Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

· Fachbeitrag · Datenschutz

IT-Sicherheit in der Arztpraxis

von Dirk Küpper, Düsseldorf, www.dirkkuepper.de 

| Der Umgang mit Patientendaten war schon immer ein heikles Thema. Durch die jüngsten Enthüllungen über Cyberspionage und Abhöraktionen prominenter Politiker ist die Besorgnis der Patienten und Praxisteams weiter gestiegen. Was kann die Arztpraxis, was kann die einzelne MFA tun, um sensible Patientendaten vor Missbrauch durch Unbefugte zu schützen?  |

Rechtliche Grundlagen

Rechtsgrundlage für die ordnungsgemäße Datenverarbeitung ist die ärztliche Schweigepflicht. Diese ist in § 203 Strafgesetzbuch (StGB) und in § 9 Muster-Berufsordnung für Ärzte (MBOÄ) geregelt. § 10 MBOÄ führt die Grundsätze für die Dokumentation und die Verarbeitung von Patientendaten weiter aus:

 

  • Wahrung des Persönlichkeitsrechts des Patienten,
  • Wahrung des Patientengeheimnisses,
  • Dokumentation der Behandlungsabläufe und -ergebnisse sowie das
  • Recht des Patienten, in der Regel Einsicht in die objektiven Teile der ärztlichen Aufzeichnungen zu nehmen.

Ordnungsgemäße Datenverarbeitung und Nutzung

§ 9 Bundesdatenschutzgesetz (BDSG) legt fest, wie personenbezogene Daten zu automatisieren, zu verarbeiten und zu nutzen sind.

 

Zugang zum IT-System und zu Patientendaten

Der Schutz elektronischer Daten beginnt mit dem Zutritt zur IT-Anlage. 
Daher sollte zum Beispiel der Server unbedingt in einem separaten Serverraum stehen, den nur der Praxisinhaber bzw. der Systemadministrator 
betreten dürfen. Rechner an der Rezeption oder im Sprechzimmer sollten mit einem passwortgeschützten Bildschirmschoner versehen werden.

 

PRAXISHINWEIS |  Das Passwort sollte mindestens sechs, noch besser acht 
Zeichen enthalten. Nutzen Sie Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie das Anhängen von Sonderzeichen oder Zahlen an Namen oder geläufige Wörter, wie zum Beispiel: Mueller1#, da diese leicht zu erraten sind.

 

Personenbezogene Daten dürfen nur von denen eingesehen, bearbeitet oder gelöscht werden, die dazu berechtigt sind. Dazu sollten alle aus dem Praxisteam, die mit elektronischen Patientendaten umgehen, einen persönlichen 
Benutzeraccount (Benutzername + Passwort) erhalten. Passwörter sollten nicht aufgeschrieben oder zumindest so verwahrt werden, dass sie vor unbefugtem Zugriff geschützt sind (zum Beispiel in einem abgeschlossenen Aktenschrank). Der Systemadministrator kann je nach Aufgabenprofil der einzelnen Teammitglieder für verschiedene Daten den Zugriff erlauben oder sperren, um unbefugte Nutzung auszuschließen. In einer Praxisgemeinschaft müssen die beteiligten Ärzte getrennte Patientendateien benutzen.

 

Sichere Datenübermittlung

Wenn überhaupt, sollten Sie Patientendaten online nur verschlüsselt übermitteln. Hierfür bietet sich sogenannte PGP-Software an (PGP = englische Abkürzung für „pretty good privacy“). Damit können sowohl E-Mails als auch Dateien und Datenträger (zum Beispiel Festplatten, USB-Sticks) per Mausklick verschlüsselt werden.

 

PRAXISHINWEIS |  Auch im Internet sollten Sie Daten immer nur verschlüsselt übermitteln. Eine verschlüsselte Datenübertragung im Internet erkennen Sie an dem Kürzel „https“ vor der URL. Beispiel: https://www.iww.de/ppa/myiww

 

Für jede Arztpraxis ist es sinnvoll, sich einen KV-SafeNet-Anschluss anzuschaffen. Über SafeNet wird eine geschützte, vom Internet getrennte Online-Verbindung aufgebaut, die die datenschutzgerechte Anbindung aller Rechner in der Praxis ermöglicht (mehr dazu in den weiterführenden Hinweisen).

 

PRAXISHINWEIS |  Grundsätzlich dürfen Sie Patientendaten per E-Mail nur nach schriftlicher Einwilligung des Patienten verschicken. Aber auch hier haftet die Praxis dafür, dass die Daten nicht in falsche Hände gelangen. Deshalb sollten Sie sich vom Patienten eine Haftungsfreistellung unterzeichnen lassen, um sich 
gegen Schadenersatzansprüche abzusichern.

 

Kontrolle der Datenverarbeitung durch den Systemadministrator

Jede vorschriftsmäßige Datenverarbeitung bedarf der Kontrolle durch den Systemadministrator. Nur so kann Manipulation verhindert werden. Anhand der Zugangsdaten jedes Benutzers kann kontrolliert werden, wer wann Daten eingegeben, verändert oder gelöscht hat. Diese Aktivitäten werden automatisch vom IT-System in einer Logdatei erfasst und sind so für den Administrator 
jederzeit nachzuvollziehen.

 

Schutz vor Datenverlust

Personenbezogene Daten müssen jederzeit verfügbar sein und gegen ungeplanten Verlust geschützt werden. Daher sollten die Daten mindestens einmal täglich gesichert werden (Backup). Dazu lässt man die Daten am besten automatisch von einer speziellen Software auf eine externe Festplatte speichern. Nach Abschluss der Datensicherung muss das Speichermedium mit den Backupdaten außerhalb der Praxisräume sicher verwahrt werden. Nur in diesem Fall bleibt auch der Versicherungsschutz gewahrt.

 

Weiterführende Hinweise

  • Empfehlungen von Bundesärztekammer und Kassenärztlicher Bundesvereinigung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis mit ausführlicher IT-Checkliste unter http://tinyurl.com/yd66vx9 
Quelle: Ausgabe 01 / 2014 | Seite 6 | ID 42394846
print print email email email_comp email_comp twitter twitter facebook facebook xing xing

Mehr zum Thema