< vorhergehender Beitrag

Datensicherheit in der Ordination

Technische, organisatorische und personelle Maßnahmen garantieren die Sicherheit sensibler Patientendaten.


Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl, Expertin für IT- und Informationssicherheit an der FH Oberösterreich, Fakultät für Informatik, Kommunikation und Medien in Hagenberg

Im März hat das EU-Parlament eine neue Datenschutzgrundverordnung in erster Lesung genehmigt, die vorsieht, dass jedes Unternehmen, das personenbezogene Daten von mehr als 5.000 Menschen im Jahr oder aber prinzipiell sensible Daten von Menschen verarbeitet, einen Datenschutzbeauftragten bestellen muss. Ein Thema, das auch Ärzte betreffen könnte, haben sie doch in hohem Maß mit laut § 4(2) des Datenschutzgesetzes (DSG) sensiblen Daten zu tun. Konkret gehören dazu sämtliche „Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben“. Derzeit ist aber noch unklar, ob und in welcher Form die neue EU-Verordnung kommen wird.

Sichere Maßnahmen

Tatsache ist jedoch, dass sich Ärzte im Hinblick auf Datensicherheit freilich schon jetzt Gedanken machen müssen, denn gemäß DSG sind sie – wie alle anderen Personen bzw. Unternehmen, die mit personenbezogenen Daten zu tun haben – dazu verpflichtet, Maßnahmen zur Gewährleistung des Datenschutzes zu treffen. „Dabei sind diese Sicherheitsmaßnahmen so auszuwählen, dass sie technisch auf aktuellem Stand und den Risiken angemessen sind. Da es sich bei Gesundheitsdaten um sensible Daten laut DSG handelt, sind durchaus hohe Ansprüche zu stellen. Wichtig ist allerdings auch die ‚wirtschaftliche Vertretbarkeit’ laut §14(1). Das DSG verlangt also keinen ‚Overkill’ an Maßnahmen“, so Prof.(FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl, Expertin für IT- und Informationssicherheit an der FH Oberösterreich, Fakultät für Informatik, Kommunikation und Medien in Hagenberg.
Hier kommt die IT- und Informationssicherheit ins Spiel. Technische Maßnahmen, wie Zugriffskontrolle, Berechtigungssysteme, Virenschutz, regelmäßige Backups sowie Aktualisierung der Software usw. (siehe Kasten), werden meist standardmäßig in Betriebs- oder Anwendungssystemen angeboten oder sind kostengünstig zu realisieren. „Doch“, so Schaumüller-Bichl, „die besten technischen Maßnahmen alleine nützen nichts, wenn nicht auch entsprechende organisatorische und personelle Maßnahmen umgesetzt werden.“
Dazu gehört schon der sichere Umgang mit Passwörtern, denn es kommt immer noch vor, dass diese auf einem Post-it auf dem Bildschirm notiert oder auf einem Zettel unter der Tastatur aufbewahrt werden. Neben Passwörtern sollten außerdem weder Schlüssel noch Zugriffs- und Zutrittskarten weitergegeben werden. „Für eventuelle Vertretungen müssen entsprechende Vertretungsregeln und -rechte eingerichtet werden“, so die IT-Expertin. Ein weiteres Thema ist der sichere Umgang mit Speichermedien, die, sofern sie personenbezogene Daten enthalten, sicher verwahrt gehören. Neben CDs, externen Festplatten und anderen Speichermedien bergen laut Schaumüller-Bichl speziell USB-Sticks besondere Gefahren, schon alleine weil sie leicht verloren gehen. Überaus heikel ist auch der Umgang mit mobilen Geräten, daher sollten Smartphones, Tablets und Co erst gar nicht für sensible Daten verwendet werden.

Be aware!

Im Sinne der ganzheitlichen Informationssicherheit braucht es überdies einen sicherheitsbewussten Umgang mit schriftlichen Informationen, wie zum Beispiel Befunden, Labordaten und Überweisungen, sowie gesprochenen Informationen, schließlich gehört die Privatsphäre der Patienten geschützt. Schaumüller-Bichl empfiehlt ferner eine sogenannte Clear Desk Policy: „Im Hinblick auf die Ordination bedeutet das beispielsweise, dass Befunde oder Krankengeschichten nicht am Schreibtisch liegen bleiben, wenn dieser unbeaufsichtigt ist, und beim Verlassen des Arbeitsplatzes der PC gesperrt wird. Außerhalb der Ordinationszeiten ist darauf zu achten, dass etwa das Reinigungspersonal keinen Zugriff auf Patientendaten hat.“ In diesem Zusammenhang sei zudem die Platzierung von Geräten und Karteikästen ein Thema, so die Expertin für IT- und Informationssicherheit: „Informationen auf Bildschirmen oder in Karteien dürfen nicht für andere Patienten einsehbar sein. Bei der Aufstellung von Geräten und Druckern gilt es, darauf zu achten, dass sich diese nicht in öffentlich zugänglichen Bereichen befinden. Außerdem dürfen Karteikästen, Ordner usw. nicht unbeaufsichtigt offengelassen werden und selbst bei kurzzeitigem Verlassen des Arbeitsplatzes sollte der Bildschirm gesperrt werden.“ Umfassende Informationssicherheit bezieht sich ferner auf gesprochene Information. Demnach sind Gespräche zwischen Arzt und Patient, aber etwa auch zwischen Arzt und Sprechstundenhilfe über Patientendaten nicht für Dritte bestimmt. Fehler passieren übrigens oft auch bei der Entsorgung: Befunddaten landen im Altpapier, Speichermedien werden nicht richtig gelöscht, bevor sie für andere Zwecke weiterverwendet werden, alte Rechner werden entsorgt, ohne die Daten entsprechend sicher zu löschen.
Darüber hinaus spielt das Sicherheitsbewusstsein, die sogenannte Security Awareness, aller Beteiligten eine entscheidende Rolle: Neben dem korrekten Umgang mit IT und Schlüsselinformationen sowie den bereits erwähnten organisatorischen Maßnahmen geht es hierbei auch um Fragen wie: Welche Auskünfte dürfen wem und in welcher Form (persönlich, schriftlich, am Telefon) gegeben werden? Schließlich werden etwa beim sogenannten Social Engineering im Rahmen von fingierten Telefonanrufen gezielt Techniken eingesetzt, um vertrauliche Informationen etwa am Telefon herauszulocken. Außerdem: Welche Daten dürfen an Meinungsforschungsinstitute, für wissenschaftliche Zwecke etc. weitergegeben werden? Welche Zustimmungen müssen eventuell eingeholt werden? Aber auch: Wie ist der Umgang mit Daten und Datenschutz in Notfällen, also wenn es schnell gehen muss und möglicherweise keine Zustimmungen eingeholt werden können?
Alles in allem zeigt sich, dass eine umfassende Schulung aller Mitarbeiter einer Arztpraxis durchaus sinnvoll ist.   

Mehr als nur Daten sichern

„Datenschutz ist allerdings nicht nur eine Frage der Vertraulichkeit von Daten“, betont Dr. Ingrid Schaumüller-Bichl, „denn es gilt genauso sicherzustellen, dass Daten nicht – ob zufällig oder absichtlich – verändert werden. Dies kann im medizinischen Bereich besonders kritisch sein.“ Darüber hinaus gibt es selbstverständlich Aufbewahrungs- und Protokollierungspflichten, wodurch garantiert wird, dass die Daten über einen bestimmten Zeitraum zur Verfügung stehen. Und zu guter Letzt geht es auch um das Vertrauen des Patienten in seinen Arzt und das Gefühl, dass die Privatsphäre entsprechend gewahrt wird.         cm

Technik, die Daten sichert

Um ein angemessenes Maß an Datensicherheit zu gewährleisten, bedarf es grundlegender technischer Maßnahmen. Ein paar Beispiele:

  • Zugriffsschutz durch geeignete Berechtigungen, Wahl sicherer und langer Passwörter mit Ziffern, Sonderzeichen und ohne leicht zu erratende Bestandteile. Auch Passwörter, die mindestens neun Zeichen lang sein müssen, kann man sich merken, z. B. „GhiaS4Bg!“: „Gestern habe ich am Strand vier Bananen gegessen!“
  • Verwendung aktueller Betriebssysteme und Software, vor allem das Einspielen von Sicherheitsupdates (sogenannte Patches), wobei derzeit durch das Auslaufen von Windows XP ein spezielles Problem besteht
  • Aktueller Virenschutz
  • Regelmäßige Erstellung und Auslagerung von Backups
  • Verschlüsselung von Daten oder Datenträgern (zum Beispiel Notebooks, Wechseldatenträger, USB-Sticks)