< vorhergehender Beitrag

Datensicherheit in der Ordination

Technische, organisatorische und personelle Maßnahmen garantieren die Sicherheit sensibler Patientendaten.


Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl, Expertin für IT- und Informationssicherheit an der FH Oberösterreich, Fakultät für Informatik, Kommunikation und Medien in Hagenberg

Im März hat das EU-Parlament eine neue Datenschutzgrundverordnung in erster Lesung genehmigt, die vorsieht, dass jedes Unternehmen, das personenbezogene Daten von mehr als 5.000 Menschen im Jahr oder aber prinzipiell sensible Daten von Menschen verarbeitet, einen Datenschutzbeauftragten bestellen muss. Ein Thema, das auch Ärzte betreffen könnte, haben sie doch in hohem Maß mit laut § 4(2) des Datenschutzgesetzes (DSG) sensiblen Daten zu tun. Konkret gehören dazu sämtliche „Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben“. Derzeit ist aber noch unklar, ob und in welcher Form die neue EU-Verordnung kommen wird.

Sichere Maßnahmen

Tatsache ist jedoch, dass sich Ärzte im Hinblick auf Datensicherheit freilich schon jetzt Gedanken machen müssen, denn gemäß DSG sind sie – wie alle anderen Personen bzw. Unternehmen, die mit personenbezogenen Daten zu tun haben – dazu verpflichtet, Maßnahmen zur Gewährleistung des Datenschutzes zu treffen. „Dabei sind diese Sicherheitsmaßnahmen so auszuwählen, dass sie technisch auf aktuellem Stand und den Risiken angemessen sind. Da es sich bei Gesundheitsdaten um sensible Daten laut DSG handelt, sind durchaus hohe Ansprüche zu stellen. Wichtig ist allerdings auch die ‚wirtschaftliche Vertretbarkeit’ laut §14(1). Das DSG verlangt also keinen ‚Overkill’ an Maßnahmen“, so Prof.(FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl, Expertin für IT- und Informationssicherheit an der FH Oberösterreich, Fakultät für Informatik, Kommunikation und Medien in Hagenberg.
Hier kommt die IT- und Informationssicherheit ins Spiel. Technische Maßnahmen, wie Zugriffskontrolle, Berechtigungssysteme, Virenschutz, regelmäßige Backups sowie Aktualisierung der Software usw. (siehe Kasten), werden meist standardmäßig in Betriebs- oder Anwendungssystemen angeboten oder sind kostengünstig zu realisieren. „Doch“, so Schaumüller-Bichl, „die besten technischen Maßnahmen alleine nützen nichts, wenn nicht auch entsprechende organisatorische und personelle Maßnahmen umgesetzt werden.“
Dazu gehört schon der sichere Umgang mit Passwörtern, denn es kommt immer noch vor, dass diese auf einem Post-it auf dem Bildschirm notiert oder auf einem Zettel unter der Tastatur aufbewahrt werden. Neben Passwörtern sollten außerdem weder Schlüssel noch Zugriffs- und Zutrittskarten weitergegeben werden. „Für eventuelle Vertretungen müssen entsprechende Vertretungsregeln und -rechte eingerichtet werden“, so die IT-Expertin. Ein weiteres Thema ist der sichere Umgang mit Speichermedien, die, sofern sie personenbezogene Daten enthalten, sicher verwahrt gehören. Neben CDs, externen Festplatten und anderen Speichermedien bergen laut Schaumüller-Bichl speziell USB-Sticks besondere Gefahren, schon alleine weil sie leicht verloren gehen. Überaus heikel ist auch der Umgang mit mobilen Geräten, daher sollten Smartphones, Tablets und Co erst gar nicht für sensible Daten verwendet werden.

Be aware!

Im Sinne der ganzheitlichen Informationssicherheit braucht es überdies einen sicherheitsbewussten Umgang mit schriftlichen Informationen, wie zum Beispiel Befunden, Labordaten und Überweisungen, sowie gesprochenen Informationen, schließlich gehört die Privatsphäre der Patienten geschützt. Schaumüller-Bichl empfiehlt ferner eine sogenannte Clear Desk Policy: „Im Hinblick auf die Ordination bedeutet das beispielsweise, dass Befunde oder Krankengeschichten nicht am Schreibtisch liegen bleiben, wenn dieser unbeaufsichtigt ist, und beim Verlassen des Arbeitsplatzes der PC gesperrt wird. Außerhalb der Ordinationszeiten ist darauf zu achten, dass etwa das Reinigungspersonal keinen Zugriff auf Patientendaten hat.“ In diesem Zusammenhang sei zudem die Platzierung von Geräten und Karteikästen ein Thema, so die Expertin für IT- und Informationssicherheit: „Informationen auf Bildschirmen oder in Karteien dürfen nicht für andere Patienten einsehbar sein. Bei der Aufstellung von Geräten und Druckern gilt es, darauf zu achten, dass sich diese nicht in öffentlich zugänglichen Bereichen befinden. Außerdem dürfen Karteikästen, Ordner usw. nicht unbeaufsichtigt offengelassen werden und selbst bei kurzzeitigem Verlassen des Arbeitsplatzes sollte der Bildschirm gesperrt werden.“ Umfassende Informationssicherheit bezieht sich ferner auf gesprochene Information. Demnach sind Gespräche zwischen Arzt und Patient, aber etwa auch zwischen Arzt und Sprechstundenhilfe über Patientendaten nicht für Dritte bestimmt. Fehler passieren übrigens oft auch bei der Entsorgung: Befunddaten landen im Altpapier, Speichermedien werden nicht richtig gelöscht, bevor sie für andere Zwecke weiterverwendet werden, alte Rechner werden entsorgt, ohne die Daten entsprechend sicher zu löschen.
Darüber hinaus spielt das Sicherheitsbewusstsein, die sogenannte Security Awareness, aller Beteiligten eine entscheidende Rolle: Neben dem korrekten Umgang mit IT und Schlüsselinformationen sowie den bereits erwähnten organisatorischen Maßnahmen geht es hierbei auch um Fragen wie: Welche Auskünfte dürfen wem und in welcher Form (persönlich, schriftlich, am Telefon) gegeben werden? Schließlich werden etwa beim sogenannten Social Engineering im Rahmen von fingierten Telefonanrufen gezielt Techniken eingesetzt, um vertrauliche Informationen etwa am Telefon herauszulocken. Außerdem: Welche Daten dürfen an Meinungsforschungsinstitute, für wissenschaftliche Zwecke etc. weitergegeben werden? Welche Zustimmungen müssen eventuell eingeholt werden? Aber auch: Wie ist der Umgang mit Daten und Datenschutz in Notfällen, also wenn es schnell gehen muss und möglicherweise keine Zustimmungen eingeholt werden können?
Alles in allem zeigt sich, dass eine umfassende Schulung aller Mitarbeiter einer Arztpraxis durchaus sinnvoll ist.   

Mehr als nur Daten sichern

„Datenschutz ist allerdings nicht nur eine Frage der Vertraulichkeit von Daten“, betont Dr. Ingrid Schaumüller-Bichl, „denn es gilt genauso sicherzustellen, dass Daten nicht – ob zufällig oder absichtlich – verändert werden. Dies kann im medizinischen Bereich besonders kritisch sein.“ Darüber hinaus gibt es selbstverständlich Aufbewahrungs- und Protokollierungspflichten, wodurch garantiert wird, dass die Daten über einen bestimmten Zeitraum zur Verfügung stehen. Und zu guter Letzt geht es auch um das Vertrauen des Patienten in seinen Arzt und das Gefühl, dass die Privatsphäre entsprechend gewahrt wird.         cm

Technik, die Daten sichert

Um ein angemessenes Maß an Datensicherheit zu gewährleisten, bedarf es grundlegender technischer Maßnahmen. Ein paar Beispiele:

  • Zugriffsschutz durch geeignete Berechtigungen, Wahl sicherer und langer Passwörter mit Ziffern, Sonderzeichen und ohne leicht zu erratende Bestandteile. Auch Passwörter, die mindestens neun Zeichen lang sein müssen, kann man sich merken, z. B. „GhiaS4Bg!“: „Gestern habe ich am Strand vier Bananen gegessen!“
  • Verwendung aktueller Betriebssysteme und Software, vor allem das Einspielen von Sicherheitsupdates (sogenannte Patches), wobei derzeit durch das Auslaufen von Windows XP ein spezielles Problem besteht
  • Aktueller Virenschutz
  • Regelmäßige Erstellung und Auslagerung von Backups
  • Verschlüsselung von Daten oder Datenträgern (zum Beispiel Notebooks, Wechseldatenträger, USB-Sticks)

SERVICE

Rechtsspezialisten für Ärzte

Rechtsspezialisten2016.pdf

Steuerspezialisten für Ärzte

Steuerspezialisten2016.pdf

Ihr Partner für Psychologie, Psychotherapie & Psychiatrie

PartnerPsycho2016.pdf

Ärztliche Leiter der führenden Kur- und Rehabilitationszentren

AEaerztliche_leiter_NEU.pdf

Natürliche ortsgebundene Heilvorkommen in Österreich

Heilvorkommen.pdf

Vertragspartner der führenden Kur- & Rehabilitationszentren

AEvertrags_NEU.pdf - Vertragspartner der führenden Kur- & Rehabilitationszentren

Wohin mit welchem Leiden?

AEwohin_neu.pdf

Ihre Partner für ARCHITEKTUR

Zur Liste >>

Links

Audi
Marihart-Kretzschmar / Steuer- & Praxisberatung für Ärzte
MEDTAX – Die Ärztesteuerberater
Optimundus Reisewelt / Gratis-Katalog 2017
Raiffeisen Private Banking / Kreditaktion Ärzte-Million
s Wohnbaubank / Wohnbauanleihe mit Gewinnfreibetrag für Freiberufler
Weisses Rössl 4* Romantik Hotel St. Wolfgang / Salzkammergut

Immobilien & Ordinationen

aeterna immobilien / Arztpraxen & Vorsorgewohnungen Nähe AKH / 1090 Wien
Alpen Real / Eigentumswohnungen Linz-Urfahr / OÖ
Alpen Real / Penthouse Linz-Urfahr / OÖ
Avoris / Bauherrenmodell 1150 Wien
BAI / Wohn- & Anlegerimmobilien 1030, 1180 + 1220 Wien
Croatia-Real / Traumappartements mit Meerblick Kroatien
Decor Service / Ordination – Gruppenpraxis Bad Radkersburg / Stmk.
EDLER LIVING / Immofair - Eigentumswohnungen & Penthouse Nähe Schloss Belvedere 1040 Wien
EHL Immobilien / Eigentums- & Vorsorgewohnungen / Zinshäuser
Hübl & Partner / Eigentums- & Vorsorgewohnungen Nähe Alte Donau 1210 Wien
Immovate / Rosenhügel – Eigentumswohnungen 1130 Wien
Premium Immobilien Investment / Vorsorge- & Anlegerwohnungen 1190 + 1160 Wien
RE/MAX Balance
RE/MAX Dynamic
RE/MAX First
RE/MAX For All
RE/MAX Homes
RE/MAX Immowest
RE/MAX Kirchdorf
RE/MAX Leibnitz
RE/MAX Moving
RE/MAX Trend
RE/MAX Tulln-Purkersdorf
Semper Constantia Privatbank / Vorsorgewohnungen 1170 + 1220 Wien
Silver Living / Vorsorgeinvestment Betreutes Wohnen 1230 Wien
ST-HA Wohnbau / Arztpraxen & Anleger- & Eigentumswohnungen Nähe KH Nord 1210 Wien
Unterberger Immobilien / Arztpraxen Kufstein & St. Johann / Tirol
Wiener Privatbank / Vorsorgewohnungen Parkapartments am Belvedere – Nähe Hauptbahnhof / 1100 Wien
wohngut / PANORAMA3 – Eigentumswohnungen 1030 Wien
Wohninvest / Vorsorge Zinshausanteil 1170 Wien
wvg / DUO22 – Eigentumswohnungen 1220 Wien
ZIMA / Eigentumswohnungen Sonnental – Kitzbühel / Tirol