IT-Sicherheit im Gesundheitswesen

Der Gesetzgeber hat die Kassenärztliche Bundesvereinigung beauftragt, eine einheitliche und solide Regelung für die IT-Sicherheit im Gesundheitswesen zu entwickeln. Diese ist in der IT-Sicherheitsrichtlinie nach § 75b Abs. 5 SGB V (für Praxen) und § 75c SGB V (für Krankenhäuser) definiert.
Ziel ist es, IT-Systeme und Übertragungswege zu sichern und dadurch sensible Patientendaten zu schützen, um sie sicher zu verwalten. Die Einhaltung klarer Vorgaben helfen, Risiken wie Datenverlust oder Betriebsausfall zu minimieren.

  

Ihr Mehrwert durch unsere Beratungsleistung

Der Digitalisierung kommt im Medizinsektor eine immer größer werdende Bedeutung zu. Als Inhaber einer Praxis oder Geschäftsleitung eines Krankenhauses beeinflussen Faktoren wie die IT-Sicherheitsrichtlinie, die Telematik-Infrastruktur, die elektronische Patientenakte (EPA) oder das Krankenhauszukunftsgesetz (KHZG) ihr Risikomanagement im Geschäftsalltag.
Dabei liegt es in Ihrer Verantwortung, den Anforderungen dieser stetig neu wachsenden Bedrohungen und Herausforderungen gerecht zu werden.


Kompetenz und Wirtschaftlichkeit

Die Umsetzung erfordert interdisziplinäre Kompetenz in den Bereichen Informationsmanagement, IT-Sicherheit und Datenschutz. Zudem gilt es zu unterscheiden, welche konkreten Sicherheitsmaßnahmen für Ihren Fall (abhängig von Praxisgröße und vorhandener IT-Infrastruktur) gelten und welche Fristen eingehalten werden müssen. 
Als zertifizierter Dienstleister nach § 75b Abs. 5 SGB V und der Krankenhausstrukturfonds-Verordnung (KHSFV, §21 Absatz 5 Satz 1) ist es für uns wichtig, ein gutes Verhältnis zwischen IT- und Informationssicherheit und einem gesunden Maß an Wirtschaftlichkeit zu erreichen.
Wir bieten:

  • Beratung im Bereich Informations- und IT-Sicherheit
  • Prüfung nach § 75b SGB V Absatz 5
  • Prüfung nach § 75c SGB V 
  • Prüfung nach § 21 Absatz 5 Satz 1, KHSFV
  • Beratung von Krankenhäusern bei der Planung und Durchführung von Projekten, unterstützt durch das Krankenhauszukunftsgesetz
  • Awareness-Schulungen ihres Teams

Um Ihre Praxis auf das geforderte Sicherheitslevel zu heben, prüfen wir mit Ihnen zusammen die Anforderungen und geben Ihnen die benötigten Empfehlungen, Hinweise und unterstützen Sie bei der Umsetzung notwendiger Maßnahmen.

Ihr Weg zum geforderten Sicherheitslevel

BSI & KBV

Vorgabe eines bundesweit einheitlichen IT-Grundschutzes mit verbindlichen Richtlinien

Kunde & ARCA-Consult

Neutrale und objektive Erstanalyse zur Feststellung des Prüfungsumfangs

Kunde & ARCA-Consult

Durchführung einer Analyse (Dokumentation, Prozesse und IT-Hardware) basierend auf dem festgelegten Prüfungsumfang

ARCA-Consult

Aufarbeitung der Analyse und Bereitstellung eines ordnungsgemäßen IT-Sicherheitsberichtes

Kunde & ARCA-Consult

Ergebnisvorstellung und Erläuterung der empfohlenen Maßnahmen
Auf Wunsch: Sensibilisierung und Schulung ihres Personals

Kunde & IT-Dienstleister

Ausführung der empfohlenen Maßnahmen

Vorteile für Ihre Praxis / Unternehmen

Unabhängige Beurteilung und Einschätzung ihrer Informations- und IT-Sicherheit durch einen Dritten

Einfallstore für Cyber-Attacken erkennen und beseitigen

Aufzeigen von Schwachstellen bei der Sicherung sensibler Patientendaten

Sensibilisierung für Informations- und IT-Sicherheitsthemen

Vermeidung von Honorarkürzungen

Vertrauensaufbau gegenüber Patienten / Neupatientengewinnung

Aktualisierung ihrer Dokumente und Verbesserung ihres Qualitätsmanagements hinsichtlich IT und Prozessabläufe

Reduzierung des Haftungsrisikos durch Nachweis des Erfüllungsgrades der IT-Sicherheitsrichtlinie

Ablauf einer IT-Sicherheitsprüfung und Umfang unseres Leistungsangebots

Erstgespräch

Vorstellung des Unternehmens
Grundsätzlicher Ablauf der IT-Sicherheitsprüfung
Besprechung und Festlegung des Prüfungsumfangs
Zeitliche Planung der Bestandsaufnahme
Besprechung der notwendigen Dokumente für Bestandsaufnahme

Bestandsaufnahme

Sichtung der bereitgestellten Dokumente
Vor-Ort-Begehung
Interviewgespräch mit relevanten Mitarbeitern
Erstellen einer Dokumentation als Nachweis





Ergebnis und Empfehlung

Vorstellung der Bestandsaufnahme und Aushändigung der Dokumentation
Erläuterung der Ergebnisse
Detaillierte Besprechung der Abweichungen zur IT-Sicherheitsrichtlinie
Aufklärung über mögliche Maßnahmen zur Risikominimierung anhand Risikokatalog

weitere Maßnahmen

Besprechung der durchzuführenden Maßnahmen
Durchführung von Maßnahmen
Dokumentation aller durchgeführten Maßnahmen