konrad-holbein hat geschrieben: ↑Donnerstag 17. April 2025, 17:39
Hallo,
frage für ein Freund: wenn der lokale IT Dienstleister (noch) keine Zertifizierung nach (KBV) § 390 SGB V hat und er nix
bei TI Konnektor / PVS ändert, (weil das der PVS Lieferant macht).....
...ist dann alles ok oder ist das gegen KBV "Empfehlung/Vorschrift/Gebot/Befehl"?
Mal angenommen der lokale IT Dienstleister ist zuständig für: PCs, Server, Firewall, Router, Mailserver, Drucker, Scanner, Outlook.
Hi,
antworte im Namen eines Freundes:
Die Kassenärztlichen Bundesvereinigungen müssen die Mitarbeiterinnen und Mitarbeiter der Anbieter von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.
-> Zertifizierung muss angeboten werden
-> Zertifikat gibt es bei Eignung
-> Es gibt aber (bisher) nicht den Umkehrschluss, dass man ohne Zertifizierung nicht über die notwendige Eignung verfügen würde. Wobei es fraglich ist, wie diese gemessen wird. Die Inhalte der Prüfung sind grob umrissen, aber nirgends detailliert dargelegt. Dementsprechend könnte ein Gutachter nicht einfach eine Checkliste ableiten und abfragen.
Ansonsten...
Bisher ist es demnach eine Kann-Vorschrift. Ich habe nirgends eine konkrete Pflicht herausgelesen.
Bei der TI erwarten manche Betreiber, dass nur ein "echter DVO" rangeht, was auch immer das bedeuten mag - zumal... ach nee, würde ausufern.
Bin mir auch nicht sicher, ob´s wirklich Pflicht wird, nachdem der GroKo(tz*) ja allerlei Beauftragte abschaffen zu wollen nachgesagt wird.
Aber:
Die Person, die an Ihrer Praxis-IT herumwerkelt, sollte natürlich alles wissen/können, was die Zertifizierung beinhaltet.
Die Pflicht zur Umsetzung, selbst oder durch Dritte, obliegt aber primär Ihnen.
Ohne das juristisch verbriefen zu können, rein Bauchgefühl und Praxiserfahrung:
- Wenn Ihnen die Zertifizierung nachgewiesen wurde, kann man Ihnen zumindest formal bei der Wahl des Dienstleisters nix vorwerfen.
- Wenn Sie dem Dienstleister nachweislich auftragen, stets die Richtlinie zu beachten, kann das Ihr persönliches Risiko deutlich senken.
- Zugleich wird der Dienstleister aber eventuell "unbequem". Er wird nämlich, wenn er schlau ist, belegbar mitteilen, wenn ein Auftrag oder etwas damit im Zusammenhang stehendes nicht der Richtlinie entspricht. Damit haben Sie dann aber nicht nur das "Wissen", dass womöglich was nicht okay ist - sondern auch den Handlungsdruck und oftmals Folgekosten.
Derzeit verbringe ich z.B. viel Zeit mit der gebotenen Dokumentation, die wesentlich mehr beinhaltet als nur ein paar Passwörter, IP-Adressen und sowas. Dazu gehören - in Anlehnung an KRITIS-Vorgaben, die vielleicht doch schneller kommen als befürchtet - auch Risikobewertungen und Notfallpläne.
Aber um mal etwas zu relativieren:
Die Zertifizierung deckt ja nicht das Fachwissen für die vollumfängliche Administration ab. Mailserver, Firewall und so weiter sind jeweils Themen für sich. Wer einen Mailserver einrichtet, sollte zwar auch die IT-Sicherheitsrichtlinie kennen und beachten, aber vor allem eines: Einen Mailserver einrichten können.
* = das tz bezieht sich auf die diffusen Aussagen zur Digitalisierung im Koalitionsvertrag.