Das müssen Sie rund um Datenschutz und IT in der Arztpraxis beachten
Elektronische Patientenkartei, vernetzte Geräte, elektronische Gesundheitskarte und vieles mehr: Die Digitalisierung hat in Arztpraxen oder Kliniken längst Einzug gehalten. Damit einher gehen allerdings auch neue Risiken.
Berlin, 21.02.2019 (PresseBox) - Aktuelle Schätzungen gehen davon aus, dass in den vergangenen sechs Jahren insgesamt fast zehn Milliarden Datensätze weltweit verloren gingen oder gestohlen wurden. Nicht immer sind zielgerichtete Angriff e von außen die Ursache. Datenverluste entstehen regelmäßig auch durch interne Ursachen.
Datenschutz und IT-Sicherheit
„Die fortschreitende Digitalisierung und gestiegene Anforderungen an den Datenschutz – insbesondere in der IT – sind dabei zwei Seiten derselben Medaille“, sagt Axel Keller, Rechtsanwalt und Datenschutzexperte bei Ecovis in Rostock. „Ein entscheidender Vorteil der Datenschutzgrundverordnung ist“, so Keller weiter, „dass sich Datenschutz und IT-Sicherheit anders als früher nicht mehr nahezu unvereinbar gegenüberstehen, sondern jetzt miteinander verknüpft sind.“
So bestimmt die Datenschutzgrundverordnung (DSGVO), dass IT-Verantwortliche geeignete technische Maßnahmen ergreifen müssen, die die Sicherheit der Datenverarbeitung gewährleisten. Ein allgemeingültiges Schutzniveau wurde nicht festgelegt. Vielmehr gilt, dass sich der angemessene Schutz an dem mit der Datenverarbeitung verbundenen Risiko und der Sensibilität der Daten orientieren muss.
Besonders schützenswert
Werden besonders sensible Daten, beispielsweise Gesundheitsdaten, verarbeitet, ist grundsätzlich ein sehr hohes Schutzniveau nötig. „Der deutsche Gesetzgeber hat für solche Verarbeitungen einen Katalog von Schutzmaßnahmen definiert, den die Verantwortlichen für IT-Sicherheitsmaßnahmen in Gesundheitseinrichtungen unbedingt beachten müssen“, erklärt Susann Harder, Rechtsanwältin und Datenschutzexpertin bei Ecovis in Rostock. In diesem Katalog werden beispielsweise Maßnahmen gefordert, die gewährleisten, dass auch nachträglich überprüft werden kann, ob und wer personenbezogene Daten eingegeben, verändert oder entfernt hat. Die beste Protokollierung hilft aber nicht weiter, wenn sich in einer Praxis mehrere Personen mit ein und demselben Benutzerkonto am System anmelden.
„Wir sehen sehr häufig, dass sich mehrere oder sogar alle Schwestern mit demselben Passwort am EDV-System anmelden, weil das einfach und praktikabel ist. Eine nachträgliche Zugriffskontrolle ist damit aber praktisch ausgeschlossen“, sagt Keller.
Bei externen Geräten Vorsicht walten lassen
Ähnliche Schwachstellen finden sich häufig beim Einsatz externer Geräte, die beispielsweise über den USB-Anschluss an den PC gekoppelt werden. Über diese Schnittstellen werden oft Viren oder andere Schadsoftware auch in ansonsten gut gesicherte Systeme eingeschleppt. „Hier ist sorgfältig zu prüfen, ob diese Schnittstellen tatsächlich alle benötigt werden. Häufig ist das nicht der Fall. Der Aufwand, diese Schnittstellen für externe Speichermedien zu sperren, gleichzeitig aber benötigte Geräte wie Tastatur oder Maus weiter nutzen zu können, ist minimal“, erläutert Harder.
Selbst für ein Mindestmaß an Sicherheit sorgen
Oftmals reichen bereits einfache Maßnahmen aus, um das IT-Schutzniveau massiv zu erhöhen. „Auch kleine sinnvolle Aktionen tragen zu einer verbesserten Datensicherheit bei“, sagt Keller. Dazu gehören beispielsweise:
Susann Harder, Rechtsanwältin und Datenschutzexpertin bei Ecovis in Rostock
- Sechs von zehn Unternehmen sichern die eigenen Daten nur unzureichend.
- 84 Prozent aller IT-Mitarbeiter haben bereits einen Datenverlust verursacht.
- Rund 140.000 Festplatten-Crashs gibt es allein in den USA – jede Woche.
Datenschutz und IT-Sicherheit
„Die fortschreitende Digitalisierung und gestiegene Anforderungen an den Datenschutz – insbesondere in der IT – sind dabei zwei Seiten derselben Medaille“, sagt Axel Keller, Rechtsanwalt und Datenschutzexperte bei Ecovis in Rostock. „Ein entscheidender Vorteil der Datenschutzgrundverordnung ist“, so Keller weiter, „dass sich Datenschutz und IT-Sicherheit anders als früher nicht mehr nahezu unvereinbar gegenüberstehen, sondern jetzt miteinander verknüpft sind.“
So bestimmt die Datenschutzgrundverordnung (DSGVO), dass IT-Verantwortliche geeignete technische Maßnahmen ergreifen müssen, die die Sicherheit der Datenverarbeitung gewährleisten. Ein allgemeingültiges Schutzniveau wurde nicht festgelegt. Vielmehr gilt, dass sich der angemessene Schutz an dem mit der Datenverarbeitung verbundenen Risiko und der Sensibilität der Daten orientieren muss.
Besonders schützenswert
Werden besonders sensible Daten, beispielsweise Gesundheitsdaten, verarbeitet, ist grundsätzlich ein sehr hohes Schutzniveau nötig. „Der deutsche Gesetzgeber hat für solche Verarbeitungen einen Katalog von Schutzmaßnahmen definiert, den die Verantwortlichen für IT-Sicherheitsmaßnahmen in Gesundheitseinrichtungen unbedingt beachten müssen“, erklärt Susann Harder, Rechtsanwältin und Datenschutzexpertin bei Ecovis in Rostock. In diesem Katalog werden beispielsweise Maßnahmen gefordert, die gewährleisten, dass auch nachträglich überprüft werden kann, ob und wer personenbezogene Daten eingegeben, verändert oder entfernt hat. Die beste Protokollierung hilft aber nicht weiter, wenn sich in einer Praxis mehrere Personen mit ein und demselben Benutzerkonto am System anmelden.
„Wir sehen sehr häufig, dass sich mehrere oder sogar alle Schwestern mit demselben Passwort am EDV-System anmelden, weil das einfach und praktikabel ist. Eine nachträgliche Zugriffskontrolle ist damit aber praktisch ausgeschlossen“, sagt Keller.
Bei externen Geräten Vorsicht walten lassen
Ähnliche Schwachstellen finden sich häufig beim Einsatz externer Geräte, die beispielsweise über den USB-Anschluss an den PC gekoppelt werden. Über diese Schnittstellen werden oft Viren oder andere Schadsoftware auch in ansonsten gut gesicherte Systeme eingeschleppt. „Hier ist sorgfältig zu prüfen, ob diese Schnittstellen tatsächlich alle benötigt werden. Häufig ist das nicht der Fall. Der Aufwand, diese Schnittstellen für externe Speichermedien zu sperren, gleichzeitig aber benötigte Geräte wie Tastatur oder Maus weiter nutzen zu können, ist minimal“, erläutert Harder.
Selbst für ein Mindestmaß an Sicherheit sorgen
Oftmals reichen bereits einfache Maßnahmen aus, um das IT-Schutzniveau massiv zu erhöhen. „Auch kleine sinnvolle Aktionen tragen zu einer verbesserten Datensicherheit bei“, sagt Keller. Dazu gehören beispielsweise:
- Regelmäßige (und auch getestete) Datensicherungen
- Automatisches Einspielen von Software-Updates
- Der Einsatz moderner Virenscanner
- Vergabe persönlicher Passwörter für jeden Mitarbeiter
Susann Harder, Rechtsanwältin und Datenschutzexpertin bei Ecovis in Rostock
