Datenschutz in Arztpraxen

In Arztpraxen werden besonders schützenswerte personenbezogene Daten verarbeitet. Da es sich bei den Informationen über den Gesundheitszustand einer Person um äußerst vertrauliche Daten handelt, muss mit diesen Daten sehr verantwortungsbewusst umgegangen werden, insbesondere indem man sich mit der entsprechenden Technologie ausstattet.

Denn die Schnittstellen und Geräte in den Arztpraxen weisen oft gravierende Mängel im Bereich des Datenschutzes auf. Die folgende Tabelle zeigt für jede Schnittstelle oder Umgebung, welche Maßnahmen ergriffen werden können, um die mit dem Einsatz von IT verbundenen Risiken zu verringern oder zu beseitigen.

Schnittstellen und nützliche Maßnahmen

• den Zugang mit einem Passwort oder einem USB-Schlüssel mit biometrischen Daten schützen; sensible Daten verschlüsseln;
• eine gute Sicherungsstrategie haben; RAID;
• Gewährleistung einer guten Wartung des RAID-Systems; Clustersysteme;
• die Fernwartung des Systems nur zulassen, wenn keine Patientendaten im System vorhanden sind oder die Daten verschlüsselt sind -> einen Test mit fiktiven Daten durchführen. Erstellen Sie einen Wartungsbericht.
• Bewahren Sie die Sicherungsmedien an einem sicheren Ort auf (Safe);
• Definieren Sie das Sicherungsverfahren so, dass im Falle des Verlusts oder der Zerstörung eines Sicherungsmediums nicht alle Daten verloren gehen;
• Testen des Verfahrens Sicherung -> Wiederherstellung
• Schließen Sie keine unnötigen Zugangsgeräte an und schalten Sie sie nicht aus, wenn sie nicht benutzt werden;
• Es wird nicht empfohlen, ein drahtloses lokales Netzwerk (WLAN) zu installieren;
• Der Zugang für die Wartung der Netzinfrastruktur muss vom Arzt gewährt werden, der den Zugang nach Abschluss der Arbeiten wieder schließt; Erstellung eines Wartungsberichts.
• drucken Sie keine Dokumente mit Patientendaten auf einem unbeaufsichtigten Drucker;
• Lassen Sie gedruckte Dokumente nicht zu lange auf dem Drucker liegen;
• Gedruckte Texte dürfen weder über den Drucker noch über den Druckserver rekonstruiert werden können;
• Die Wartung des Druckers muss vor Ort durchgeführt werden.
• die Bildschirme so aufzustellen, dass Dritte das Video nicht sehen können;
• den Zugang mit einem Passwort oder einem biometrischen USB-Schlüssel schützen;
• Schreiben Sie Passwörter nicht auf einen Post-it-Zettel;
• den Bildschirmschoner so einstellen, dass er nach einer kurzen Zeitspanne aktiviert wird;
• Zugang zu Aufzeichnungen.
• Sperren Sie den PC, wenn der Arzt nicht in der Praxis ist;
• den Zugang mit einem Passwort oder einem biometrischen USB-Schlüssel schützen;
• den Bildschirmschoner so einstellen, dass er nach einer kurzen Zeitspanne aktiviert wird;
• Zugang zu Aufzeichnungen;
• speichern Sie die bereits auf dem Server gespeicherten Patientendaten nicht lokal.
• Nur verschlüsselte Daten können zwischen dem Büro und dem Büro/Heim übertragen werden. Die beste Lösung ist, die benötigten Daten auf einem Laptop zu speichern;
• wenn sie auf einem Laptop gespeichert sind, müssen die Patientendaten verschlüsselt werden;
• Achtung: Die Regeln für die Verarbeitung in der Arztpraxis (einschließlich der Regeln für die Internetverbindung) gelten auch für Patientendaten, die auf einem privaten Computer verarbeitet werden;
• der Computer muss vor dem Zugriff Dritter (z. B. Familienmitglieder) geschützt werden.
• wird die Installation einer Hardware-Firewall empfohlen;
• ggf. einen PC speziell für das Surfen im Internet bereitstellen. Der PC sollte jedoch nicht mit dem LAN-Netzwerk der Arztpraxis verbunden sein;
• stellen Sie nach Möglichkeit nur dann eine Verbindung zum Internet her, wenn dies aus beruflichen Gründen erforderlich ist;
• Installieren Sie keine anderen Internetverbindungen im Arbeitszimmer; wenn dies nicht möglich ist, stellen Sie die Verbindung nur über die Firewall her;
• Standardmäßig sollten alle Türen geschlossen sein;
• Im Falle eines Angriffs sollte die Firewall automatisch die Unangreifbarkeit des Systems gewährleisten;
• die Protokollierung der Firewall-Aktivitäten;
• Die Fernwartung kann nur über Modem erfolgen; es muss ein Wartungsbericht erstellt werden;
• nicht über den Praxisserver aus dem Internet herunterladen;
• ein Virenschutzsystem installieren.
• Die E-Mail-Adressen der Firma sollten nicht wahllos an andere weitergegeben werden;
• Private E-Mails sollten von privaten E-Mail-Adressen gesendet werden;
• Patientendaten nur in verschlüsselten E-Mails zu versenden;
• Senden Sie keine Patientendaten in einer Antwort-E-Mail;
• Verwenden Sie die E-Mail-Anwendung nicht, um Dokumente zu verwalten oder, noch schlimmer, um eine elektronische Patientenakte anzulegen. Mit anderen Worten: Löschen Sie E-Mails, nachdem Sie sie gelesen haben, und übertragen Sie deren wichtige Inhalte in die Patientenakte.
• die Infrastruktur regelmäßig zu überprüfen;
• Verwenden Sie keine unnötige Hardware und Software;
• erlauben Sie Dritten nicht, selbst auf die Systeme zuzugreifen - auch nicht für Wartungsarbeiten;
• Schließen Sie keine Mobiltelefone an einen Computer in der Praxis an. Auch Mobiltelefone können zur Datenübertragung genutzt werden.

Die Liste der Maßnahmen ist nicht erschöpfend und garantiert daher keinen absoluten Schutz vor Missbrauch. Dennoch ist es ein erster Schritt, um Patientendaten angemessen vor den Risiken zu schützen, die mit der Nutzung der Informationstechnologie verbunden sind. Wichtig ist, dass sich jeder Arzt darüber im Klaren ist, dass er für etwaige Mängel in seiner IT-Infrastruktur zur Verantwortung gezogen wird.

Daraus ergibt sich folgende Regel: Der Arzt muss die IT-Infrastruktur seiner Praxis kennen und für eine hohe technische Qualität sorgen. Angesichts des Umgangs mit äußerst sensiblen Daten kann es sich eine Arztpraxis nicht leisten, von dieser Regel abzuweichen.

Das Datenschutzgesetz ist bis Mitte Mai 2022 aktualisiert worden, wir besprechen es hier.