§ 390 SGB V verpflichtet alle Beteiligten der Telematikinfrastruktur (TI) im deutschen Gesundheitswesen zur Einhaltung verbindlicher Informationssicherheitsmaßnahmen. Ziel ist der Schutz sensibler Gesundheitsdaten, die in der TI verarbeitet werden, und die Sicherstellung eines hohen Sicherheitsniveaus bei allen angeschlossenen Akteuren.

Die Vorschrift wurde eingeführt, um die unterschiedlichen Sicherheitsanforderungen im Gesundheitswesen zu vereinheitlichen. Sie bezieht sich auf Vorgaben der Gematik, des Bundesamts für Sicherheit in der Informationstechnik (BSI) und international anerkannte Standards wie ISO/IEC 27001 oder ISO/IEC 27799.

Damit wird § 390 SGB V zu einer verbindlichen Grundlage für den sicheren Betrieb digitaler Gesundheitsanwendungen und der gesamten Telematikinfrastruktur.

Die Vorschrift richtet sich an alle Akteure, die an die Telematikinfrastruktur angebunden sind oder mit ihr in Verbindung stehen, insbesondere:

• Arzt- und Zahnarztpraxen
• Psychotherapeutische Praxen
• Krankenhäuser und Reha-Einrichtungen
• Apotheken und Kassenärztliche Vereinigungen
• Krankenkassen und deren Rechenzentren
• IT-Dienstleister, Hosting- und Cloud-Anbieter im Gesundheitswesen

Auch Softwarehersteller und Anbieter von Praxisverwaltungssystemen oder Krankenhausinformationssystemen (KIS) sind betroffen, sofern ihre Produkte innerhalb der TI eingesetzt werden oder Patientendaten verarbeiten.

§ 390 SGB V verweist auf die Richtlinien der Gematik zur Informationssicherheit, die verbindliche technische und organisatorische Maßnahmen (TOMs) vorgeben. Dazu zählen:

• Etablierung eines ISMS nach anerkannten Standards (z. B. ISO/IEC 27001 oder BSI-Grundschutz)
• Risikomanagement und regelmäßige Sicherheitsbewertungen
• Zugriffs- und Berechtigungskonzepte für Mitarbeitende
• Technische Absicherung von Praxis-, Klinik- und Verwaltungsnetzwerken
• Incident-Response- und Notfallmanagement
• Schulung und Sensibilisierung aller Beschäftigten mit Zugriff auf Gesundheitsdaten
• Sicherer Datenaustausch über TI-Komponenten (z. B. Konnektor, ePA, KIM-Dienste)
• Nachweisführung und Auditfähigkeit gegenüber Aufsichtsbehörden oder der Gematik

Die Anforderungen gelten unabhängig von der Größe der Einrichtung und müssen regelmäßig überprüft und dokumentiert werden.

Die CHRIST Security GmbH berät Gesundheitseinrichtungen und IT-Dienstleister bei der praxisgerechten Umsetzung der Informationssicherheitsanforderungen nach § 390 SGB V.

Unsere Leistungen umfassen:

1. Bestandsaufnahme & Gap-Analyse: Bewertung des aktuellen Sicherheitsniveaus im Abgleich mit den Anforderungen der Gematik und ISO/IEC 27001.
2. Risikobewertung & Maßnahmenplanung: Entwicklung eines auf Ihre Einrichtung zugeschnittenen Sicherheitskonzepts.
3. ISMS-Einführung: Aufbau eines strukturierten Informationssicherheits-Managementsystems.
4. Dokumentation & Nachweisführung: Unterstützung bei der Erstellung prüfbarer Unterlagen für Kassenärztliche Vereinigungen und Aufsichtsbehörden.
5. Awareness & Schulung: Sensibilisierung von Mitarbeitenden für den sicheren Umgang mit Patientendaten.
6. Begleitung bei Audits: Vorbereitung und Unterstützung bei internen oder externen Überprüfungen.

Unser Fokus liegt darauf, Sicherheitsanforderungen effizient und ressourcenschonend in die bestehenden Abläufe von Praxen, Kliniken oder IT-Dienstleistern zu integrieren.

Eine proaktive Umsetzung bietet klare Vorteile – organisatorisch, rechtlich und wirtschaftlich:

• Rechtssicherheit: Erfüllung gesetzlicher Vorgaben und Vermeidung von Sanktionen.
• Vertrauen & Reputation: Nachweis eines hohen Sicherheitsniveaus gegenüber Patienten, Partnern und Aufsichtsbehörden.
• Effizienzgewinn: Klare Prozesse und Verantwortlichkeiten verbessern die Arbeitsabläufe.
• Schutz sensibler Daten: Vermeidung von Datenpannen und Reputationsschäden.
• Wettbewerbsvorteil: Nachweisbare Informationssicherheit stärkt die Position bei Ausschreibungen und Kooperationen.

Langfristig trägt die Umsetzung dazu bei, Datenschutz und Informationssicherheit im Gesundheitswesen auf ein einheitlich hohes Niveau zu bringen.

Einrichtungen sollten frühzeitig mit einer strukturierten Sicherheitsplanung beginnen und Verantwortlichkeiten klar definieren. Wichtig ist, dass technische Maßnahmen (z. B. Netzwerkabsicherung, Zugriffskontrollen, Systemhärtung) mit organisatorischen Prozessen (z. B. Rollenmanagement, Schulung, Auditierung) verzahnt werden.

Da § 390 SGB V auch die Zusammenarbeit mit externen Dienstleistern betrifft, sollten Verträge und Schnittstellen regelmäßig überprüft werden, um die Einhaltung der Sicherheitsanforderungen sicherzustellen. Ein kontinuierlicher Verbesserungsprozess (PDCA-Zyklus) gewährleistet, dass das Sicherheitsniveau dauerhaft stabil bleibt.

Mit der Unterstützung der CHRIST Security GmbH gelingt die Umsetzung rechtssicher, nachvollziehbar und praxisorientiert – unabhängig von der Größe der Einrichtung oder der vorhandenen IT-Struktur.