Ein Hackerangriff auf eine Praxis klingt eher unwahrscheinlich. Aber die IT hält noch weitere Gefahren bereit: Phishing Mails, Trojaner, neugierige Blicke in digitale Patientenakten. Ein IT-Sicherheitskonzept ist für jede Praxis unausweichlich. Aber ab wann lohnt es sich ergänzend eine Cyberhaftpflichtversicherung abzuschließen?
Voraussetzung für jede Praxis: IT-Sicherheitskonzept
Manchmal genügt ein Stromausfall oder ein unbedachter falsch gemachter Klick in einer Email und die IT in der Praxis ist gefährdet. Jede Praxis braucht daher ein Sicherheitskonzept, das vor solchen Gefahren schützt. Es sollte vor allem drei Punkte beachten:
1. Systemausfälle verhindern und die ständige Verfügbarkeit des Systems sicherstellen
2. Änderungen von Daten nachvollziehbar machen und unbemerktes Daten ändern verhindern
3. Zugang zu Daten auf autorisierte Benutzer und Benutzerinnen beschränken
Seit 2021 gilt eine gesetzlich vorgeschrieben IT-Sicherheitsrichtlinie, die Sicherheitsanforderungen an Arztpraxen festlegt und die teils je nach Praxisgröße variieren. Weitere Informationen zur IT-Sicherheitsrichtlinie finden Sie auf dem Online-Portal der KBV.
Es lohnt sich aber auch die Meinung von IT-Expert:innen zur Einschätzung von Cyberrisken hinzuzuziehen. Bei der Bedarfsermittlung werden Punkte erörtert wie „Gibt es einen Notfallplan, falls Systeme angegriffen werden?“, „Werden Passwörter regelmäßig geändert?“ oder „Werden Updates zeitnah gespeichert?“ und „Wird die Antivirensoftware regelmäßig aktualisiert?“.
Zudem lädt das Gesundheitsnetz Qualität & Effizienz eG (QuE) gemeinsam mit dem Bayerischen Hausärzteverband am 4. Oktober 2023 im Nürnberger Presseclub zum Thema „Praktische Umsetzung der Datensicherheit in der Arztpraxis“ zu einem Workshop ein. Hier können Sie sich anmelden: Workshop Datensicherheit
Was leistet eine Cyber-Versicherung?
Ein IT-Sicherheitskonzept ist Grundvoraussetzung für jede Arztpraxis. Aber bedenken Sie: Auch wenn ein IT-Dienstleister beauftragt ist, haftet der Praxisinhaber/die Praxisinhaberin selbst bei Schäden gegenüber Dritten. Eine Cyber-Versicherung kann daher je nach Bedarf empfehlenswert sein und unterschiedlich gestaltet werden. Sie deckt beispielsweise folgende Schäden ab:
• Eigene Schäden etwa durch Betriebsunterbrechung oder Einnahmeausfall
• Schäden Dritter etwa bei Datenschutzverletzungen
• Technische Schäden durch Phishing, Viren, Malware oder Cyberangriffe
• Datenverluste
Häufig enthält eine Cyber-Versicherung auch eine Datenschutzversicherung, die bei Verstößen gegen das Datenschutzgesetz (inklusive DSGVO) greift und Kosten für Rechtsstreitigkeiten oder Strafen teilweise übernimmt. Eine Datenschutzversicherung kann aber auch unabhängig von der Cyberschutzversicherung abgeschlossen werden.
Dr. Marc Metzmacher, Bezirksvorsitzender Mittelfranken des Bayerischen Hausärzteverbands und Leiter der AG Digitalisierung, empfiehlt darauf zu achten, dass neben der Schadensabdeckung finanzieller Art auch das Schadensmanagement übernommen wird: „Krisenkommunikation mit betroffenen Patienten, Wiederherstellung von Daten, Forensik und die Wiederherstellung der Betriebsfähigkeit sind wichtige Inhalte einer Cyberschutzversicherung.“ Ebenso sollte auch die Möglichkeit eines Cyber-Security-Checks der Praxis beinhaltet sein, möglicherweise sogar zusammen mit jährlichen Nachbesprechungen. Denn laut Metzmacher ließe sich dadurch oft auch die Selbstbeteiligung reduzieren.
Die Haftung für die Telematikinfrastruktur (TI) übernimmt nach § 311 SGB V die Gematik. Denn sofern der Konnektor nach Vorgaben der Gematik installiert wurde, liegt die Verantwortung für Sicherheitslücken in der zentralen IT auch beim Betreiber.
Wann lohnt sich eine Cyberschutzversicherung?
Zunächst sollten Sie sich folgende Frage stellen: Welche Schäden decken meine Praxis-Haftpflicht-, Betriebsunterbrechungs- und Rechtschutzversicherung ab? Denn teilweise können Leistungen durch einer Cyberschutzversicherung bereits in diesen Versicherungen enthalten sein.
Das Thema Cyberschutzversicherung ist jedoch komplex. Daher ist eine ausführliche Beratung durch Expert:innen in jedem Fall sinnvoll, um zu entscheiden, ob sich ein Versicherungsschutz lohnt.
Angebot für Mitglieder des Deutschen Hausärztverbands
Der Deutsche Hausärzteverband berät beispielsweise über die Vorteile einer Cyber-Versicherung für die Praxis, nicht nur im Schadenfall, sondern auch in Bezug auf präventive Maßnahmen und einer nachgelagerten Sicherheitsanalyse.
