfrage und entwickeln gerne für Sie die passende Lösung – smart, mit Augenmaß und dem Blick für die Praxis.